WordPressは初めてです。最近、ハッカーがプラグインの脆弱性を悪用する方法についての記事を読みました。Google Pagespeedなどのさまざまなソースも、プラグインの使用を思いとどまらせるか、少なくとも最小限に抑えています。個人的には、自分のサイトで何が起こるかをもっとコントロールできると感じているため、プラグインも避けようとしています。

「プラグインの推奨」はトピック外であることを理解していますが、実際に必要なのは、WordPressでいくつかのプラグインが必須であるかどうかの説明です。

以下に例を挙げます。

セキュリティ -いくつかのトッププラグインはセキュリティに関係しています。しかし、WordPressサイトは一般的に脆弱ですか？悪用を避けるために追加のプラグインが必要なのはなぜですか？

バックアップ -ブログの世界は初めてですが、ほとんどのホストはバックアップサービスを提供していませんか？または、WordPressでそのための特別なプラグインが必要ですか？

AdSenseクリック詐欺の監視 -クリック爆弾をブロックして、Googleからの追放を回避することになっています。しかし、プラグインをダウンロードしない限り、収益を停止するためにすべての人がしなければならない偽のクリックはいくつかありますか？

編集：Googleサポートでこれを尋ねる方が良いかもしれませんが、そうであれば無視してください

プラグインの必要性

プラグインの必要性は、「WordPressのコア機能が必要なものすべてであることに満足していますか？」という質問です。

必要なのは、いくつかのカテゴリと設定された多数の静的ページを含むシンプルなブログだけです。ただし、インタラクティブマップ、イベント付きカレンダー、サードパーティREST APIなどの統合を開始する場合は、ユーザーに強力なパスワードの使用を強制するか、サイトをソーシャルネットワークに変換することもできます。プラグインが必要です。Grant Palinの回答は、プラグインが必要な理由についてより多くの洞察を提供します。Dan Gayleの答えは、WordPressプラグインを明示的に使用せずに、多くのテーマがあらゆる種類のプラグイン機能を提供することを指摘しています。

コアセキュリティ

WordPressコア自体は非常に安全であり、コア開発者コミュニティは、セキュリティの脆弱性が特定されるとすぐにそれを隔離し、パッチを当てる立派な仕事をします。 。また、脆弱性の特定から修正のリリースまでの期間に存在していたリスクは、自動コア更新の追加により迅速に排除されています。

_{^{PagelyのWordPressセキュリティインフォグラフィック （かなりの量の情報-クリックして全体を表示）}}

はい、WordPressには固有のセキュリティ脆弱性があります。しかし、Drupal、CakePHP、Ruby on Rails、Symfony、Zendなども同様です。プラットフォームで既に提供されているものに加えて、追加のセキュリティ予防策を実装せずに使用するプラットフォームやシステムはありません。ウェブサイトの最前線のセキュリティ、特に顕著な採用率のあるフレームワークをCMSまたはフレームワークのみに依存することは、単に悪い考えだと思います。

プラグインのセキュリティ

プラグインは完全に安全ではありません。問題は、プラグインが作成者が適切なセキュリティプラクティスに従っていることを確認するために吟味されていないことです。WordPressは作成者が従うべき多くの標準を定めていますが、多くのプラグインは初心者または標準を無視する他の人によって作成されています。しかし、既存のすべてのコードベースと同様に、システムに追加するコードが多いほど、バグや脆弱性が発生する可能性が高くなります。インストールに追加するプラグインが多いほど、リスクが大きくなります。同じ方法で、WordPressのテーマも同様に悪意のある脅威をもたらすことを知ってください-特に、多くがサイトを直接悪用しようとするあいまいなテーマサイトから利用できる「無料のテーマ」の数々無知または事故によってセキュリティの脆弱性を無邪気に公開するのではなく。テーマとプラグインは、信頼できるソースと信頼できる著者からのみ入手してください。

経験則では、広く知られていない著者のプラグインや、比較的新しいシーンのプラグインをインストールしないことです。可能であれば、時間をかけて著者の信頼性を確立してください。理想的には、リクエストとURL認証、入力のサニタイズ、出力のエスケープ、プラグインファイルへの直接アクセスの防止、適切なアクセスのために、十分に保護されたプラグイン（number-used-once [aka "nonce" s] データベースをWordPressのメソッドと関数、デバッグが有効になっているときのエラーや非推奨の通知[実稼働環境で有効にしない]など）、インストールしたすべてのプラグインを確認します。セキュリティで保護されたプラグインスクリプトの内容を理解するための代替手段も、くだらないプラグインに対する優れた防御策もありません。

