WordPress를 처음 사용합니다. 최근 해커가 플러그인의 취약점을 악용하는 방법에 대한 기사를 읽었습니다. Google Pagespeed와 같은 다양한 소스도 플러그인을 사용하지 못하거나 최소한으로 유지하지 못하게했습니다. 개인적으로, 나는 또한 내 사이트에서 일어나는 일에 대해 더 많은 통제력을 느끼기 때문에 플러그인을 피하려고 노력하고 하나를 다운로드하는 것은 거의 '사용 방법을 배워야하는 또 다른 것'과 같은 느낌이 듭니다.

나는 '플러그인 권장 사항'이 주제가 아니라는 것을 이해하지만, 내가 따르는 것은 실제로 WordPress에 일부 플러그인이 왜 필요한지에 대한 설명입니다.

예를 들면 다음과 같습니다.

보안 -몇 가지 최고의 플러그인은 보안과 관련이 있습니다. 그러나 WordPress 사이트는 일반적으로 취약합니까? 악용을 피하기 위해 추가 플러그인이 필요한 이유는 무엇입니까?

백업 -저는 블로그 세계에 익숙하지 않지만 대부분의 호스트가 백업 서비스를 제공하지 않습니까? 아니면 WordPress에 특별한 플러그인이 필요합니까?

애드 센스 클릭 사기 모니터링 -Google에서 추방되지 않도록 클릭 폭탄을 차단한다고 가정합니다. 그러나 나는 플러그인을 다운로드하지 않는 한 모든 사람들이 수입을 차단하기 위해 해야하는 가짜 클릭입니까?

편집 : Google 지원팀에 문의하는 것이 좋습니다. 그렇다면 무시하십시오.

플러그인 필요성

플러그인의 필요성은 다음과 같습니다. " 워드 프레스의 핵심 기능이 필요한 것만으로 만족합니까? "

원하는 것은 일부 카테고리와 많은 정적 페이지가 설정된 간단한 블로그입니다. 그러나 대화식지도, 캘린더, 이벤트 (타사 REST API 등), 사용자가 강력한 암호를 사용하도록하거나 사이트를 소셜 네트워크로 전환하려면 플러그인이 필요합니다. Grant Palin의 답변 은 왜 플러그인을 원하는지에 대한 더 많은 통찰력을 제공합니다. Dan Gayle의 답변 은 많은 테마가 WordPress 플러그인을 명시 적으로 사용하지 않고도 모든 종류의 플러그인 기능을 제공한다고 지적합니다.

핵심 보안

WordPress 핵심 자체는 상당히 안전하며 핵심 개발자 커뮤니티는 보안 취약점을 식별하자마자 적절한 작업 분리 및 패치 작업을 수행합니다. 이는 릴리스마다 수억 명의 사용자를 보유하고 릴리스 당 평균 약 200 명의 핵심 기고자 중 하나입니다. . 또한 자동 핵심 업데이트를 추가하면 취약점을 식별하고 수정 사항을 릴리스 할 때까지 존재했던 위험을 신속하게 제거 할 수 있습니다.

_{^{Pagely의 WordPress 보안 인포 그래픽 (공정한 양의 확실한 정보-전체를 보려면 클릭하십시오)}}

예, WordPress에는 고유 한 보안 취약점이 있습니다. 그러나 Drupal , CakePHP, Ruby on Rails , Symfony, Zend 등도 마찬가지입니다 . 이미 플랫폼에서 제공 한 것 외에 추가 보안 예방 조치를 구현하지 않고 사용할 플랫폼이나 시스템은 없습니다. 모든 웹 사이트 , 특히 채택률이 높은 모든 프레임 워크 의 최전선 보안을 위해 CMS 또는 프레임 워크에만 의존하는 것은 나쁜 생각이라고 생각합니다 .

플러그인 보안

플러그인은 확실하게 안전하지 않습니다. 문제는 플러그인이 제작자가 훌륭한 보안 관행을 따르도록 보장되지 않는다는 것입니다. WordPress는 저자 가 따라야 할 많은 표준을 제시 했지만 초보자 나 표준을 무시하는 다른 사람들이 많은 플러그인을 작성했습니다. 그러나 모든 코드베이스가 존재하는 것처럼 시스템에 코드를 더 많이 추가할수록 버그와 취약점이 발생할 가능성이 커집니다 . 설치에 더 많은 플러그인을 추가할수록 위험을 감수하는 경향이 있습니다. 같은 방법으로 워드 프레스 테마도 마찬가지로 악의적 인 위협을 나타냅니다. 특히 모호한 테마 사이트에서 제공되는 수많은 "자유 테마"는 사이트 를 직접 악용하려고 시도합니다.무지 나 사고로 무고하게 보안 취약점을 노출시키기보다는 신뢰할 수있는 출처와 신뢰할 수있는 작성자로부터 테마와 플러그인 만 구하십시오.

