¿Son esenciales los complementos de Wordpress?

19

Soy nuevo en WordPress. Hace poco leí un artículo sobre cómo los hackers pueden explotar vulnerabilidades en los complementos. Varias fuentes, como Google Pagespeed, también me han disuadido de usar complementos o al menos mantenerlo al mínimo. Personalmente, también trato de evitar los complementos porque me siento más en control de lo que sucede en mi sitio, y descargar uno casi se siente como 'Genial, otra cosa que tengo que aprender a usar'.

Entiendo que 'Plugins-recomendación' está fuera de tema, pero lo que busco es en realidad una explicación de por qué / si algunos complementos son esenciales en WordPress.

Tome estos por ejemplo:

Seguridad : algunos complementos principales tienen que ver con la seguridad. ¿Pero los sitios de WordPress son vulnerables en general? ¿Por qué necesito un complemento adicional para evitar la explotación?

Copia de seguridad : soy nuevo en el mundo de los blogs, pero ¿la mayoría de los hosts no ofrecen servicios de copia de seguridad? ¿O necesito complementos especiales para eso con WordPress?

Monitoreo de fraude de clics de AdSense : se supone que bloquea las bombas de clics para evitar el destierro de Google. Pero no entiendo, ¿son algunos clics falsos que todas las personas tienen que hacer para reducir sus ingresos a menos que descargue un complemento?

Editar: podría ser mejor preguntarle a este en el soporte de Google, ignóralo si es así

Tony Fire
fuente
2
¡Bienvenido a WPSE! Si no lo ha hecho, es posible que desee tener una lectura a través del sitio de recorrido . Si echa un vistazo al Centro de ayuda , encontrará una sección sobre ¿Qué temas puedo preguntar? Diría que su pregunta trata sobre las mejores prácticas de gestión de WP y, por lo tanto, es una buena pregunta.
Pat J
1
Esta es una buena pregunta. En mi experiencia, lo primero que hago cuando me hago cargo del sitio de alguien como webmaster es auditar sus complementos y eliminar todo lo que no es 100% esencial. Nueve de cada diez veces, nadie nota una diferencia, excepto que el sitio se ejecuta más rápido y hay menos errores.
Dan Gayle

Respuestas:

26

Necesidad de complemento

Lo que realmente se reduce a la necesidad de complementos es la pregunta: " ¿Estoy satisfecho de que la funcionalidad principal de WordPress es todo lo que necesito? "

Si todo lo que quieres es un blog simple con algunas categorías y una cantidad de páginas estáticas, estás configurado. Pero si desea comenzar a integrar mapas interactivos, calendarios con eventos, tal vez una API REST de terceros, obligar a los usuarios a usar contraseñas seguras o incluso convertir el sitio en una red social, entonces necesita complementos. La respuesta de Grant Palin proporciona más información sobre por qué uno podría desear complementos. La respuesta de Dan Gayle señala que muchos temas proporcionan todo tipo de funcionalidad de complementos sin usar explícitamente complementos de WordPress.



Seguridad central

El núcleo de WordPress en sí mismo es considerablemente seguro, y la comunidad de desarrolladores principales realiza un trabajo respetable al aislar y parchar las vulnerabilidades de seguridad tan pronto como se identifican, uno de los beneficios de tener cientos de millones de usuarios y un promedio de alrededor de 200 contribuyentes principales por versión . Y el riesgo que solía estar presente durante la duración entre la identificación de una vulnerabilidad y el lanzamiento de su corrección se está eliminando rápidamente con la adición de Actualizaciones automáticas del núcleo .

Extracto de una infografía de seguridad de WordPress de Pagely.  Haga clic para verlo en su totalidad.

Infografía de seguridad de WordPress de Pagely ( Buena cantidad de información sólida: haga clic para verla en su totalidad)

Sí, WordPress tiene vulnerabilidades de seguridad inherentes . Pero también lo hacen Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc. No hay una plataforma o sistema que pueda usar sin implementar precauciones de seguridad adicionales además de las que ya proporciona la plataforma. Creo que es simplemente una mala idea confiar solo en el CMS o el marco para la seguridad de primera línea de cualquier sitio web , especialmente cualquier marco con tasas de adopción notables.



