web-dev-qa-db-ja.com

Wordpressプラグインは必須ですか?

私はWordPressが初めてです。私は最近、ハッカーがプラグインの脆弱性をどのように悪用できるかについての記事を読みました。 Google Pagespeedのような様々な情報源も私にプラグインの使用をやめさせ、あるいは少なくとも最小限に抑えています。個人的には、私は自分のサイトで起きていることをもっとコントロールできるようになっているのでプラグインを避けようとしている。

私は 'Plugins-recommendation'はトピックから外れていることを理解していますが、私が後にしているのは、実際になぜWordPressでプラグインが不可欠なのか/なぜなら説明です。

例を挙げましょう。

セキュリティ - いくつかのトッププラグインはセキュリティと関係があります。しかし、WordPressサイトは一般的に脆弱ですか?悪用を避けるために追加のプラグインが必要なのはなぜですか?

バックアップ - ブログの世界には慣れていないが、ほとんどのホストがバックアップサービスを提供しているのではないか?それともWordPressでそれのための特別なプラグインが必要ですか?

AdSenseクリック詐欺監視 - Googleからの追放を避けるためにクリック爆弾をブロックすることになっている。しかし、私は理解していません、あなたがプラグインをダウンロードしない限りあなたの収入を止めるためにすべての人々がしなければならないいくつかの偽のクリックですか?

編集:グーグルサポートにこれを尋ねる方が良いかもしれません、もしそうなら無視してください

19
Tony Fire

プラグインの必要性

プラグインの必要性は、「WordPressのコア機能だけで十分だと思いますか?」という質問です。

必要なのは、いくつかのカテゴリと設定された多数の静的ページを含むシンプルなブログだけです。しかし、インタラクティブマップ、イベント付きカレンダー、サードパーティREST AP​​Iの統合を開始し、ユーザーに強力なパスワードの使用を強制する場合、またはサイトをソーシャルネットワークに変える場合は、プラグインが必要です。 Grant Palin's answer は、プラグインが必要な理由についてより多くの洞察を提供します。 Dan Gayle's answer は、多くのテーマがWordPressプラグインを明示的に使用せずにあらゆる種類のプラグイン機能を提供することを指摘しています。



コアセキュリティ

WordPressコア自体は非常に安全であり、コア開発者コミュニティは、セキュリティの脆弱性が特定されるとすぐにそれを隔離し、パッチを当てて立派な仕事をします。リリースごとに約200の主要な貢献者。また、脆弱性の特定から修正のリリースまでの間に存在していたリスクは、 Automatic Core Updates を追加することで迅速に排除されています。

Excerpt from a Pagely WordPress security infographic. Click to view it in its entirety.

PagelyのWordPressセキュリティインフォグラフィック

(しっかりした量の情報-クリックして全体を表示します)</ p>

はい、 WordPressには固有のセキュリティ脆弱性がありますDrupal 、CakePHP、 Ruby on Rails 、Symfony、Zendなども同様です。追加のセキュリティ対策を実装せずに使用するプラットフォームやシステムはありません。プラットフォームによって既に提供されているものに加えて。 ウェブサイトの最前線のセキュリティをCMSまたはフレームワークのみに依存することは、単に悪い考えだと思います、特に顕著な採用率のあるフレームワーク。



プラグインのセキュリティ

プラグインは完全に安全ではありません。問題は、プラグインが作成者が適切なセキュリティプラクティスに従っていることを確認するために吟味されていないことです。 WordPressは、著者が従うべき多くの標準を定めていますが、多くのプラグインは初心者または標準を無視する他の人によって作成されています。しかし、存在するすべてのコードベースと同様に、システムに追加するコードが多いほど、バグや脆弱性を導入する可能性が高くなります。インストールに追加するプラグインが多いほど、リスクが大きくなります。同じ方法で、WordPressテーマも同様に悪意のある脅威をもたらすことを知ってください-特に、あいまいなテーマサイトから入手できる「無料のテーマ」の数々 その多くはサイトを直接悪用しようとします 無知または事故によってセキュリティの脆弱性を無邪気にさらすのではなく。信頼できるソースと信頼できる著者からのみテーマとプラグインを入手してください。

経験則として、広く知られていない著者のプラグインや、比較的新しいシーンのプラグインをインストールしないようにします。可能であれば、時間をかけて著者の信頼性を確立してください。理想的には、十分に保護されたプラグインに入る要因を学習します( numbers-used-once [別名 "nonce" s]リクエストおよびURL認証、 入力サニタイズ 、- 出力のエスケーププラグインファイルへの直接アクセスの防止データベースへの適切なアクセス を通じて WordPressのメソッドと機能debugging が有効になっている場合(本番環境では有効にしないでください)などのエラーや非推奨の通知がなく、自分でインストールするすべてのプラグインを確認します。 セキュアなプラグインスクリプトに何が入るかを理解するための代替物はなく、くだらないプラグインからのより良い防御もありません。

安全でないプラグインとテーマの考えがあなたを怖がらせるか、PHPに精通していないか、PHPに精通しようとしている場合、 WordPress.com のサービスは、彼らが想定するより多くのお茶であると思うかもしれませんプラグインとテーマの調査を担当し、安全であると判断されたもののみをユーザーのサイトにインストールできるようにします。必要に応じて、WordPress.comでカスタムドメインを引き続き使用できます。



バックアップする

このようなサービスを提供するホストもあれば、そうでないホストもあります。プラットフォームのセキュリティがそれ自体の上に立つことを信頼していないのと同様に、バックアップを処理するホストを信頼していません。むしろ、バックアップを複数の異なるシステムのコピーでバックアップに直接アクセスできると確信できるように、Dropboxにバックアップを積み上げて異なるサーバーに同期することを好みます。ホストがダウンしたり、大企業や他のホスティングの不幸によって買収された場合、私のサイトは数回クリックするだけで、ホストのサポートに対処するリスクさえありません。



最終ノート

セキュリティのアドバイスについては、 Hardening WordPress のコーデックスエントリをお読みください。将来多くのプラグインや不明瞭なプラグインが必要になると思わない場合は、 WordPress.com または代替のマネージWordPressホスティングプロバイダーを用意する方が賢明かもしれません。 Pagely など、ブログをホストします。

WordPressの新しい「自動コアアップデート」機能に関係なく、インストールとすべてのプラグインとテーマが最新であることを手動で確認するよう努力する必要があります。過剰だと思う人もいるかもしれませんが、更新後にデバッグを有効にして、プラグインやテーマの互換性が失われないようにすることをお勧めします(エラーと非推奨の通知の流れは、これの強力な症状です)。持っている場合は、著者が更新するまで無効にするか、必要な変更を自分で行って公式の更新がリリースされるまで待ちます。デバッグを有効にしてトラブルシューティングを行う前に、Webサイトをオフラインにするか、Webサイトのオフライン開発コピーを実行する必要があることに注意してください。

Ad-senseのクリック爆弾処理の普及率についてはわかりませんが、このようなクリック爆弾の影響を軽減するWordPressプラグインは、あらゆるものに加えて追加のセキュリティ層を提供しますGoogleが実施している注意事項。 WordPressを実行していないWebサイトは、クリック爆撃に関してまったく同じ脅威に直面しており、他の手段で保護を実装するか、それなしで生き残る必要があります。


追加リソース

26
bosco

簡単に言えば-WordPressは、プラグインを必要とせずに、すぐに使えることを行います。

しかしながら! elseで何をすべきかについては、人によって意見が異なります。それらのアイデアのいくつかは健全です。一部は完全に奇抜です。

具体的にあなたの例:

  • WP(より正確には現在の安定バージョン)は安全であり、多くのセキュリティプラグインは監査(他のプラグインのコードのようなもの)と積極的な監視(実際には何もありません絶対安全です)。

  • 多くの人々(私を含む)は、サードパーティがバックアップを処理することを信頼していません。 ホラーストーリーは、バックアップを使用してホストを信頼すると、かなり悲しい結果をもたらし、ホストが[おそらく]取っているバックアップを個人的に監視、アクセス、および検証できない限り、彼らのように扱う方が安全であるということについて存在しない。

7
Rarst

WordPressはそれ自体でかなり機能的です。あなたのニーズが単純であるか、またはあなたがカスタム機能を追加する方法を知っているならば、一般的にプラグインの必要はありません。ただし、プラグインモデルには利点があります。そのいくつかを以下に列挙します。

  • モジュラー、プラグアンドプレイ(主に)機能
  • 特殊機能をカプセル化する
  • 車輪の再発明を避けなさい
  • 経験豊富なプラグイン作者の仕事から恩恵を受ける

最後から2番目のポイントを参照すると、追加したい機能がある場合は、それが既にプラグイン形式で実装されている可能性があります。すでに行われた作業から恩恵を受けることは間違いではありません。

最後のポイントとして、利用可能な多数のプラグインは開発者の時間と経験の結果です。そのようなプラグインは、よく構築され、サポートされている傾向があり、それに合わせて評判があります。ほんの数例を挙げると、ピピン・ウィリアムソン、スコット・キングズレー・クラーク、アレックス・キングを見てください。彼らは技術的なスキルだけでなく、信頼性を持っています。これは特定のサードパーティ製プラグインの大きな利点です。

バックアップの場合、特にバックアップが同じサーバー上または同じネットワーク内にある場合、Webホストを非常に重要なものに信頼することには消極的です。サードパーティのプラグインまたはDIYのアプローチでは、通常はWebサイトとは別の場所にバックアップを保存するだけでなく、より細かく制御できます。

セキュリティプラグインは厳密には必要ではありません、ifは自分自身でセキュリティの取り決めを扱うためのノウハウを持っています。 Better WP Security などのいくつかのそのようなプラグインは、ファイル許可、.htaccessディレクティブなどの処理を単純化します。 WordFence などの他のものは監視サービスを提供しますが、 ログイン試行回数の制限 はサイトバックエンドの保護を提供します。

もしあなたがプラグインの品質を心配しているのなら、それはヒットまたはミスの可能性があります。 WordPressプラグインレポジトリの人々は、WordPressの背後にいる人々によって少なくともある程度の吟味を受けると思いますが、品質や価値はかなり変わりやすい - そしてあなたのニーズと能力に大きく依存します。プラグインがよくレビューされていて、積極的なサポートを受けていて、有名な作者やチームから来ているのであれば、あなたはよく手にしています。

3
Grant Palin

バックアップ

バックアップはあなたのホストによって大事にされることができます、しかし、それらは通常「オールオアナッシング」アプローチを提供するだけです。プラグインを使用する場合は、毎週のファイルバックアップと毎日のDBバックアップを実行するか、メンテナンスを実行する前にそれらを実行するか、またはバックアップファイルをSFTP/S3アカウントに隠します。プラグインがなければ箱から出してそれを行うことはできません。

パフォーマンス

あなたの懸念は(あなたのPagespeed参照によって証明されるように)パフォーマンスにあるので、あなたのイメージをホストするために私が知る唯一の方法はプラグインを使うことです(あなたが 本当に intoでない限り)サーバー上でスクリプトを作成してください。その場合は、ここでこの質問をすることはおそらくないでしょう。

長期メンテナンス

WP自体の範囲外にあり、コンテンツを変更/変更する機能(ショートコードなど)はプラグインに常駐させる必要があります。あなたのサイトのたくさんの壊れたコンテンツ。

ユーザー入力

ユーザー入力がセキュリティ上の脆弱性がたくさん発生するところです、あなたがどんな種類のユーザーデータを受け入れているなら、私は間違いなくそれを処理するために評判の良いプラグインを使用することを検討したいと思います。あなたが追加したいと思うかもしれないいくつかの手でコード化されたフォームより彼らははるかに他人によって吟味されてテストに置かれている可能性が高いです。


しかしながら

時々あなたが必要とするすべてがあなたのテーマにあります。 (特にCode Canyon/Envatoなどで購入した場合は、非常に「機能的」に駆動されているように見えます。)

時には、 "seo"プラグインの大部分のように、プラグインを扱うよりも、単にあなたのテーマを変更するほうが簡単なことがあります。

2
Dan Gayle

実際にはそれはあなたの要求次第です。テーマファイルを変更せずにサイトの機能をさらに追加したい場合は、プラグインが必要です。

0
WpMania.Net

Eコマースシステムを追加したり、子テーマを完全にカスタマイズしたりするには、これらは不可欠です。そうしないと、eコマースなどのために大量のカスタムコーディングを完了する必要があります。

もう1つの重要な点は、テーマ固有のプラグインを幅広く提供するテーマと比較して、膨大なテーマのオプションを含むテーマを使用することの違いです。

必要な機能を追加するためだけにプラグインをインストールするのではなく、コードを使用して既存の機能をフィルタ処理する必要があるため、プラグインをインストールして機能を追加することでWordPressをカスタマイズする方が明らかに簡単です。つかいます。

新しいバージョンのWordPressがBeta版になったときにもプラグインのコードが更新されます。プラグインが更新されない場合は、新しいプラグインを簡単に削除してインストールできます。

0
Brad Dalton