Je suis nouveau sur WordPress. J'ai récemment lu un article sur la façon dont les pirates peuvent exploiter les vulnérabilités des plugins. Diverses sources telles que Google Pagespeed m'ont également dissuadé d'utiliser des plugins ou du moins de le garder au minimum. Personnellement, j'essaie également d'éviter les plugins car je me sens plus en contrôle de ce qui se passe sur mon site, et en télécharger un me semble presque `` génial, une autre chose que je dois apprendre à utiliser ''.

Je comprends que les `` recommandations de plugins '' sont hors sujet, mais ce que je recherche, c'est en fait une explication pour savoir pourquoi / si certains plugins sont essentiels dans WordPress.

Prenez-les par exemple:

Sécurité - Quelques plugins supérieurs ont à voir avec la sécurité. Mais les sites WordPress sont-ils vulnérables en général? Pourquoi ai-je besoin d'un plugin supplémentaire pour éviter l'exploitation?

Sauvegarder - Je suis nouveau dans le monde des blogs, mais la plupart des hôtes ne fournissent-ils pas de services de sauvegarde? Ou ai-je besoin de plugins spéciaux pour cela avec WordPress?

Surveillance de la fraude aux clics AdSense - Censée bloquer les bombes cliquables pour éviter le bannissement de Google. Mais je ne comprends pas, y a-t-il quelques faux clics que tout le monde doit faire pour arrêter vos revenus à moins que vous ne téléchargiez un plugin?

Edit: Il pourrait être préférable de demander celui-ci dans le support Google, ignorez-le si c'est le cas

Nécessité du plugin

La nécessité des plugins se résume vraiment à la question: " Suis-je convaincu que les fonctionnalités de base de WordPress sont tout ce dont j'ai besoin? "

Si tout ce que vous voulez, c'est un simple blog avec quelques catégories et un certain nombre de pages statiques que vous avez définies. Mais si vous souhaitez commencer à intégrer des cartes interactives, des calendriers avec des événements, peut-être une API REST tierce, forcer les utilisateurs à utiliser des mots de passe forts, ou même transformer le site en réseau social, vous avez besoin de plugins. La réponse de Grant Palin donne plus de détails sur la raison pour laquelle on pourrait désirer des plugins. La réponse de Dan Gayle souligne que de nombreux thèmes fournissent toutes sortes de fonctionnalités de plugin sans utiliser explicitement des plugins WordPress.

Sécurité de base

Le cœur de WordPress lui-même est considérablement sécurisé, et la communauté des développeurs principaux fait un travail respectable d'isolement et de correction des vulnérabilités de sécurité dès qu'elles sont identifiées - l'un des avantages d'avoir des centaines de millions d'utilisateurs et une moyenne d'environ 200 contributeurs principaux par version . Et le risque qui était présent pendant la durée entre l'identification d'une vulnérabilité et la publication de son correctif est rapidement éliminé avec l'ajout de mises à jour automatiques du cœur .

_{^{Infographie de sécurité WordPress de Pagely ( bonne quantité d'informations solides - cliquez pour la voir dans son intégralité)}}

Oui, WordPress a des vulnérabilités de sécurité inhérentes . Mais il en va de même pour Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc .... Il n'y a pas de plateforme ou de système que j'utiliserais sans implémenter des précautions de sécurité supplémentaires en plus de celles déjà fournies par la plateforme. Je pense que c'est simplement une mauvaise idée de s'appuyer uniquement sur le CMS ou le cadre pour la sécurité de première ligne de tout site Web , en particulier tout cadre avec des taux d'adoption notables.

Sécurité des plugins

Les plugins ne sont pas définitivement non sécurisés. Le problème est que les plugins ne sont pas vérifiés pour s'assurer que leurs auteurs ont suivi les bonnes pratiques de sécurité. WordPress a défini un certain nombre de normes que les auteurs doivent suivre, mais de nombreux plugins sont créés par des novices ou d'autres qui ignorent les normes. Mais comme pour toutes les bases de code existantes, plus vous ajoutez de code à un système, plus vous avez de chances d'introduire des bogues et des vulnérabilités . Plus vous ajoutez de plugins à votre installation, plus vous courez de risques. Par le même moyen, sachez que les thèmes WordPress présentent une menace tout aussi malveillante - en particulier les nombreux "thèmes gratuits" disponibles sur les sites à thème obscurs, dont beaucoup tentent d'exploiter directement votre siteplutôt que d'exposer innocemment des failles de sécurité par ignorance ou accident. Obtenez uniquement des thèmes et des plugins à partir de sources fiables et d'auteurs crédibles.

