Os plugins do Wordpress são essenciais?

19

Eu sou novo no WordPress. Li recentemente um artigo sobre como hackers podem explorar vulnerabilidades em plugins. Várias fontes, como o Google Pagespeed, também me dissuadiram de usar plug-ins ou pelo menos o mantiveram no mínimo. Pessoalmente, também tento evitar plugins porque me sinto mais no controle do que acontece no meu site, e o download de um quase parece 'Ótimo, outra coisa que preciso aprender a usar'.

Eu entendo que 'Recomendação de plug-ins' é fora de tópico, mas o que estou procurando é realmente uma explicação do porquê / se alguns plug-ins são essenciais no WordPress.

Tome estes por exemplo:

Segurança - Alguns plugins principais têm a ver com segurança. Mas os sites WordPress são vulneráveis ​​em geral? Por que preciso de um plug-in adicional para evitar exploração?

Cópia de segurança - Eu sou novo no mundo dos blogs, mas a maioria dos hosts não fornece serviços de backup? Ou preciso de plugins especiais para isso com o WordPress?

Monitoramento de fraude de cliques do AdSense - supostamente bloqueia bombas de cliques para evitar o banimento do Google. Mas eu não entendo, são alguns cliques falsos que todas as pessoas precisam fazer para diminuir sua receita, a menos que você faça o download de um plug-in?

Editar: pode ser melhor pedir este no suporte do Google, ignorá-lo, se for o caso

Tony Fire
fonte
2
Bem-vindo ao WPSE! Se você ainda não o fez, poderá ler o tour do site . Se você der uma olhada na Central de Ajuda , encontrará uma seção sobre Quais tópicos posso perguntar? Eu diria que sua pergunta lida com as melhores práticas de gerenciamento do WP e, portanto, é uma boa pergunta.
Pat J
1
Essa é uma boa pergunta. Na minha experiência, a primeira coisa que faço ao assumir o site de alguém como webmaster é auditar seus plugins e remover tudo o que não é 100% essencial. Nove em cada dez vezes, ninguém percebe a diferença, exceto o site corre mais rápido e há menos erros.
precisa saber é o seguinte

Respostas:

26

Necessidade de plug-in

O que a necessidade de plug-ins realmente se resume é a pergunta: " Estou satisfeito que a principal funcionalidade do WordPress é tudo o que eu preciso? "

Se tudo o que você deseja é um blog simples, com algumas categorias e várias páginas estáticas definidas. Mas se você deseja começar a integrar mapas interativos, calendários com eventos, talvez uma API REST de terceiros, forçar os usuários a usar senhas fortes ou até transformar o site em uma rede social, você precisará de plug-ins. A resposta de Grant Palin fornece mais informações sobre por que alguém pode desejar plugins. A resposta de Dan Gayle aponta que muitos temas fornecem todos os tipos de funcionalidade de plugins sem usar explicitamente os plugins do WordPress.



Segurança Central

O núcleo do WordPress em si é consideravelmente seguro e a comunidade de desenvolvedores do núcleo faz um trabalho respeitável isolando e corrigindo vulnerabilidades de segurança assim que são identificadas - um dos benefícios de ter centenas de milhões de usuários e uma média de cerca de 200 colaboradores principais por versão . E o risco que costumava estar presente durante a duração entre a identificação de uma vulnerabilidade e o lançamento de sua correção está sendo rapidamente eliminado com a adição das Atualizações Principais Automáticas .

Trecho de um infográfico de segurança Pagely WordPress.  Clique para visualizá-lo na íntegra.

Infográfico de segurança do WordPress da Pagely (quantidade razoável de informações sólidas - clique para visualizá-las na íntegra)

Sim, o WordPress possui vulnerabilidades de segurança inerentes . Mas Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc ... Não há plataforma ou sistema que eu usaria sem implementar precauções de segurança adicionais, além das já fornecidas pela plataforma. Acho simplesmente uma má idéia confiar apenas no CMS ou na estrutura para a segurança da linha de frente de qualquer site , especialmente qualquer estrutura com taxas de adoção notáveis.