Complemento de seguridad

Los complementos no son definitivamente inseguros. El problema es que los complementos no se examinan para garantizar que sus autores sigan las buenas prácticas de seguridad. WordPress ha establecido una serie de estándares que los autores deben seguir, pero muchos complementos son creados por principiantes u otras personas que ignoran los estándares. Pero como con todas las bases de código existentes, cuanto más código agregue a un sistema, mayor será la probabilidad de introducir errores y vulnerabilidades . Cuantos más complementos agregue a su instalación, mayor será el riesgo que tiende a correr. Del mismo modo, sepa que los temas de WordPress presentan una amenaza igualmente maliciosa, en particular la gran cantidad de "temas gratuitos" disponibles en sitios temáticos oscuros, muchos de los cuales intentan explotar directamente su sitioen lugar de exponer inocentemente vulnerabilidades de seguridad por ignorancia o accidente. Solo obtenga temas y complementos de fuentes confiables y autores creíbles.

Una regla general es no instalar complementos de autores ampliamente desconocidos o complementos que son relativamente nuevos en la escena. Si puede, tómese el tiempo para establecer la credibilidad del autor. Idealmente, aprenda los factores que intervienen en un complemento bien protegido ( números utilizados una vez [aka "nonce" s) para solicitud y autenticación de URL, desinfección de entrada , escape de salida , prevención de acceso directo a archivos de complemento , acceso adecuado a base de datos a través de los métodos y funciones de WordPress , la ausencia de errores y avisos de desaprobación cuando se habilita la depuración [abstenerse de habilitarla en entornos de producción], etc.) y verifique cada complemento que instale usted mismo.No hay sustituto para comprender lo que entra en el script de complemento seguro , ni una mejor defensa contra los complementos deficientes.

Si la idea de complementos y temas inseguros te asusta o no estás familiarizado con PHP o quieres familiarizarte con él, es posible que los servicios de WordPress.com sean más tuyos, ya que asumen la responsabilidad de investigar los complementos y temas y solo permita que aquellos que se determinen que sean seguros se instalen en los sitios de los usuarios. Todavía puede usar un dominio personalizado con WordPress.com si lo desea.



Respaldarlo

Algunos anfitriones brindan tales servicios, otros no. Así como no confío en que la seguridad de ninguna plataforma se mantenga por sí misma, no confío en que ningún host se encargue de mis copias de seguridad. Por el contrario, prefiero que mis copias de seguridad se acumulen en mi Dropbox y se sincronicen con diferentes servidores para poder estar seguro de que siempre tengo acceso directo a mis copias de seguridad con copias en varios sistemas diferentes. Si mi host se cae o es comprado por una empresa más grande o alguna otra desgracia de alojamiento, mis sitios están a unos pocos clics de distancia sin siquiera el riesgo de tener que lidiar con el soporte de mi host.



Notas finales

Debe leer la entrada del códice en Endurecimiento de WordPress para obtener más consejos de seguridad. Si no cree que deba necesitar muchos complementos o complementos oscuros en el futuro, puede ser más prudente tener WordPress.com o un proveedor alternativo de alojamiento administrado de WordPress como Pagely alojar su blog.

Independientemente de la nueva característica "Actualizaciones automáticas principales" de WordPress, aún debe esforzarse por asegurarse manualmente de que su instalación y todos sus complementos y temas estén actualizados. Algunos pueden pensar que es excesivo, pero me gusta habilitar la depuración después de una actualización y asegurarme de que ningún complemento o tema haya perdido la compatibilidad (un flujo de errores y avisos de desaprobación es un síntoma fuerte de esto). Si lo han hecho, los desactivo hasta que sus autores los actualicen, o hago los cambios necesarios para detenerme hasta que publiquen una actualización oficial. Tenga en cuenta que debe desconectar su sitio web o ejecutar una copia de desarrollo fuera de línea de su sitio web antes de habilitar la depuración para solucionar cualquier problema.

No estoy seguro de la prevalencia de la práctica de bombardeo con clics de Ad-sense, pero un complemento de WordPress que ofrece mitigar los efectos de tales bombas de clics le ofrece una capa adicional de seguridad además de las precauciones que Google haya implementado. Los sitios web que no ejecutan WordPress enfrentan la misma amenaza exacta con respecto al bombardeo con clics, y deben implementar la protección por otros medios o sobrevivir sin ella.