安全でないプラグインとテーマの考えがあなたを怖がらせるか、PHPに精通していないか、PHPに精通したいと思っている場合、プラグインとテーマを審査する責任を負うため、WordPress.comのサービスがより多くのお茶になることがあります。安全であると判断されたもののみをユーザーのサイトにインストールできるようにします。必要に応じて、WordPress.comでカスタムドメインを引き続き使用できます。

バックアップする

このようなサービスを提供するホストもあれば、そうでないホストもあります。プラットフォームのセキュリティが独立していることを信用していないのと同じように、バックアップを処理するホストも信用していません。むしろ、Dropboxにバックアップを積み上げて複数のサーバーに同期させ、複数の異なるシステムのコピーを使用してバックアップに直接アクセスできると確信できるようにすることを好みます。ホストがダウンしたり、大企業や他のホスティングの不幸によって買収された場合、私のサイトは数回クリックするだけで、ホストのサポートに対処するリスクさえありません。

最終ノート

セキュリティの詳細については、WordPressの強化に関するコーデックスエントリをお読みください。将来多くのプラグインや不明瞭なプラグインが必要になると思わない場合は、WordPress.comまたはPagelyなどの代替マネージドWordPressホスティングプロバイダーをブログにホストする方が賢明かもしれません。

WordPressの新しい「自動コア更新」機能に関係なく、インストールとすべてのプラグインとテーマが最新であることを手動で確認するよう努力する必要があります。過度だと思う人もいるかもしれませんが、更新後にデバッグを有効にして、プラグインやテーマの互換性が失われないようにすることをお勧めします（エラーのストリームと非推奨の通知は、この強力な症状です）。持っている場合は、作成者が更新するまで無効にするか、公式の更新がリリースされるまで私を保持するために必要な変更を自分で行います。デバッグを有効にしてトラブルシューティングを行う前に、Webサイトをオフラインにするか、Webサイトのオフライン開発コピーを実行する必要があることに注意してください。

Ad-senseのクリック爆撃の普及率についてはわかりませんが、そのようなクリック爆弾の影響を軽減するWordPressプラグインは、Googleが実施している予防策に加えて、追加のセキュリティレイヤーを提供しています。WordPressを実行していないWebサイトは、クリック爆撃に関してまったく同じ脅威に直面しており、他の手段で保護を実装するか、それなしで生き残る必要があります。

追加のリソース

• コーデックス：プラグインの作成

  ^{プラグインオーサリングの機能に焦点を当てた紹介で、いくつかのセキュリティのヒントが混在しています。特に、ページの下部にあるプラグイン開発の提案セクションに注意してください。}

• コーデックス：ユーザーデータのサニタイズとエスケープの検証

  ^{これらの概念の簡単な紹介と、それらが重要な理由。}

• コーデックス：セキュリティFAQ

• ハンドブック：PHPコーディング標準

  ^{WordPressのPHPコードの構文に焦点を当てた標準で、いくつかのセキュリティのヒントが混在しています。}

• ハンドブック：PHP Inline Documentation Standards

  ^{インラインのドキュメントを無視するプラグインをインストールしないように絶対に伝えたいと思いますが、実際には優秀な開発者でさえ常にそうするわけではありません。それでも、PHPDocタグを備えた心のこもったインラインドキュメントは、作成者が何をしているのかをある程度理解していることを示しています。}

• WPSE：「WordPressプラグインとテーマのセキュリティベストプラクティスとは？」

  ^{この質問への回答は、他のリソースにリストされていない追加のポイントを提供します。この質問はロックされており、新しい開発を反映するために更新されないことに注意してください。}