Une règle d'or consiste à ne pas installer de plugins d'auteurs largement inconnus ou de plugins relativement nouveaux sur la scène. Si vous le pouvez, prenez le temps d'établir la crédibilité de l'auteur. Idéalement, découvrez les facteurs qui entrent dans un plugin bien sécurisé ( numéros utilisés une fois [aka "nonce" s) pour l'authentification des requêtes et des URL, filtrage des entrées , échappement des sorties , prévention de l'accès direct aux fichiers des plugins , accès correct des base de données via les méthodes et fonctions WordPress , l'absence d'erreurs et d'avis de dépréciation lorsque le débogage est activé [ne pas l'activer dans les environnements de production], etc.) et examinez chaque plugin que vous installez vous-même.Il n'y a pas de substitut pour comprendre ce qui se passe dans un script de plugin sécurisé , ni aucune meilleure défense contre les plugins merdiques.

Si la pensée de plugins et de thèmes non sécurisés vous fait peur ou si vous ne connaissez pas ou ne cherchez pas à vous familiariser avec PHP, vous pouvez trouver que les services de WordPress.com sont plus votre tasse de thé car ils assument la responsabilité de la vérification des plugins et des thèmes et autoriser uniquement l'installation de ceux jugés sécurisés sur les sites des utilisateurs. Vous pouvez toujours utiliser un domaine personnalisé avec WordPress.com si vous le souhaitez.

Sauvegardez

Certains hôtes fournissent de tels services, d'autres non. Tout comme je ne fais pas confiance à la sécurité d'une plate-forme pour être autonome, je ne fais confiance à aucun hôte pour prendre soin de mes sauvegardes. Je préfère plutôt que mes sauvegardes s'accumulent dans ma Dropbox et soient synchronisées avec différents serveurs afin que je puisse être sûr d'avoir toujours un accès direct à mes sauvegardes avec des copies sur plusieurs systèmes différents. Si mon hôte tombe en panne ou est racheté par une grande entreprise ou un autre malheur d'hébergement, mes sites sont à quelques clics sans même le risque d'avoir à faire face au support de mon hôte.

Notes finales

Vous devriez lire l'entrée du codex sur Hardening WordPress pour plus de conseils de sécurité. Si vous ne pensez pas que vous devriez avoir besoin de nombreux plugins ou de plugins obscurs à l'avenir, il pourrait être plus sage d'avoir WordPress.com ou un autre fournisseur d'hébergement WordPress géré tel que Pagely héberger votre blog.

Quelle que soit la nouvelle fonctionnalité «Mises à jour automatiques du cœur» de WordPress, vous devez toujours vous efforcer de vous assurer manuellement que votre installation et tous vos plugins et thèmes sont à jour. Certains pourraient penser que c'est excessif, mais j'aime activer le débogage après une mise à jour et m'assurer qu'aucun plugin ou thème n'a perdu la compatibilité (un flux d'erreurs et de notifications de dépréciation en est un symptôme fort). Si c'est le cas, je les désactive jusqu'à ce que leurs auteurs les mettent à jour, ou j'apporte moi-même les modifications nécessaires pour me maintenir jusqu'à ce qu'ils publient une mise à jour officielle. Notez que vous devez soit mettre votre site Web hors ligne, soit exécuter une copie de développement hors ligne de votre site Web avant d'activer le débogage pour dépanner quoi que ce soit.

Je ne suis pas sûr de la prévalence de la pratique du bombardement de clics Ad-sense, mais un plugin WordPress proposant d'atténuer les effets de ces bombes cliquables vous offre une couche de sécurité supplémentaire en plus des précautions prises par Google. Les sites Web qui n'exécutent pas WordPress sont confrontés à la même menace exacte en ce qui concerne le bombardement de clics, et doivent soit mettre en œuvre une protection par d'autres moyens ou survivre sans.

Ressources supplémentaires

• Codex: Écrire un plugin

  ^{Une introduction fonctionnelle à la création de plugins avec quelques conseils de sécurité mélangés. En particulier, faites attention à la section Suggestions de développement de plugin en bas de la page.}

• Codex: validation de la désinfection et de l'échappement des données utilisateur

  ^{Une brève introduction à ces concepts et pourquoi ils sont importants.}

• Codex: FAQ sur la sécurité

• Manuel: normes de codage PHP

  ^{Une norme axée sur la syntaxe pour le code PHP dans WordPress avec quelques conseils de sécurité mélangés.}

• Manuel: Normes de documentation en ligne PHP

  ^{J'aimerais absolument vous dire de ne jamais installer un plugin qui néglige la documentation en ligne, mais en réalité, même les bons développeurs ne le font pas toujours. Néanmoins, une documentation en ligne complète avec des balises PHPDoc est une bonne indication que l'auteur a une idée de ce qu'ils font.}

• WPSE: "Quelles sont les meilleures pratiques de sécurité pour les plugins et thèmes WordPress?"