Segurança de plugins

Plugins não são definitivamente inseguros. O problema é que os plug-ins não são examinados para garantir que seus autores sigam boas práticas de segurança. O WordPress estabeleceu uma série de padrões que os autores devem seguir, mas muitos plugins são de autoria de novatos ou outros que ignoram os padrões. Mas, como todas as bases de código existentes, quanto mais código você adiciona a um sistema, maior a probabilidade de introduzir bugs e vulnerabilidades . Quanto mais plugins você adicionar à sua instalação, maior o risco que você corre. Da mesma forma, saiba que os temas do WordPress apresentam uma ameaça igualmente maliciosa - especialmente a grande quantidade de "temas gratuitos" disponíveis em sites temáticos obscuros, muitos dos quais tentam explorar diretamente o seu siteem vez de expor inocentemente vulnerabilidades de segurança por ignorância ou acidente. Obtenha apenas temas e plugins de fontes confiáveis ​​e autores credíveis.

Uma regra prática é não instalar plug-ins de autores amplamente desconhecidos ou plug-ins relativamente novos em cena. Se puder, reserve um tempo para estabelecer a credibilidade do autor. Idealmente, aprenda os fatores que entram em um plug-in bem protegido ( números usados ​​uma vez [aka "nonce" s] para solicitação e autenticação de URL, limpeza de entrada , saída de saída , prevenção de acesso direto aos arquivos de plug-in , acesso adequado ao banco de dados através de métodos e funções do WordPress , ausência de erros e avisos de depreciação durante a depuração ativar a [evite ativá-lo em ambientes de produção] etc.) e verifique todos os plug-ins que você instalar.Não há substituto para entender o que se passa no plug-in seguro script, nem qualquer melhor defesa contra plugins ruins.

Se o pensamento de plug-ins e temas inseguros o assusta ou você não está familiarizado ou quer se familiarizar com o PHP, você pode achar que os serviços do WordPress.com são mais uma xícara de chá, pois eles assumem a responsabilidade de verificar plug-ins e temas e permite apenas que aqueles determinados como seguros sejam instalados nos sites dos usuários. Você ainda pode usar um domínio personalizado com o WordPress.com, se desejar.



Apoia-la

Alguns hosts fornecem esses serviços, outros não. Assim como não confio na segurança de qualquer plataforma, não confio em nenhum host para cuidar de meus backups. Em vez disso, prefiro que meus backups sejam empilhados no Dropbox e sincronizados com servidores diferentes, para ter certeza de que sempre tenho acesso direto aos meus backups com cópias em vários sistemas diferentes. Se o meu host for desativado ou se for comprado por uma empresa maior ou por algum outro problema de hospedagem, meus sites estão a poucos cliques de distância, sem o risco de ter que lidar com o suporte do meu host.



Notas Finais

Você deve ler a entrada do códice no Hardening WordPress para obter mais conselhos de segurança. Se você acha que não precisará de muitos plugins ou plugins obscuros no futuro, pode ser mais sensato ter o WordPress.com ou um provedor de hospedagem gerenciado alternativo, como o Pagely, hospedar seu blog.

Independentemente do novo recurso "Automatic Core Updates" do WordPress, você ainda deve se esforçar para garantir manualmente que sua instalação e todos os seus plugins e temas estejam atualizados. Alguns podem achar excessivo, mas eu gosto de ativar a depuração após uma atualização e garantir que nenhum plug-in ou tema tenha perdido a compatibilidade (um fluxo de erros e avisos de descontinuação é um forte sintoma disso). Se houver, desative-os até que seus autores os atualizem ou faça as alterações necessárias para me impedir até que eles lançem uma atualização oficial. Observe que você deve colocar seu site offline ou executar uma cópia de desenvolvimento offline do site antes de ativar a depuração para solucionar qualquer problema.

Não tenho certeza sobre a prevalência da prática de bombardeio por clique Ad-sense, mas um plug-in do WordPress que oferece mitigação dos efeitos de tais bombas está oferecendo uma camada adicional de segurança, além das precauções adotadas pelo Google. Os sites que não executam o WordPress enfrentam a mesma ameaça exata em relação ao bombardeio por clique e precisam implementar proteção por outros meios ou sobreviver sem ela.