Recursos adicionales

bosco
fuente
¡Gran respuesta detallada!
¿Será el mecánico web el
2
Los videos de YouTube no necesitan un complemento. Se pueden insertar en la instalación predeterminada de WP. Han sido por mucho tiempo.
Dan Gayle
Buena captura, Dan! Edité mi respuesta para dar cuenta de esto. También volví y volví a formatear mi respuesta para facilitar la lectura y agregué un número impío de recursos vinculados para proporcionar información más detallada.
bosco
Había pensado que había una vez una página del Codex completamente dedicada a las mejores prácticas de seguridad de complementos, pero ahora parece que no puedo localizarla. Realmente debería haber ...
bosco
1
bosco: Poniéndome celoso de las imágenes. Podría regresar y crear una infografía yo mismo: p
Dan Gayle
7

En pocas palabras: WordPress hace lo que hace fuera de la caja, sin necesidad de complementos.

¡Sin embargo! Diferentes personas tienen diferentes ideas sobre qué más debería hacer. Algunas de esas ideas son sólidas. Algunos son completamente locos.

Específicamente en tus ejemplos:

  • WP (o la versión estable actual más precisa del mismo por el momento) es seguro, muchos complementos de seguridad se centran en la auditoría (cosas como el código de otros complementos) y la supervisión proactiva (nada es realmente absolutamente seguro).

  • muchas personas (incluido yo) no confían en terceros para manejar las copias de seguridad. Hay muchas historias de horror sobre cómo confiar en los hosts con copia de seguridad condujo a resultados bastante tristes y, a menos que pueda monitorear, acceder y verificar personalmente las copias de seguridad que el host está [supuestamente] tomando, es más seguro tratarlas como si no existieran.

Rarst
fuente
Aquí hay pruebas de lo que puede suceder con las copias de seguridad que su host hace o no hace smh.com.au/technology/security/…
Brad Dalton
3

WordPress es bastante funcional por sí solo. Si sus necesidades son sencillas, o si sabe cómo agregar una funcionalidad personalizada, generalmente no necesita complementos. Sin embargo, hay ventajas para el modelo de complemento, algunas que enumeraré:

  • funcionalidad modular, plug and play (principalmente)
  • encapsular funcionalidad especializada
  • evitar reinventar la rueda
  • beneficiarse del trabajo de autores de plugins experimentados

Refiriéndose al penúltimo punto, si hay cierta funcionalidad que desea agregar, es muy probable que ya se haya implementado en forma de complemento. No está mal beneficiarse del trabajo que ya se ha realizado.

Por último, numerosos complementos disponibles son el resultado de las horas y la experiencia de los desarrolladores. Dichos complementos tienden a estar bien construidos y respaldados, y tienen la reputación de ser compatibles. Mire a Pippin Williamson, Scott Kingsley Clark y Alex King, por nombrar solo algunos. No solo tienen habilidades técnicas, tienen credibilidad . Este es un gran beneficio de ciertos complementos de terceros.

En el caso de las copias de seguridad, sería reacio a confiar en los servidores web con algo tan importante, especialmente si las copias de seguridad se mantienen en el mismo servidor o dentro de la misma red. Un complemento de terceros o un enfoque de bricolaje le brinda más control, así como generalmente almacena copias de seguridad en una ubicación muy separada del sitio web.

Los complementos de seguridad no son estrictamente necesarios, si uno tiene los conocimientos para manejar los arreglos de seguridad. Algunos de estos complementos, como Better WP Security , simplifican el manejo de permisos de archivos, .htaccessdirectivas y similares. Otros, como WordFence, brindan servicios de monitoreo, mientras que los intentos de inicio de sesión limitados brindan cierta protección para el servidor.

Si le preocupa la calidad del complemento, puede ser un asunto impredecible. Aquellos en el repositorio de complementos de WordPress creo que se someten al menos a una investigación por parte de las personas detrás de WordPress, pero la calidad o el valor es bastante variable, y depende en gran medida de sus necesidades y habilidades. Si un complemento está bien revisado, tiene soporte activo y proviene de un autor o equipo conocido, es probable que esté en buenas manos.

