Даже самым маленьким и простым сайтам WordPress нужны плагины. Но как узнать, какой будет надежно работать, а какой лишь навредит. В этой статье я расскажу, как проверить безопасность плагина WordPress перед установкой на сайт.
Уже известный вам Akismet является обязательным, если на сайте есть блог. Wordfence же надежно защищает сайт от взлома. Это широко используемые плагины WordPress. У них миллионы установок и высокий рейтинг.
Но как насчет всех остальных? Как узнать, безопасно ли использовать плагин, который вы так долго искали, который точно решит вашу задачу?
Как проверить безопасность плагина
Я составила чек-лист из 12 пунктов, с помощью которого вы сможете проверить безопасность плагина.
Зачем это нужно?
Иногда встречаются плагины, сделанные новичками в надежде просто заработать денег. Также бывают случаи, когда одна ошибочная строка кода плагина конфликтует с другими плагинами и способна полностью снести ваш сайт.
И, конечно, никто не отменяет взлома сайта хакером через все тот же плохой плагин.
Что из этого следует?
Вам нужно проявлять особую бдительность в отношении любого нового плагина.
Чек-лист безопасности плагина
1. Неизвестная площадка продаж.
Представим, вы ищете плагин, который добавит не слишком распространенную функцию на сайт, например, определение пола пользователя. Вы выполняете поиск в Google, а первые результаты указывают на несколько независимых сайтов.
Это не означает, что источнику плагина нельзя доверять, даже если электронная почта — единственный способ связи с разработчиком. Но задуматься стоит.
Совет:
Всегда ищите плагины WordPress на авторитетных и популярных площадках.
Вот некоторые из них:
2. Плохая репутация разработчика.
Далее проверьте репутацию разработчика плагина.
Вот некоторые из предупреждающих знаков:
- Владелец плагина не имеет истории как разработчик. Это может означать то, что плагин был выкуплен, чтобы использовать его в качестве средства для ввода вредоносного кода на сайты.
- Поиск имени разработчика в Google не дает результатов. Нет даже сайта.
- Поиск выдает результаты с негативными отзывами о разработчике.
3. Плагин считается небезопасным.
Посмотрите, какие отзывы пишут пользователи. Бывает, разработчик и не думал внедрять плохой код.
Ищите словосочетания «небезопасно», «взломали» вместе с названием плагина. Если вы видите какие-либо результаты, подтверждающие проблемы безопасности, не устанавливайте этот плагин.
4. Подозрительный код.
Если вы достаточно знакомы с тем, как выглядят структуры файлов и директивы, вы можете, по крайней мере, все это проверить. Для этого вы можете использовать руководство WordPress Codex для написания плагина.
Удалите требуемый код из файла и сосредоточьтесь только на том, что осталось. Если что-то выглядит подозрительно, найдите новый плагин.
5. Небольшое количество установок.
На официальном сайте WordPress, в описании плагина, вы можете увидеть количество активных установок.
Это значит, именно такое число сайтов в данный момент используют этот плагин. Если цифра небольшая, стоит задуматься.
6. Несовместимость с последней версией WordPress.
В описании плагина есть две важные строки:
- Требуемая версия WordPress — минимальная версия WordPress для правильной работы плагина.
- Совместим вплоть до — с какой из последних версий WordPress плагин будет работать без ошибок.
Важно: Не забывайте, пожалуйста, обновлять WordPress и работать с последней версией. Всегда.
7. Старая дата обновления плагина.
Популярные плагины обновляется разработчиками регулярно. Вы можете проверить дату последнего обновления в карточке плагина.
Да, есть исключения. Например, простые плагины, которые просто не нуждаются в больших изменениях.
Если плагин обновлялся более 6 месяцев назад, это не очень хороший знак. Поищите другой вариант.
8. Плохой рейтинг плагина.
В карточке плагина также есть и рейтинг. Проверьте, есть ли там негативные отзывы и какие они.
Допустим, вы увидели много плохих отзывов от 2016 года и ни одного от 2019. Это значит, разработчик исправил ошибки, теперь плагин работает правильно — его можно установить.
Также проверьте, как быстро разработчик отвечает на негативные отзывы и что предлагает.
9. Отсутствие техподдержки.
Даже если вы опытный пользователь WordPress и уже сделали несколько десятков сайтов, вы не должны отвечать за возможные ошибки плагина или появляющийся белый экран смерти. Это не ваша проблема, а проблема разработчика.
Как проверить техподдержку на качество:
- посмотрите процент вопросов от пользователей, на которые ответил разработчик.
- проверьте некоторые ответы разработчика — были ли они полезны для пользователей.
- посмотрите, насколько быстро разработчик отвечает пользователям.
10. Отсутствие документации.
Для некоторых простых плагинов она и не нужна. Вам не понадобятся даже скриншоты, чтобы понять, как работает плагин. Но если в нем масса настроек — документация крайне важна.
В противном случае, ее отсутствие приравнивается к отсутствию техподдержки.
11. Плагин конфликтует с другими плагинами.
Конфликт может возникать по нескольким причинам: когда плагины конфликтуют между собой, когда плагин конфликтует с вашей темой или версией WordPress.
У нас есть отдельная статья о конфликтах плагина и способах их разрешения.
Опять же, проверяйте отзывы и любые упоминания о возможных конфликтах плагина. И, конечно, вы всегда можете установить и проверить плагин на дочерней теме. А после этого уже устанавливать на основной сайт.
12. База данных уязвимостей WPScan.
База данных уязвимостей WPScan (WPScan Vulnerability Database) хранит журнал всех известных уязвимостей (с соответствующими датами) плагинов WordPress.
Вы можете использовать функцию поиска, чтобы найти конкретный плагин, который вы хотите использовать на сайте. Я также рекомендую зарегистрироваться для получения уведомлений по электронной почте.
Заключение
Не бойтесь устанавливать и пользоваться плагинами — именно они делают ваш сайт функциональным и полезным. Но, пожалуйста, перед установкой обязательно проверяйте безопасность плагина.
Надеюсь, статья была для вас полезной.
Читайте также:
Наша подборка из 6-ти обязательных плагинов для сайта на WordPress.
На вашем сайте есть плагины, которыми вы не пользуетесь? Узнайте, нужно ли удалять неактивные плагины?
А также наше пошаговое руководство, как сделать сайт на WordPress.
И все о SEO 2020.
Если у вас есть вопросы, пишите в комментариях.