Recursos adicionais

bosco
fonte
resposta ótima e detalhada!
Will Web Mechanic
2
Os vídeos do YouTube não precisam de um plug-in. Eles são incorporáveis ​​na instalação padrão do WP. Já faz muito tempo.
Dan Gayle
Boa captura, Dan! Eu editei minha resposta para explicar isso. Também voltei e reformulei minha resposta para facilitar a leitura e adicionei um número ímpio de recursos vinculados para fornecer informações mais detalhadas.
bosco
Eu pensava que existia uma página do Codex inteiramente dedicada às práticas recomendadas de segurança de plugins, mas não consigo localizá-la agora. Há realmente deve ser ...
bosco
1
bosco: Me deixando com ciúmes das imagens. Eu poderia voltar e criar um infográfico me: p
Dan Gayle
7

Simplificando - o WordPress faz o que faz imediatamente, sem a necessidade de plugins.

Contudo! Pessoas diferentes têm idéias diferentes sobre o que mais deve fazer. Algumas dessas idéias são sólidas. Alguns são completamente loucos.

Especificamente em seus exemplos:

  • O WP (ou, mais precisamente, a versão estável atual do momento) é seguro, muitos plug-ins de segurança se concentram na auditoria (coisas como o código de outros plug-ins) e no monitoramento proativo (nada é realmente absolutamente seguro).

  • muitas pessoas (inclusive eu) não confiam em terceiros para gerenciar backups. Há muitas histórias de horror sobre como confiar em hosts com backup levou a resultados bastante tristes e, a menos que você possa monitorar, acessar e verificar pessoalmente os backups que o host está [supostamente] levando em consideração, é mais seguro tratá-los como se eles não existissem.

Rarst
fonte
A prova de aqui sobre o que pode acontecer com backups suas inúmeras faz ou não faz smh.com.au/technology/security/...
Brad Dalton
3

O WordPress é bastante funcional por si só. Se suas necessidades são diretas ou você sabe como adicionar funcionalidades personalizadas, geralmente não há necessidade de plug-ins. No entanto, existem vantagens no modelo de plug-in, algumas das quais enumerarei:

  • funcionalidade modular, plug and play (principalmente)
  • encapsular funcionalidade especializada
  • evite reinventar a roda
  • se beneficiar do trabalho de autores experientes

Referindo-se ao penúltimo ponto, se houver alguma funcionalidade que você deseja adicionar, é provável que ela já tenha sido implementada no formato de plug-in. Não é errado se beneficiar do trabalho que já foi feito.

Pelo ponto final, vários plugins disponíveis são o resultado das horas e da experiência dos desenvolvedores. Esses plug-ins tendem a ser bem construídos e com suporte e têm a reputação de acompanhá-lo. Veja Pippin Williamson, Scott Kingsley Clark e Alex King, para citar apenas alguns. Eles não apenas possuem habilidades técnicas, mas também credibilidade . Este é um benefício tremendo de determinados plugins de terceiros.

No caso de backups, eu relutaria em confiar em hosts da Web algo tão importante, especialmente se os backups forem mantidos no mesmo servidor ou na mesma rede. Um plug-in de terceiros ou uma abordagem de bricolage fornece mais controle, além de geralmente armazenar backups em um local muito separado do site.

Os plug-ins de segurança não são estritamente necessários, se você tiver o know-how para lidar com os arranjos de segurança. Alguns desses plug-ins, como o Better WP Security , simplificam o manuseio de permissões, .htaccessdiretivas e similares de arquivos . Outros, como o WordFence, fornecem serviços de monitoramento, enquanto as Limitações de Tentativas de Login fornecem alguma proteção para o back-end do site.

Se você está preocupado com a qualidade do plug-in, pode ser um caso de acerto ou falha. Aqueles que estão no repositório de plug-ins do WordPress, acho que passam por alguma verificação pelas pessoas por trás do WordPress, mas a qualidade ou o valor são bastante variáveis ​​- e depende muito de suas necessidades e habilidades. Se um plug-in for bem revisado, tiver suporte ativo e for de um autor ou equipe conhecido, você provavelmente estará em boas mãos.

