Istnieją wtyczki, które mimo miliona instalacji na koncie, po prostu szkodzą Twojej stronie www. Niestety ich popularność nie maleje. Szybkie rozwiązanie to nie zawsze dobre rozwiązanie.
Wtyczki to zarówno błogosławieństwo jak i przekleństwo WordPressa. Błogosławieństwo bo w łatwy sposób możesz rozszerzyć funkcjonalności Twojej strony www. Przekleństwo, bo pisania wtyczek można nauczyć się bardzo szybko. Ale zrobienia tego dobrze – już nie. Przez to łatwo stronę spowolnić, obciążyć albo… nawpuszczać na nią robali.
W tym artykule zebrałam kilka wtyczek, które znajduje najczęściej robiąc audyty stron www.

lekarstwo na wszystko

Kiedy w 2017 roku zaczynałam swoją przygodę z tworzeniem stron www, myślałam, że wtyczka jest lekarstwem na wszystko. W końcu skoro są one w oficjalnym repozytorium WordPressa to znaczy, że śmiało można instalować, prawda? No właśnie nie do końca.
Na całe szczęście, ostro wzięłam się do nauki. Poznałam sposób w jaki działa wordpress, odświeżyłam i poznałam języki programowania i wtedy się zaczęło.
Bo wiesz… wtyczki to nic innego jak kawałki kodu zamknięte w pliku, który instalujesz na serwerze. Czasami zamiast instalacji potężnej wtyczki (która „robi” kilka rzeczy) wystarczy dopisać kawałek kodu php (jak np w w TYM wpisie) i mamy tę samą funkcjonalność bez większego obciążania strony.

Skąd takie podejście? WordPress jest jak dom. Fundamenty to system CMS (wordpress), kolory ścian, podłogi, okna, drzwi to motyw, a wtyczki to wystrój wnętrza.

Kiedy wtyczka może zaszkodzić?

Kiedy przychodzi do mnie klient i tworzę zarys jego strony www, wypisuję funkcjonalności, które ma mieć jego witryna. Za każdym razem zastanawiam się, które z nich zaimplementować za pomocą wtyczki, a które po prostu napisać. Dlaczego? Bo ponad 95% ujawnionych luk bezpieczeństwa na stronach internetowych pochodzi z wtyczek.
I logicznie myśląc – im mniej wtyczek tym mniejsze prawdopodobieństwo nadszarpnięcia bezpieczeństwa (w dużym uproszczeniu oczywiście).
Jednak jeżeli tworzysz stronę samodzielnie albo jesteś na początku swojej drogi ze świadczeniem tego typu usług, warto poznać wtyczki, których nie instaluje się NIGDY!

Certyfikat SSl

Jest taka wtyczka, którą znajduję najczęściej podczas audytów. Jej zadanie jest proste – na pasku przeglądarki, obok adresu witryny, ma się świecić zielona kłódka. Dla odwiedzającego to znak, że połączenie, które nawiązał z witryną jest bezpieczne.
Wtyczką, która jest niepotrzebna i często jest instalowana bez konfiguracji jest wtyczka Really Simple SSL. W repozytorium WordPressa znajdziesz statystykę, która mówi, że instalowano ją ponad 5 mln razy, a jej ocena to 5 gwiazdek.
Ta wtyczka, nie dość, że przez programistów nazywana sitem (często jest dziurawa) sprawia, że strona zwalnia, a certyfikat SSL nie jest wdrożony poprawnie (mimo, że strona pokazuje, że jest).

Jak ona działa? Zmienia adres naszej strony (z http na https) „w locie”. Co to oznacza? Że wtyczka pokazuje naszemu odbiorcy, że strona „niby” ma szyfrowanie. Do nie jest dobra droga.

Jak poprawnie wdrożyć certyfikat SSL? O tym już wkrótce na blogu.

Zabezpiecz wordpress… wtyczką!

Żartuję! NIGDY tego nie rób! I ja wiem, że fajnie by było zainstalować jedną wtyczkę i z głowy. Ale to tak nie działa.
Pierwsze zabezpieczenia wdraża się… przed zakupem hostingu. Jak? A no po prostu dopytując o parametry i pewne rzeczy. Kolejne pojawiają się na etapie instalacji WordPressa.
Co ważne – nie każdą stronę zabezpiecza się tak samo.
Wiesz dlaczego nie robi się tego wtyczkami? Bo wtyczki bezpieczeństwa… pogarszają bezpieczeństwo! Tak, tak. Dobrze czytasz. Często same są obiektami ataków.

Przykładem takich wtyczek są WordFence Security (instalowany namiętnie) , iThemes Security, All in One WP Security. Jeśli jakaś wtyczka ma w nazwie „Security” – uciekaj. A jak nie uciekniesz to przynajmniej jej nie instaluj.

Największe grzechy takich wtyczek to zupełnie chaotyczne skanowanie plików, stwarzanie pozornego bezpieczeństwa, gromadzenie dużej ilości danych. W efekcie strona zwalnia, serwer i bazy danych zapychane są „śmieciami”.

Co do pozornego bezpieczeństwa – żeby strona była bezpieczna musimy zadbać, żeby „zapory” postawione były ZANIM coś wniknie do środka. Wtyczka bezpieczeństwa jest w środku naszej strony. Czyli wykryje (albo i nie) zagrożenie, które już jest w środku. Bezsensu prawda? Po cholerę nam wtyczka bezpieczeństwa, która poinformuje, że mamy wirusa skoro nas interesuje, żeby ona go w ogóle nie wpuściła?

No dobra. To jak zabezpieczyć takiego WordPressa? Jeżeli nie masz pojęcia o zabezpieczeniach to najlepiej zlecić to programiście. Wiem co mówię, bo przez 5 lat gromadziłam wiedzę o tym, jak dobrze zabezpieczyć strony i przerobiłam wiele scenariuszy (a przede mną jeszcze całkiem sporo). Instaluj wtyczki tylko z dobrych źródeł, dbaj o ich aktualizacje, ustawiaj mocne hasła – 3 rzeczy, które możesz zacząć stosować już dzisiaj.

Google analytics – tylko pluginem!

To kolejne wtyczki, które bardzo często znajduję podczas audytów. No bo po co wchodzić w kilka miejsc i analizować dane, jak można zainstalować wtyczkę i mieć wszystko w jednym miejscu?
No właśnie po to, żeby strona nie zamulała. Google Analytics, Tag Manager, Pixel FB – to wszystko dodaje się na stronę kawałkiem kodu. Nie generujesz wtedy zbędnych danych, które gromadzone są w naszej bazie danych.
System wczytując Twoją stronę musi się przez te dane przebić. Im więcej danych tym więcej mu to zajmuje.

Niepotrzebne kombajny

Często jest też tak, że chcąc rozszerzyć funkcjonalność naszej witryny instalujemy wtyczkę z polecenia. Niestety oprócz funkcji A, na której nam zależy, wtyczka ma też B i C i nawet Z. W efekcie nadmiernie obciążamy stronę.
Ah no i jeszcze jedno – kilka wtyczek kombajnów, które… robią to samo