Anche il più piccolo e semplice dei siti WordPress ha bisogno di plugin. Akismet è un must se il sito ha un blog. Un plugin di sicurezza come Defender non è negoziabile. E uno modulo di contatto solido è necessario se intendi raccogliere lead.
Per la maggior parte, tuttavia, sappiamo che questi plugin di WordPress comunemente usati e referenziati sono affidabili. Vengono forniti con milioni di download, valutazioni elevate e sviluppatori di plug-in che hanno lavorato duramente per creare una reputazione positiva nella comunità creando plug-in privi di errori e fornendo un supporto di prim'ordine.
Ma che dire di tutto il resto? Come fai a sapere se questo WordPress Plugin apparentemente popolare (che farebbe davvero miracoli per il tuo sito) è affidabile? Con i plugin, sfortunatamente, responsabili di un'alta percentuale di violazioni della sicurezza (Wordfence ha messo quel numero al 55,9%), è spaventoso pensare che qualsiasi decisione che prendi per usarne uno sia una scommessa pericolosa.
Quello che vorrei fare ora è parlare di come puoi dire se a WordPress Plugin è acceso. In particolare, condividerò 15 segnali di avvertimento a cui dovresti prestare attenzione che ti faranno sapere quando è meglio non scaricarne uno.
6 segnali di avvertimento che un plugin per WordPress non è affidabile
Mi sento ancora in colpa per aver messo quella recensione sul plugin di WordPress perché, davvero, sono fantastici. Se codificati bene e gestiti correttamente, possono fare cose meravigliose all'interno di WordPress. Ma purtroppo non è sempre così.
A volte ottieni un plug-in creato da uno sviluppatore principiante che spera di fare soldi, ma non ha impiegato il tempo per codificarlo e mantenerlo. Ci sono anche momenti in cui ti imbatti in un plugin che è ben codificato, ma la riga di codice sbagliata è in conflitto con un altro plugin e interrompe l'intero sito in un istante. E, naturalmente, c'è sempre il rischio che un hacker o uno sviluppatore WordPress fasullo ci metta le mani sopra.
Quindi questo significa che devi essere molto vigile su chi lasci entrare, anche se le intenzioni dello sviluppatore originale erano buone.
Per essere diligente, devi sapere come individuare i segnali premonitori di un problema WordPress Plugin. Inizia utilizzando un sistema di verifica per assicurarti che il plug-in sia quello giusto per il tuo sito. Quindi puoi iniziare a scavare più a fondo per vedere se riesci a individuare qualcuno dei segnali di pericolo.
1. Il repository dei plugin sembra strano
Cominciamo da dove li cacciate plugin di WordPress. Ad esempio, supponiamo che tu sia interessato a trovare un plug-in che aggiunga una funzionalità non troppo banale. Esegui una ricerca su Google per la funzionalità e i migliori risultati ti indirizzano a una serie di siti di sviluppatori WordPress indipendenti che affermano di vendere un plug-in che fa proprio questo.
Qualche campanello d'allarme dovrebbe suonare nella tua testa, allora. Anche se ciò non significa che la fonte del plug-in non possa essere considerata attendibile se si atterra sul sito e sembra che sia stata costruita all'inizio degli anni 00 e non c'è modo di contattare lo sviluppatore se non tramite un indirizzo email AOL ... beh, questa è un'enorme bandiera rossa.
In generale, cerca sempre plugin di WordPress che provengono da fonti attendibili. Iniziare con:
- Il repository dei plugin di WordPress
- Mercati dei plugin come CodeCanyon
- Siti per sviluppatori di plugin WordPress come WPMU DEV
Se inizi da lì, ridurrai notevolmente le possibilità di cadere su una mela cattiva durante i tuoi viaggi.
2. Una reputazione come sviluppatore offuscato
Quindi, guarda la reputazione dello sviluppatore del plugin. Non hai necessariamente bisogno di sapere chi è la persona, dove vive, qual è la sua educazione o qualsiasi altra cosa (a meno che tu non sia curioso). Quello che stai cercando qui sono bandiere rosse che ti dicono che qualcosa non va.