경험상 널리 알려지지 않은 저자의 플러그인이나 현장에서 비교적 새로운 플러그인을 설치하지 않는 것이 좋습니다. 가능하다면 시간을내어 저자의 신뢰성을 확립하십시오. 이상적으로, 잘 보안 플러그인에 들어가는 요소를 배울 수 ( 번호가 사용되는-번 [일명 "비표"S] 요청 URL 인증을 위해 입력 위생 , 출력 탈출 , 파일을 플러그인에 직접 액세스의 방지 , 의 적절한 액세스 데이터베이스 는 워드 프레스 메소드 및 함수 를 통해 , 디버깅 이 활성화 될 때 오류 및 지원 중단 알림이 없음 ( [운영 환경에서 활성화하지 마십시오] 등)하고 직접 설치하는 모든 플러그인을 검사합니다.안전한 플러그인 스크립트 로 들어가는 것을 이해하고 크 래피 플러그인으로부터 더 나은 방어 를하는 것에 대한 대안은 없습니다 .

불안전 한 플러그인과 테마에 대한 생각이 겁나거나 PHP에 익숙하지 않거나 익숙하지 않으려는 경우, WordPress.com 의 서비스가 플러그인과 테마를 검사하고 안전한 것으로 판단 된 사용자 만 사용자 사이트에 설치할 수 있습니다. 원하는 경우 WordPress.com에서 사용자 지정 도메인을 계속 사용할 수 있습니다.

를 백업

일부 호스트는 그러한 서비스를 제공하고 다른 호스트는 제공하지 않습니다. 플랫폼 자체의 보안을 믿지 않는 것처럼, 호스트를 백업을 관리 할 것을 믿지 않습니다. 오히려 백업을 Dropbox에 쌓고 다른 서버와 동기화하여 여러 시스템의 복사본으로 항상 백업에 직접 액세스 할 수 있다는 것을 확신합니다. 내 호스트가 다운되거나 더 큰 회사 나 다른 호스팅 불행으로 인해 구매 된 경우 내 사이트는 호스트의 지원을 처리하지 않아도 몇 번의 클릭만으로 클릭 할 수 있습니다.

최종 노트

보안 강화를 위해 WordPress 강화 에 대한 코덱 항목을 읽어야합니다 . 앞으로 많은 플러그인이나 모호한 플러그인이 필요하지 않다고 생각한다면 WordPress.com 또는 Pagely 와 같은 대체 관리 WordPress 호스팅 제공 업체가 블로그를 호스팅하는 것이 더 현명 할 수 있습니다 .

WordPress의 새로운 "자동 코어 업데이트"기능에 관계없이 설치 및 모든 플러그인과 테마가 최신 상태인지 수동으로 확인해야합니다. 일부는 과도하다고 생각하지만 업데이트 후 디버깅을 활성화하고 플러그인이나 테마가 호환성을 잃지 않도록합니다 (오류 및 사용 중단 알림은 강력한 증상입니다). 그들이 있다면, 나는 그들의 저자가 그들을 업데이트 할 때까지 그것들을 비활성화하거나 그들이 공식적인 업데이트를 발표 할 때까지 나를 붙잡기 위해 필요한 변경을한다. 문제를 해결하기 위해 디버깅을 활성화하기 전에 웹 사이트를 오프라인으로 만들거나 웹 사이트의 오프라인 개발 복사본을 실행해야합니다.

Ad-sense click-bombing 사례의 유병률은 확실하지 않지만 이러한 click-bombs의 영향을 완화하기위한 WordPress 플러그인은 Google의 예방 조치 외에도 추가적인 보안 계층을 제공합니다. WordPress를 실행하지 않는 웹 사이트는 클릭 폭격과 관련하여 똑같은 위협에 직면하며 다른 수단으로 보호를 구현하거나 웹 사이트 없이도 생존해야합니다.

추가 자료

• 코덱스 : 플러그인 작성

  ^{몇 가지 보안 팁이 혼합 된 플러그인 작성에 대한 기능 중심의 소개입니다. 특히, 페이지 하단 근처의 플러그인 개발 제안 섹션에 주의 하십시오.}

• 코덱스 : 사용자 데이터 삭제 및 이스케이프 처리

  ^{이러한 개념에 대한 간략한 소개와 왜 중요한가.}

• 코덱스 : 보안 FAQ

• 핸드북 : PHP 코딩 표준

  ^{몇 가지 보안 팁이 혼합 된 WordPress의 PHP 코드에 대해 구문 중심의 표준입니다.}

• 핸드북 : PHP 인라인 문서 표준

  ^{인라인 문서를 무시하는 플러그인을 설치하지 말라고 절대적으로 말하고 싶지만 실제로는 훌륭한 개발자조차도 항상 그렇게하지는 않습니다. 그럼에도 불구하고 PHPDoc 태그 가 포함 된 충실한 인라인 문서 는 작성자가 자신의 작업에 대한 아이디어를 가지고 있음을 나타내는 좋은 증거입니다.}

• WPSE : "WordPress 플러그인 및 테마에 대한 보안 모범 사례는 무엇입니까?"

  ^{이 질문에 대한 답변은 다른 리소스에 나열되지 않은 몇 가지 추가 사항을 제공합니다. 참고 이 질문에 잠겨 과 새로운 발전을 반영하기 위해 업데이트되지 않습니다.}

• WPSE : "데이터 유효성 검사 / 소화에 플러그인을 지원하는 컨텍스트는 무엇입니까?"

  ^{간단히 말해서, "데이터를 언제 보호해야합니까? 그리고 핵심 기능이 언제 처리해야합니까?"}

• WPSE : "가장 신뢰할 수있는 플러그인 개발자는 누구입니까?"

  ^{WordPress 플러그인 개발에서 가장 신뢰할 수 있고 유명한 이름 중 일부 목록. 어떤 방법으로도 철저하지는 않지만 몇 가지 빠른 "확실한 베팅"을위한 좋은 출발점이됩니다. 참고 이 질문에 잠겨 과 새로운 발전을 반영하기 위해 업데이트되지 않습니다.}

• WPSE : 테마 / 플러그인 작성자의 신뢰성을 어떻게 설정합니까? "

  ^{플러그인의 필요성에 관한이 질문에 기초하여 작성된이 질문이 신뢰할 수있는 테마 / 플러그인 저자를 선택하는 일반적인 프로세스를 제공하기를 바랍니다.}

• " 워드 프레스 플러그인 무지의 위험 (무엇을 해야하는지 ) "-Tom Ewer

  ^{플러그인의 위험에 관한 확실한 비 기술적 개요.}

• " WordPress 용으로 개발 하시나요? 보안 유지 "-Mike Jolley

  ^{안전한 플러그인 개발을위한 베스트 프랙티스에 대한 우수한 간략한 기술 개요. 참고 wptemplate.com에서 인포 그래픽 기사의 링크는 전체 워드 프레스 보안을위한 몇 가지 추가 좋은 팁이 포함되어 있지만 오히려 제대로 컴파일 및 깨진 영어로 작성된다.}

• " 7 가지 간단한 규칙 : WordPress 플러그인 개발 모범 사례 "-WP Tuts +

  ^{Tuts +의 기사는 일반적으로 정확하고 상당한 품질입니다.}

• " 워드 프레스 보안 – BS를 통한 절단 "-Tony Perez

  Perez의 Chicago 2012 WordCamp 프레젠테이션을 기반으로 한 WordPress 보안 취약성 및 예방 조치에 대한 탁월한 기술 개요.

간단히 말해-워드 프레스는 플러그인없이 바로 사용할 수 있습니다.

하나! 다른 사람들은 무엇에 대한 다른 생각이 다른 사람 이해야합니다. 그 아이디어 중 일부는 건전합니다. 일부는 완전히 본질입니다.

구체적으로 귀하의 예 :

• WP (또는 현재보다 안정적인 최신 버전)는 안전하며 많은 보안 플러그인은 감사 (다른 플러그인 코드와 같은 것) 및 사전 모니터링 (실제로는 절대적으로 안전한 것은 아님)에 중점을 둡니다 .

• 많은 사람들 (포함)은 백업을 처리하기 위해 타사를 신뢰하지 않습니다. 백업을 통해 호스트를 신뢰하는 것이 다소 슬픈 결과를 초래 한 방법에 대한 많은 공포 이야기 가 있으며 , 호스트가 존재하지 않는 것처럼 취급하는 것이 더 안전하다고 생각되는 백업을 개인적으로 모니터링, 액세스 및 검증 할 수 없다면.

워드 프레스는 자체적으로 상당히 기능적입니다. 요구 사항이 간단하거나 사용자 정의 기능을 추가하는 방법을 알고 있다면 일반적으로 플러그인이 필요하지 않습니다. 그러나 플러그인 모델에는 몇 가지 장점이 있습니다.

• 모듈 식 플러그 앤 플레이 (주로) 기능
• 특수 기능 캡슐화
• 바퀴를 재발 명하지 마십시오
• 숙련 된 플러그인 작성자의 작업 혜택

마지막부터 끝까지 언급하면 ​​추가하려는 특정 기능이 있다면 이미 플러그인 형태로 구현되었을 가능성이 높습니다. 이미 수행 한 일로부터 이익을 얻는 것은 잘못이 아닙니다.