  ^{Les réponses à cette question fournissent quelques points supplémentaires qui ne sont pas répertoriés dans d'autres ressources. Notez que cette question est verrouillée et ne sera pas mise à jour pour refléter les nouveaux développements.}

• WPSE: "Dans quels contextes les plugins sont-ils responsables de la validation / désinfection des données?"

  ^{En un mot, "Quand dois-je sécuriser mes données et quand les fonctions de base les gèrent-elles pour moi?"}

• WPSE: "Qui sont les développeurs de plugins les plus fiables?"

  ^{Une petite liste de certains des noms les plus fiables et renommés dans le développement de plugins WordPress. Certainement pas exhaustif du tout, mais un bon point de départ pour quelques "paris sûrs" rapides. Notez que cette question est verrouillée et ne sera pas mise à jour pour refléter les nouveaux développements.}

• WPSE: Comment puis-je établir la crédibilité d'un auteur de thème / plugin? "

  ^{Créée sur la base de cette même question concernant la nécessité de plugins, nous espérons que cette question donnera un processus général pour sélectionner des auteurs de thèmes / plugins fiables.}

• " Les dangers de l'ignorance des plugins WordPress (et que faire à ce sujet) " - Tom Ewer

  ^{Un solide aperçu non technique concernant les dangers des plugins.}

• " Développer pour WordPress? Gardez votre merde en sécurité " - Mike Jolley

  ^{Un excellent bref aperçu technique des meilleures pratiques pour le développement sécurisé de plugins. Notez que l'infographie de wptemplate.com liée dans l'article contient quelques bons conseils supplémentaires pour la sécurité WordPress dans son ensemble, mais est plutôt mal compilée et rédigée dans un anglais approximatif.}

• " 7 règles simples: meilleures pratiques de développement de plugins WordPress " - WP Tuts +

  ^{Les articles sur Tuts + sont généralement précis et de qualité considérable.}

• " Sécurité WordPress - Couper la BS " - Tony Perez

  Un excellent aperçu technique des vulnérabilités et des précautions de sécurité de WordPress basé sur la présentation de Perez Chicago 2012 WordCamp.

Autrement dit - WordPress fait ce qu'il fait hors de la boîte, sans plugins requis.

Pourtant! Différentes personnes ont des idées différentes sur ce que d' autre devrait le faire. Certaines de ces idées sont valables. Certains sont complètement fous.

Plus précisément sur vos exemples:

• WP (ou plus précisément sa version stable actuelle pour le moment) est sécurisé, de nombreux plugins de sécurité se concentrent sur l'audit (des choses comme le code des autres plugins) et une surveillance proactive (rien n'est vraiment absolument sûr).

• de nombreuses personnes (moi y compris) ne font pas confiance à des tiers pour gérer les sauvegardes. Il existe de nombreuses histoires d'horreur sur la façon dont la confiance des hôtes avec la sauvegarde a conduit à des résultats plutôt tristes et à moins que vous ne puissiez personnellement surveiller, accéder et vérifier les sauvegardes que l'hôte prend [soi-disant], il est plus sûr de les traiter comme s'ils n'existaient pas.

WordPress est assez fonctionnel en soi. Si vos besoins sont simples ou si vous savez ajouter des fonctionnalités personnalisées, il n'y a généralement pas besoin de plugins. Cependant, il y a des avantages au modèle de plugin, certains que je vais énumérer:

• fonctionnalité modulaire, plug and play (principalement)
• encapsuler des fonctionnalités spécialisées
• éviter de réinventer la roue
• bénéficier du travail des auteurs de plugins expérimentés

En se référant à l'avant-dernier point, s'il y a certaines fonctionnalités que vous souhaitez ajouter, les chances sont bonnes qu'il ait déjà été implémenté sous forme de plugin. Il n'est pas faux de bénéficier du travail déjà accompli.

Par le dernier point, de nombreux plugins disponibles sont le résultat des heures et de l'expérience des développeurs. De tels plugins ont tendance à être bien construits et pris en charge, et ont la réputation d'aller avec. Regardez Pippin Williamson, Scott Kingsley Clark et Alex King, pour n'en nommer que quelques-uns. Ils ont non seulement des compétences techniques, mais aussi une crédibilité . Il s'agit d'un énorme avantage de certains plugins tiers.