Grant Palin
fuente
2

Copias de seguridad

Su host puede encargarse de las copias de seguridad, pero generalmente solo ofrecen un enfoque de "todo o nada". Si usa un complemento, puede hacer copias de seguridad de archivos semanales y copias de seguridad de bases de datos diarias, ejecutarlas antes de realizar cualquier mantenimiento o guardar los archivos de copia de seguridad en una cuenta SFTP / S3. No puedo hacer eso fuera de la caja sin un complemento.

Actuación

Dado que su preocupación está en el rendimiento (como lo demuestra su referencia de Pagespeed), la única forma en que sé utilizar un CDN de terceros para alojar sus imágenes es mediante el uso de un complemento (a menos que esté realmente interesado en las secuencias de comandos en su servidor, en en cuyo caso probablemente no estaría haciendo esta pregunta aquí).

Mantenimiento a largo plazo

Cualquier funcionalidad que se encuentre fuera del alcance de WP y que modifique / cambie su contenido (como un shortcode) debe residir en un complemento, porque casi seguro que algún día cambiará su tema y no querrá un montón de contenido roto en su sitio.

Entrada del usuario

La entrada del usuario es donde entran muchas vulnerabilidades de seguridad, por lo que si acepta datos de usuario de cualquier tipo, definitivamente consideraría usar un complemento de buena reputación para manejar eso. Es mucho más probable que hayan sido revisados ​​por otros y puestos a prueba que algunos formularios codificados a mano que desee agregar.


SIN EMBARGO

A veces todo lo que necesitas está en tu tema. (ESPECIALMENTE si lo compró en Code Canyon / Envato, etc., ya que parecen ser extremadamente "características" impulsadas).

A veces, es realmente más fácil hacer un mod en su tema que tratar con un complemento, como una buena parte de los complementos "seo".

Dan Gayle
fuente
Encuentra ejemplos de funcionalidades totalmente deseables que solo se pueden obtener a través de complementos; ¡Estas son definitivamente algunas de las principales facetas!
bosco
1
No digo que no se hagan profesionalmente, algunos son excelentes. Estoy diciendo que hay una carrera armamentista allí por la mayoría de las "características" agregadas, y he evitado a propósito comprar un tema que quería porque simplemente tenía demasiada funcionalidad conflictiva con el sitio que estaba ejecutando. Desearía que algunos de ellos simplemente tuvieran las plantillas base y las hojas de estilo, sin el material adicional.
Dan Gayle
Punto justo. Tienden a estar hinchados con "características" que no tienen más propósito que las plumas de la cola de un pavo real. Ciertamente, he optado por convertir plantillas HTML yo mismo en lugar de comprar la contraparte WP hinchada en varias instancias.
bosco
0

En realidad depende de sus requerimientos. Si desea agregar más funcionalidades para su sitio sin modificar el archivo de tema, entonces seguramente necesita complementos.

WpMania.Net
fuente
Puede agregar funciones de tema en su archivo de funciones de temas hijo sin complementos.
Brad Dalton el
Sí, el tema secundario puede ser una solución, pero será una solución compleja cuando tenga la opción de resolver su problema de manera rápida y efectiva sin modificar su archivo de tema.
WpMania.Net
0

Son esenciales si desea agregar un sistema de comercio electrónico o personalizar completamente un tema secundario; de lo contrario, necesitaría completar una gran cantidad de codificación personalizada para cosas como el comercio electrónico.

Otro punto importante es la diferencia entre el uso de temas que incluyen una gran cantidad de opciones de tema en comparación con un tema que ofrece una amplia gama de complementos específicos de tema.

Es claramente más fácil personalizar WordPress instalando complementos para agregar funcionalidades en lugar de usar un tema que incluye una gran cantidad de opciones integradas porque entonces necesita filtrar las funciones existentes usando código en lugar de instalar complementos solo para agregar las funciones que necesita utilizar.

El código en los complementos también se actualiza cuando las nuevas versiones de WordPress también están en Beta y si los complementos no se actualizan, puede eliminar e instalar fácilmente un nuevo complemento.

Brad Dalton
fuente