마지막으로 개발자의 시간과 경험의 결과로 수많은 플러그인을 사용할 수 있습니다. 이러한 플러그인은 잘 구축되고 지원되는 경향이 있으며 평판이 좋습니다. Pippin Williamson, Scott Kingsley Clark 및 Alex King을 보면 몇 가지만 언급 할 수 있습니다. 그들은 기술적 인 능력뿐만 아니라 신뢰성도 가지고 있습니다 . 이것은 특정 타사 플러그인의 엄청난 이점입니다.

백업의 경우 특히 백업이 동일한 서버 또는 동일한 네트워크에 유지되는 경우 웹 호스트를 매우 중요한 것으로 신뢰하는 것을 꺼려합니다. 타사 플러그인 또는 DIY 방식을 사용하면 웹 사이트와 매우 다른 위치에 백업을 저장하는 것뿐만 아니라 더 많은 제어 기능을 제공합니다.

보안 조정 자체를 처리하는 노하우가있는 경우 보안 플러그인이 반드시 필요한 것은 아닙니다 . Better WP Security 와 같은 일부 플러그인 은 파일 권한, .htaccess지시문 등 의 처리를 단순화합니다 . WordFence 와 같은 다른 서비스는 모니터링 서비스를 제공하고 로그인 시도 제한 은 사이트 백엔드를 보호합니다.

플러그인 품질이 걱정된다면 히트 또는 누락이 될 수 있습니다. 워드 프레스 플러그인 레포지토리에있는 사람들은 적어도 워드 프레스 사람들에 의해 약간의 심사를 거치지 만 품질이나 가치는 매우 다양하며 귀하의 요구와 능력에 따라 크게 달라집니다. 플러그인이 잘 검토되고 적극적으로 지원되며 잘 알려진 저자 나 팀이 제공하는 경우에는 도움이 될 것입니다.

백업

호스트는 백업을 처리 할 수 ​​있지만 일반적으로 "전부 또는 전무"방식 만 제공합니다. 플러그인을 사용하는 경우 매주 파일 백업과 매일 DB 백업을 수행하거나 유지 관리를 수행하기 전에 실행하거나 SFTP / S3 계정에 백업 파일을 보관할 수 있습니다. 플러그인 없이는 즉시 사용할 수 없습니다.

공연

귀하의 우려가 (페이지 스피드 참조에 의해 입증 된 바와 같이) 성능에 있기 때문에 이미지를 호스팅하기 위해 타사 CDN을 사용하는 유일한 방법은 플러그인을 사용하는 것입니다 (서버에서 실제로 스크립트를 작성 하지 않는 한 어떤 경우에는이 질문을하지 않을 것입니다).

장기 유지 보수

WP 자체의 범위를 벗어나고 컨텐츠 (예 : 단축 코드)를 수정 / 변경하는 기능은 거의 확실하게 테마를 변경하고 컨텐츠가 손상되는 것을 원하지 않기 때문에 플러그인에 있어야합니다. 대지.

사용자 입력

사용자 입력은 많은 보안 취약점이 발생하는 곳이므로 모든 종류의 사용자 데이터를 허용하는 경우 평판이 좋은 플러그인을 사용하여 처리하는 것이 좋습니다. 그들은 당신이 추가하고 싶을 수있는 몇 가지 손으로 쓴 양식보다 다른 사람들에 의해 심사를 받았으며 테스트를 거쳤을 가능성이 훨씬 높습니다.

하나

때로는 필요한 모든 것이 테마에 있습니다. (특별히 Code Canyon / Envato 등에서 구매 한 경우, 기능이 매우 "특성"인 것 같습니다.)

때로는 "seo"플러그인의 좋은 부분과 같이 플러그인을 다루는 것보다 테마를 수정하는 것이 더 쉽습니다.

실제로 그것은 귀하의 요구 사항에 따라 다릅니다. 테마 파일을 수정하지 않고 사이트에 더 많은 기능을 추가하려면 플러그인이 필요합니다.

eCommerce 시스템을 추가하거나 하위 테마를 완전히 사용자 정의하려면 필수입니다. 그렇지 않으면 eCommerce와 같은 항목에 대해 대량의 사용자 정의 코딩을 완료해야합니다.

또 다른 중요한 점은 다양한 테마별 플러그인을 제공하는 테마와 비교하여 많은 테마 옵션이 포함 된 테마를 사용하는 것의 차이점입니다.

플러그인을 설치하여 기능을 추가하는 것이 훨씬 쉬워졌습니다. 왜냐하면 플러그인을 설치하는 대신 코드를 사용하여 기존 기능을 필터링해야하기 때문에 필요한 기능을 추가하기 만하면됩니다. 사용하다.

플러그인의 코드는 새 버전의 WordPress가 베타 버전 일 때도 업데이트되며 플러그인이 업데이트되지 않은 경우 새 플러그인을 쉽게 삭제하고 설치할 수 있습니다.