Ecco alcuni dei segnali di pericolo:
- Sono un nuovo proprietario del plug-in e non hanno un background come sviluppatore, il che potrebbe significare che hanno acquistato un plug-in abbastanza popolare da essere utilizzato come veicolo per iniettare codice dannoso nei siti Web.
- Una ricerca su Google del loro nome non produce risultati. Nemmeno il loro sito WordPress.
- Oppure, una ricerca su Google del loro nome restituisce risultati, ma vengono visualizzate cose come "Non credo che [nome dello sviluppatore]" o "[nome dello sviluppatore] sia una frode. "
- Facendo clic sul loro nome nel repository WordPress o sul marketplace CodeCanyon, appare un sito Web che è seriamente obsoleto e genera le sue bandiere rosse.
La cosa buona di CodeCanyon Marketplace è che fornisce stati e premi per gli autori di plug-in in base a vendite, risultati e recensioni. Quindi, se sei davvero preoccupato per chi sia la persona o il team dietro il plugin, puoi esplorare il profilo dell'autore.
3. Il plugin è considerato pericoloso
Ovviamente, dovresti anche esaminare la reputazione del plugin WordPress stesso. Come ho detto prima, a volte lo sviluppatore non voleva nemmeno introdurre codice non valido nel plug-in o erano semplicemente troppo nuovi per saperne di più. Quindi, anche se hanno un'immagine cigolante, il plugin potrebbe non esserlo.
Ci sono una serie di cose che puoi controllare che ti aiuteranno a verificare la sicurezza di un plugin di WordPress, ma per questo voglio concentrarmi sulle menzioni esplicite per le quali un plugin non è attendibile. un uso. Ciò significa andare su Google e cercare parole come "pericoloso", "violato" e "compromesso" insieme al nome del plug-in. Se vedi risultati che dimostrano problemi di sicurezza, allontanati.
4. Il codice sembra sospetto
Questo potrebbe non essere il più facile da controllare poiché non tutti sanno come scrivere codice per un plugin. Tuttavia, se hai abbastanza familiarità con la struttura e le linee guida del file, puoi almeno verificare che tutti gli elementi essenziali siano a posto.
È possibile utilizzare la Guida di WordPress per Codex per scrivi un plugin per farlo. Rimuovi il codice richiesto dal file e concentrati su ciò che resta. Se qualcosa ti sembra sospetto, vai là fuori e trova un nuovo plugin.
5. Download insufficienti
Su WordPress, sarai in grado di vedere il numero di installazioni attive:
Questo è fantastico perché non vedi solo il numero di persone che hanno scaricato ed eliminato il plug-in. Questo è il numero di siti Web attualmente installati, che è un buon indicatore di affidabilità.
I mercati dei plugin includono numeri come le vendite totali, anch'esse buone, anche se dovresti fare affidamento su altri dati per confermare che significano davvero qualcosa:
In generale, suggerisco di evitare i plugin di WordPress con meno di 1000 download. In realtà dovresti volere un numero superiore a quello (probabilmente oltre 5000), ma a volte ciò non è possibile se si tratta di una nuova funzionalità che non ha ancora funzionato o di un plug-in che supporta qualcosa che non funziona. non è comunemente usato. Ma dipende anche dal fatto che il plugin sia recente o meno.
6. Incompatibile con l'ultima versione di WordPress
Quando si esaminano i plugin di WordPress nel repository, ci sono due statistiche che dovresti guardare quando si tratta della versione di WordPress:
Il campo "Richiede la versione di WordPress" ti consentirà di sapere fino a che punto può spingersi la tua versione di WordPress per funzionare correttamente con il plugin. Detto questo, non dovresti mai lasciare che il tuo sito funzioni su una versione precedente di WordPress.
"Testato" è l'altro campo da esaminare qui. Questo ti dirà se è compatibile con l'ultimo aggiornamento di base. Se il plugin non è stato ancora aggiornato all'ultima versione, ignoralo.
E, se vedi questo messaggio, esegui:
