Les plugins Wordpress sont-ils essentiels?

19

Je suis nouveau sur WordPress. J'ai récemment lu un article sur la façon dont les pirates peuvent exploiter les vulnérabilités des plugins. Diverses sources telles que Google Pagespeed m'ont également dissuadé d'utiliser des plugins ou du moins de le garder au minimum. Personnellement, j'essaie également d'éviter les plugins car je me sens plus en contrôle de ce qui se passe sur mon site, et en télécharger un me semble presque `` génial, une autre chose que je dois apprendre à utiliser ''.

Je comprends que les `` recommandations de plugins '' sont hors sujet, mais ce que je recherche, c'est en fait une explication pour savoir pourquoi / si certains plugins sont essentiels dans WordPress.

Prenez-les par exemple:

Sécurité - Quelques plugins supérieurs ont à voir avec la sécurité. Mais les sites WordPress sont-ils vulnérables en général? Pourquoi ai-je besoin d'un plugin supplémentaire pour éviter l'exploitation?

Sauvegarder - Je suis nouveau dans le monde des blogs, mais la plupart des hôtes ne fournissent-ils pas de services de sauvegarde? Ou ai-je besoin de plugins spéciaux pour cela avec WordPress?

Surveillance de la fraude aux clics AdSense - Censée bloquer les bombes cliquables pour éviter le bannissement de Google. Mais je ne comprends pas, y a-t-il quelques faux clics que tout le monde doit faire pour arrêter vos revenus à moins que vous ne téléchargiez un plugin?

Edit: Il pourrait être préférable de demander celui-ci dans le support Google, ignorez-le si c'est le cas

Tony Fire
la source
2
Bienvenue chez WPSE! Si vous ne l'avez pas déjà fait, vous voudrez peut-être lire la visite du site . Si vous jetez un œil au Centre d'aide , vous trouverez une section sur Quels sujets puis-je poser? Je dirais que votre question porte sur les meilleures pratiques de gestion de WP et est donc une bonne question.
Pat J
1
C'est une bonne question. D'après mon expérience, la première chose que je fais en reprenant le site de quelqu'un en tant que webmaster est d'auditer ses plugins et de supprimer tout ce qui n'est pas essentiel à 100%. Neuf fois sur dix, personne ne remarque de différence, sauf que le site tourne plus vite et qu'il y a moins de bugs.
Dan Gayle

Réponses:

26

Nécessité du plugin

La nécessité des plugins se résume vraiment à la question: " Suis-je convaincu que les fonctionnalités de base de WordPress sont tout ce dont j'ai besoin? "

Si tout ce que vous voulez, c'est un simple blog avec quelques catégories et un certain nombre de pages statiques que vous avez définies. Mais si vous souhaitez commencer à intégrer des cartes interactives, des calendriers avec des événements, peut-être une API REST tierce, forcer les utilisateurs à utiliser des mots de passe forts, ou même transformer le site en réseau social, vous avez besoin de plugins. La réponse de Grant Palin donne plus de détails sur la raison pour laquelle on pourrait désirer des plugins. La réponse de Dan Gayle souligne que de nombreux thèmes fournissent toutes sortes de fonctionnalités de plugin sans utiliser explicitement des plugins WordPress.



Sécurité de base

Le cœur de WordPress lui-même est considérablement sécurisé, et la communauté des développeurs principaux fait un travail respectable d'isolement et de correction des vulnérabilités de sécurité dès qu'elles sont identifiées - l'un des avantages d'avoir des centaines de millions d'utilisateurs et une moyenne d'environ 200 contributeurs principaux par version . Et le risque qui était présent pendant la durée entre l'identification d'une vulnérabilité et la publication de son correctif est rapidement éliminé avec l'ajout de mises à jour automatiques du cœur .

Extrait d'une infographie de sécurité Pagely WordPress.  Cliquez pour l'afficher dans son intégralité.

Infographie de sécurité WordPress de Pagely ( bonne quantité d'informations solides - cliquez pour la voir dans son intégralité)

Oui, WordPress a des vulnérabilités de sécurité inhérentes . Mais il en va de même pour Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc .... Il n'y a pas de plateforme ou de système que j'utiliserais sans implémenter des précautions de sécurité supplémentaires en plus de celles déjà fournies par la plateforme. Je pense que c'est simplement une mauvaise idée de s'appuyer uniquement sur le CMS ou le cadre pour la sécurité de première ligne de tout site Web , en particulier tout cadre avec des taux d'adoption notables.



Sécurité des plugins

Les plugins ne sont pas définitivement non sécurisés. Le problème est que les plugins ne sont pas vérifiés pour s'assurer que leurs auteurs ont suivi les bonnes pratiques de sécurité. WordPress a défini un certain nombre de normes que les auteurs doivent suivre, mais de nombreux plugins sont créés par des novices ou d'autres qui ignorent les normes. Mais comme pour toutes les bases de code existantes, plus vous ajoutez de code à un système, plus vous avez de chances d'introduire des bogues et des vulnérabilités . Plus vous ajoutez de plugins à votre installation, plus vous courez de risques. Par le même moyen, sachez que les thèmes WordPress présentent une menace tout aussi malveillante - en particulier les nombreux "thèmes gratuits" disponibles sur les sites à thème obscurs, dont beaucoup tentent d'exploiter directement votre siteplutôt que d'exposer innocemment des failles de sécurité par ignorance ou accident. Obtenez uniquement des thèmes et des plugins à partir de sources fiables et d'auteurs crédibles.

Une règle d'or consiste à ne pas installer de plugins d'auteurs largement inconnus ou de plugins relativement nouveaux sur la scène. Si vous le pouvez, prenez le temps d'établir la crédibilité de l'auteur. Idéalement, découvrez les facteurs qui entrent dans un plugin bien sécurisé ( numéros utilisés une fois [aka "nonce" s) pour l'authentification des requêtes et des URL, filtrage des entrées , échappement des sorties , prévention de l'accès direct aux fichiers des plugins , accès correct des base de données via les méthodes et fonctions WordPress , l'absence d'erreurs et d'avis de dépréciation lorsque le débogage est activé [ne pas l'activer dans les environnements de production], etc.) et examinez chaque plugin que vous installez vous-même.Il n'y a pas de substitut pour comprendre ce qui se passe dans un script de plugin sécurisé , ni aucune meilleure défense contre les plugins merdiques.

Si la pensée de plugins et de thèmes non sécurisés vous fait peur ou si vous ne connaissez pas ou ne cherchez pas à vous familiariser avec PHP, vous pouvez trouver que les services de WordPress.com sont plus votre tasse de thé car ils assument la responsabilité de la vérification des plugins et des thèmes et autoriser uniquement l'installation de ceux jugés sécurisés sur les sites des utilisateurs. Vous pouvez toujours utiliser un domaine personnalisé avec WordPress.com si vous le souhaitez.



Sauvegardez

Certains hôtes fournissent de tels services, d'autres non. Tout comme je ne fais pas confiance à la sécurité d'une plate-forme pour être autonome, je ne fais confiance à aucun hôte pour prendre soin de mes sauvegardes. Je préfère plutôt que mes sauvegardes s'accumulent dans ma Dropbox et soient synchronisées avec différents serveurs afin que je puisse être sûr d'avoir toujours un accès direct à mes sauvegardes avec des copies sur plusieurs systèmes différents. Si mon hôte tombe en panne ou est racheté par une grande entreprise ou un autre malheur d'hébergement, mes sites sont à quelques clics sans même le risque d'avoir à faire face au support de mon hôte.



Notes finales

Vous devriez lire l'entrée du codex sur Hardening WordPress pour plus de conseils de sécurité. Si vous ne pensez pas que vous devriez avoir besoin de nombreux plugins ou de plugins obscurs à l'avenir, il pourrait être plus sage d'avoir WordPress.com ou un autre fournisseur d'hébergement WordPress géré tel que Pagely héberger votre blog.

Quelle que soit la nouvelle fonctionnalité «Mises à jour automatiques du cœur» de WordPress, vous devez toujours vous efforcer de vous assurer manuellement que votre installation et tous vos plugins et thèmes sont à jour. Certains pourraient penser que c'est excessif, mais j'aime activer le débogage après une mise à jour et m'assurer qu'aucun plugin ou thème n'a perdu la compatibilité (un flux d'erreurs et de notifications de dépréciation en est un symptôme fort). Si c'est le cas, je les désactive jusqu'à ce que leurs auteurs les mettent à jour, ou j'apporte moi-même les modifications nécessaires pour me maintenir jusqu'à ce qu'ils publient une mise à jour officielle. Notez que vous devez soit mettre votre site Web hors ligne, soit exécuter une copie de développement hors ligne de votre site Web avant d'activer le débogage pour dépanner quoi que ce soit.

Je ne suis pas sûr de la prévalence de la pratique du bombardement de clics Ad-sense, mais un plugin WordPress proposant d'atténuer les effets de ces bombes cliquables vous offre une couche de sécurité supplémentaire en plus des précautions prises par Google. Les sites Web qui n'exécutent pas WordPress sont confrontés à la même menace exacte en ce qui concerne le bombardement de clics, et doivent soit mettre en œuvre une protection par d'autres moyens ou survivre sans.


Ressources supplémentaires

bosco
la source
grande réponse détaillée!
Will the Web Mechanic
2
Les vidéos YouTube n'ont pas besoin d'un plugin. Ils sont intégrables dans l'installation WP par défaut. Cela fait longtemps.
Dan Gayle
Bonne prise, Dan! J'ai modifié ma réponse pour en tenir compte. J'ai également reculé et reformaté ma réponse pour plus de lisibilité et ajouté un nombre impie de ressources liées pour fournir des informations plus détaillées.
bosco
J'avais pensé qu'il y avait une fois une page Codex entièrement consacrée aux meilleures pratiques de sécurité des plugins mais je n'arrive pas à la localiser maintenant. Il devrait vraiment y avoir ...
bosco
1
bosco: Me rendre jaloux des images. Je pourrais revenir en arrière et créer moi-même une infographie: p
Dan Gayle
7

Autrement dit - WordPress fait ce qu'il fait hors de la boîte, sans plugins requis.

Pourtant! Différentes personnes ont des idées différentes sur ce que d' autre devrait le faire. Certaines de ces idées sont valables. Certains sont complètement fous.

Plus précisément sur vos exemples:

  • WP (ou plus précisément sa version stable actuelle pour le moment) est sécurisé, de nombreux plugins de sécurité se concentrent sur l'audit (des choses comme le code des autres plugins) et une surveillance proactive (rien n'est vraiment absolument sûr).

  • de nombreuses personnes (moi y compris) ne font pas confiance à des tiers pour gérer les sauvegardes. Il existe de nombreuses histoires d'horreur sur la façon dont la confiance des hôtes avec la sauvegarde a conduit à des résultats plutôt tristes et à moins que vous ne puissiez personnellement surveiller, accéder et vérifier les sauvegardes que l'hôte prend [soi-disant], il est plus sûr de les traiter comme s'ils n'existaient pas.

Rarst
la source
Voici des preuves de ce qui peut arriver aux sauvegardes que votre hôte effectue ou ne fait pas smh.com.au/technology/security/…
Brad Dalton
3

WordPress est assez fonctionnel en soi. Si vos besoins sont simples ou si vous savez ajouter des fonctionnalités personnalisées, il n'y a généralement pas besoin de plugins. Cependant, il y a des avantages au modèle de plugin, certains que je vais énumérer:

  • fonctionnalité modulaire, plug and play (principalement)
  • encapsuler des fonctionnalités spécialisées
  • éviter de réinventer la roue
  • bénéficier du travail des auteurs de plugins expérimentés

En se référant à l'avant-dernier point, s'il y a certaines fonctionnalités que vous souhaitez ajouter, les chances sont bonnes qu'il ait déjà été implémenté sous forme de plugin. Il n'est pas faux de bénéficier du travail déjà accompli.

Par le dernier point, de nombreux plugins disponibles sont le résultat des heures et de l'expérience des développeurs. De tels plugins ont tendance à être bien construits et pris en charge, et ont la réputation d'aller avec. Regardez Pippin Williamson, Scott Kingsley Clark et Alex King, pour n'en nommer que quelques-uns. Ils ont non seulement des compétences techniques, mais aussi une crédibilité . Il s'agit d'un énorme avantage de certains plugins tiers.

Dans le cas des sauvegardes, je serais réticent à faire confiance à des hôtes Web avec quelque chose d'aussi important, surtout si les sauvegardes sont conservées sur le même serveur ou sur le même réseau. Un plugin tiers ou une approche DIY vous offre plus de contrôle, ainsi que le stockage habituel de sauvegardes dans un emplacement très séparé du site Web.

Les plugins de sécurité ne sont pas strictement nécessaires, si l' on a le savoir-faire pour gérer eux-mêmes les dispositions de sécurité. Certains de ces plugins, tels que Better WP Security , simplifient la gestion des autorisations de fichiers, des .htaccessdirectives, etc. D'autres, tels que WordFence, fournissent des services de surveillance, tandis que Limit Login Attempts offre une certaine protection pour le backend du site.

Si vous vous inquiétez de la qualité des plugins, cela peut être une affaire à succès. Ceux sur le repo du plugin WordPress, je pense, subissent au moins une vérification par les personnes derrière WordPress, mais la qualité ou la valeur est assez variable - et dépend fortement de vos besoins et capacités. Si un plugin est bien évalué, a un support actif et provient d'un auteur ou d'une équipe bien connu, vous êtes probablement entre de bonnes mains.