Grant Palin
fonte
2

Backups

Os backups podem ser resolvidos pelo host, mas geralmente oferecem apenas uma abordagem "tudo ou nada". Se você usar um plug-in, poderá fazer backups semanais de arquivos e backups diários de banco de dados, executá-los antes de fazer qualquer manutenção ou guardar os arquivos de backup em uma conta SFTP / S3. Não é possível fazer isso imediatamente sem um plug-in.

atuação

Como sua preocupação está no desempenho (como evidenciado pela referência do Pagespeed), a única maneira que conheço de usar uma CDN de terceiros para hospedar suas imagens é usando um plug-in (a menos que você realmente goste de scripts no servidor, em Nesse caso, você provavelmente não faria essa pergunta aqui).

Manutenção a longo prazo

Qualquer funcionalidade que resida fora do escopo do próprio WP e modifique / altere seu conteúdo (como um código de acesso) deve residir em um plug-in, porque você quase certamente algum dia mudará seu tema e não deseja um monte de conteúdo corrompido em seu plugin. local.

Entrada do Usuário

A entrada do usuário é o local onde muitas vulnerabilidades de segurança ocorrem, portanto, se você estiver aceitando dados de qualquer tipo, definitivamente consideraria usar um plug-in respeitável para lidar com isso. É muito mais provável que tenham sido examinadas por outras pessoas e postas à prova do que alguns formulários codificados à mão que você pode querer adicionar.


CONTUDO

Às vezes, tudo o que você precisa está no seu tema. (ESPECIALMENTE se você o comprou no Code Canyon / Envato, etc., pois eles parecem ser extremamente orientados a "recursos".)

Às vezes, é realmente mais fácil fazer um mod ao seu tema do que lidar com um plugin, como uma boa parte dos plugins "seo".

Dan Gayle
fonte
Descubra exemplos de funcionalidades totalmente desejáveis ​​que só podem ser obtidas através de plug-ins; essas são definitivamente algumas das principais facetas!
bosco 01/01
1
Não estou dizendo que eles não são feitos profissionalmente, alguns são excelentes. Estou dizendo que há uma corrida armamentista por lá para a maioria dos "recursos" adicionados, e evitei propositadamente comprar um tema que eu queria, porque simplesmente tinha muita funcionalidade conflitante com o site que eu estava executando. Eu gostaria que alguns deles simplesmente tivessem os modelos básicos e as folhas de estilo, sem o material extra.
precisa saber é o seguinte
Ponto justo. Eles tendem a ser inchados com "feições" que não têm mais propósito do que as penas de cauda de um pavão. Certamente optei por converter modelos de HTML em vez de comprar o equivalente do WP em várias instâncias.
bosco
0

Na verdade, depende da sua exigência. Se você deseja adicionar mais funcionalidades ao seu site sem modificar o arquivo do tema, certamente precisará de plugins.

WpMania.Net
fonte
Você pode adicionar funções de tema no arquivo de funções de temas filho sem plug-ins.
Brad Dalton
Sim, o tema filho pode ser uma solução, mas será uma solução complexa quando você tiver a opção de resolver seu problema de maneira rápida e eficaz sem modificar o arquivo do tema.
WpMania.Net
0

Eles são essenciais se você deseja adicionar um sistema de comércio eletrônico ou personalizar totalmente um tema filho, caso contrário, seria necessário concluir uma enorme quantidade de codificação personalizada para coisas como comércio eletrônico.

Outro ponto importante é a diferença entre o uso de temas que incluem uma enorme quantidade de opções de temas em comparação com um tema que oferece uma grande variedade de plugins específicos de temas.

É claramente mais fácil personalizar o WordPress instalando plug-ins para adicionar funcionalidade ao invés de usar um tema que inclui uma enorme quantidade de opções integradas, porque você precisa filtrar as funções existentes usando o código, em vez de instalar plug-ins apenas para adicionar as funções necessárias. usar.

O código nos plug-ins também é atualizado quando novas versões do WordPress também estão na versão beta e, se os plug-ins não forem atualizados, você poderá excluir e instalar facilmente um novo plug-in.

Brad Dalton
fonte