Dans le cas des sauvegardes, je serais réticent à faire confiance à des hôtes Web avec quelque chose d'aussi important, surtout si les sauvegardes sont conservées sur le même serveur ou sur le même réseau. Un plugin tiers ou une approche DIY vous offre plus de contrôle, ainsi que le stockage habituel de sauvegardes dans un emplacement très séparé du site Web.

Les plugins de sécurité ne sont pas strictement nécessaires, si l' on a le savoir-faire pour gérer eux-mêmes les dispositions de sécurité. Certains de ces plugins, tels que Better WP Security , simplifient la gestion des autorisations de fichiers, des .htaccessdirectives, etc. D'autres, tels que WordFence, fournissent des services de surveillance, tandis que Limit Login Attempts offre une certaine protection pour le backend du site.

Si vous vous inquiétez de la qualité des plugins, cela peut être une affaire à succès. Ceux sur le repo du plugin WordPress, je pense, subissent au moins une vérification par les personnes derrière WordPress, mais la qualité ou la valeur est assez variable - et dépend fortement de vos besoins et capacités. Si un plugin est bien évalué, a un support actif et provient d'un auteur ou d'une équipe bien connu, vous êtes probablement entre de bonnes mains.

Sauvegardes

Les sauvegardes peuvent être prises en charge par votre hôte, mais elles n'offrent généralement qu'une approche «tout ou rien». Si vous utilisez un plug-in, vous pouvez effectuer des sauvegardes hebdomadaires de fichiers et des sauvegardes quotidiennes de bases de données, les exécuter avant d'effectuer toute maintenance ou stocker les fichiers de sauvegarde sur un compte SFTP / S3. Impossible de le faire hors de la boîte sans plugin.

Performance

Étant donné que votre souci concerne les performances (comme en témoigne votre référence Pagespeed), la seule façon que je sache d'utiliser un CDN tiers pour héberger vos images est d'utiliser un plugin (sauf si vous êtes vraiment dans les scripts sur votre serveur, dans auquel cas vous ne poseriez probablement pas cette question ici).

Maintenance à long terme

Toute fonctionnalité qui se situe en dehors de la portée de WP lui-même et modifie / change votre contenu (tel qu'un shortcode) devrait résider dans un plugin, car vous changerez presque certainement un jour votre thème et vous ne voulez pas un tas de contenu cassé sur votre site.

Entrée utilisateur

L'entrée utilisateur est l'endroit où de nombreuses failles de sécurité interviennent, donc si vous acceptez des données utilisateur de quelque nature que ce soit, j'envisagerais certainement d'utiliser un plugin réputé pour gérer cela. Ils sont beaucoup plus susceptibles d'avoir été vérifiés par d'autres et ont été mis à l'épreuve que certains formulaires codés à la main que vous pourriez vouloir ajouter.

POURTANT

Parfois, tout ce dont vous avez besoin est dans votre thème. (SURTOUT si vous l'avez acheté sur Code Canyon / Envato, etc., car ils semblent être extrêmement axés sur les "fonctionnalités".)

Parfois, il est vraiment plus facile de faire un mod à votre thème que de traiter un plugin, comme une bonne partie des plugins "seo".

En fait, cela dépend de vos besoins. Si vous souhaitez ajouter plus de fonctionnalités pour votre site sans modifier le fichier de thème, vous avez sûrement besoin de plugins.

Ils sont essentiels si vous souhaitez ajouter un système de commerce électronique ou personnaliser entièrement un thème enfant, sinon vous devrez compléter une énorme quantité de codage personnalisé pour des choses comme le commerce électronique.

Un autre point important est la différence entre l'utilisation de thèmes qui incluent une énorme quantité d'options de thème par rapport à un thème qui offre une large gamme de plugins spécifiques à un thème.

Il est clairement plus facile de personnaliser WordPress en installant des plugins pour ajouter des fonctionnalités plutôt qu'en utilisant un thème qui comprend une énorme quantité d'options intégrées, car vous devez ensuite filtrer les fonctions existantes à l'aide de code plutôt que d'installer des plugins uniquement pour ajouter les fonctions dont vous avez besoin utilisation.

Le code des plugins est également mis à jour lorsque de nouvelles versions de WordPress sont également en version bêta et si les plugins ne sont pas mis à jour, vous pouvez facilement supprimer et installer un nouveau plugin.