Grant Palin
la source
2

Sauvegardes

Les sauvegardes peuvent être prises en charge par votre hôte, mais elles n'offrent généralement qu'une approche «tout ou rien». Si vous utilisez un plug-in, vous pouvez effectuer des sauvegardes hebdomadaires de fichiers et des sauvegardes quotidiennes de bases de données, les exécuter avant d'effectuer toute maintenance ou stocker les fichiers de sauvegarde sur un compte SFTP / S3. Impossible de le faire hors de la boîte sans plugin.

Performance

Étant donné que votre souci concerne les performances (comme en témoigne votre référence Pagespeed), la seule façon que je sache d'utiliser un CDN tiers pour héberger vos images est d'utiliser un plugin (sauf si vous êtes vraiment dans les scripts sur votre serveur, dans auquel cas vous ne poseriez probablement pas cette question ici).

Maintenance à long terme

Toute fonctionnalité qui se situe en dehors de la portée de WP lui-même et modifie / change votre contenu (tel qu'un shortcode) devrait résider dans un plugin, car vous changerez presque certainement un jour votre thème et vous ne voulez pas un tas de contenu cassé sur votre site.

Entrée utilisateur

L'entrée utilisateur est l'endroit où de nombreuses failles de sécurité interviennent, donc si vous acceptez des données utilisateur de quelque nature que ce soit, j'envisagerais certainement d'utiliser un plugin réputé pour gérer cela. Ils sont beaucoup plus susceptibles d'avoir été vérifiés par d'autres et ont été mis à l'épreuve que certains formulaires codés à la main que vous pourriez vouloir ajouter.


POURTANT

Parfois, tout ce dont vous avez besoin est dans votre thème. (SURTOUT si vous l'avez acheté sur Code Canyon / Envato, etc., car ils semblent être extrêmement axés sur les "fonctionnalités".)

Parfois, il est vraiment plus facile de faire un mod à votre thème que de traiter un plugin, comme une bonne partie des plugins "seo".

Dan Gayle
la source
Repérez des exemples de fonctionnalités tout à fait souhaitables qui ne peuvent être obtenues que via des plugins; ce sont certainement quelques-unes des principales facettes!
bosco
1
Je ne dis pas qu'ils ne sont pas faits professionnellement, certains sont assez excellents. Je dis qu'il y a une course aux armements qui se déroule là-bas pour le plus de "fonctionnalités" ajoutées, et j'ai délibérément évité d'acheter un thème que je voulais parce qu'il avait tout simplement trop de fonctionnalités conflictuelles avec le site que je dirigeais. Je souhaite que certains d'entre eux aient simplement les modèles de base et les feuilles de style, sans les trucs supplémentaires.
Dan Gayle
Bon point. Ils ont tendance à être gonflés de "traits" qui ne servent pas plus que les plumes de la queue d'un paon. J'ai certainement choisi de convertir les modèles HTML moi-même plutôt que d'acheter l'homologue WP gonflé dans un certain nombre de cas.
bosco
0

En fait, cela dépend de vos besoins. Si vous souhaitez ajouter plus de fonctionnalités pour votre site sans modifier le fichier de thème, vous avez sûrement besoin de plugins.

WpMania.Net
la source
Vous pouvez ajouter des fonctions de thème dans votre fichier de fonctions de thème enfant sans plugins.
Brad Dalton du
Oui, le thème enfant peut être une solution mais ce sera une solution complexe lorsque vous aurez la possibilité de résoudre votre problème de manière rapide et efficace sans modifier votre fichier de thème.
WpMania.Net
0

Ils sont essentiels si vous souhaitez ajouter un système de commerce électronique ou personnaliser entièrement un thème enfant, sinon vous devrez compléter une énorme quantité de codage personnalisé pour des choses comme le commerce électronique.

Un autre point important est la différence entre l'utilisation de thèmes qui incluent une énorme quantité d'options de thème par rapport à un thème qui offre une large gamme de plugins spécifiques à un thème.

Il est clairement plus facile de personnaliser WordPress en installant des plugins pour ajouter des fonctionnalités plutôt qu'en utilisant un thème qui comprend une énorme quantité d'options intégrées, car vous devez ensuite filtrer les fonctions existantes à l'aide de code plutôt que d'installer des plugins uniquement pour ajouter les fonctions dont vous avez besoin utilisation.

Le code des plugins est également mis à jour lorsque de nouvelles versions de WordPress sont également en version bêta et si les plugins ne sont pas mis à jour, vous pouvez facilement supprimer et installer un nouveau plugin.

Brad Dalton
la source