• WPSE：「どのコンテキストでデータの検証/サニタイズを担当するプラグインですか？」

  ^{一言で言えば、「いつデータを保護する必要があり、コア機能はいつデータを処理しますか？」}

• WPSE：「最も信頼できるプラグイン開発者は誰ですか？」

  ^{WordPressプラグイン開発で最も信頼されている有名な名前の小さなリスト。絶対に網羅的ではありませんが、いくつかの簡単な「確実なベット」のための良い出発点です。この質問はロックされており、新しい開発を反映するために更新されないことに注意してください。}

• WPSE：テーマ/プラグインの作成者の信頼性を確立するにはどうすればよいですか？」

  ^{プラグインの必要性に関するこのまさに質問に基づいて作成され、この質問が信頼できるテーマ/プラグイン作成者を選択するための一般的なプロセスをもたらすことを願っています。}

• 「WordPressプラグインの無知の危険（およびそれについて何をすべきか）」-トム・エワー

  ^{プラグインの危険性に関する堅実な非技術的概要。}

• 「WordPress向けに開発していますか？あなたのたわごとを安全に保ちます」-マイク・ジョリー

  ^{安全なプラグイン開発のためのベストプラクティスの優れた簡潔な技術概要。記事にリンクされているwptemplate.comのインフォグラフィックには、WordPressのセキュリティ全般に関する追加のヒントが含まれていますが、コンパイルが不十分で、英語で書かれていることに注意してください。}

• 「7つの簡単なルール：WordPressプラグイン開発のベストプラクティス」-WP Tuts +

  ^{Tuts +の記事は通常、正確でかなりの品質です。}

• 「WordPressのセキュリティ– BSを切り抜ける」-Tony Perez

  PerezのChicago 2012 WordCampプレゼンテーションに基づくWordPressセキュリティの脆弱性と予防策の優れた技術概要。

簡単に言えば、WordPressはプラグインを必要とせずに、すぐに使えることを行います。

しかしながら！人によって、他に何をすべきかについての考えが異なります。それらのアイデアのいくつかは健全です。一部は完全に奇抜です。

具体的にあなたの例：

• WP（より正確には現在の安定バージョン）は安全であり、多くのセキュリティプラグインは監査（他のプラグインのコードのようなもの）と予防的な監視（完全に安全なものは何もありません）に焦点を当てています。

• 多くの人々（私を含む）は、サードパーティがバックアップを処理することを信頼していません。ホストをバックアップすることでかなり悲しい結果がもたらされること、そしてホストがバックアップを監視、アクセス、検証することができない限り、ホストが存在しないように扱う方が安全であると思われることについて、多くの恐怖物語があります。

WordPressは、それ自体で非常に機能的です。ニーズが簡単な場合、またはカスタム機能を追加する方法を知っている場合は、通常、プラグインは必要ありません。ただし、プラグインモデルには利点があり、そのいくつかを列挙します。

• モジュラー、プラグアンドプレイ（ほとんど）機能
• 特殊な機能をカプセル化する
• 車輪の再発明を避ける
• 経験豊富なプラグイン作成者の仕事の恩恵を受ける

最後から2番目のポイントを参照すると、追加したい特定の機能がある場合、プラグイン形式で既に実装されている可能性が高くなります。すでに行われた仕事から利益を得るのは間違っていません。

最後のポイントでは、利用可能な多くのプラグインは開発者の時間と経験の結果です。そのようなプラグインはよく構築され、サポートされる傾向があり、評判が高いです。ほんの一例を挙げると、ピピン・ウィリアムソン、スコット・キングスリー・クラーク、アレックス・キングを見てください。彼らには技術的なスキルがあるだけでなく、信頼性もあります。これは、特定のサードパーティプラグインの大きな利点です。

バックアップの場合、特にバックアップが同じサーバーまたは同じネットワーク内に保持されている場合、Webホストを非常に重要なもので信頼することを嫌がります。サードパーティのプラグインまたはDIYのアプローチを使用すると、より多くの制御が可能になります。また、通常、Webサイトから非常に離れた場所にバックアップを保存します。

セキュリティの手配自体を処理するノウハウを持っている場合、セキュリティプラグインは必ずしも必要ではありません。Better WP Securityなどの一部のプラグインは、ファイルのアクセス許可、.htaccessディレクティブなどの処理を簡素化します。WordFenceなどの他のサービスは監視サービスを提供しますが、ログイン試行の制限はサイトバックエンドの保護を提供します。

プラグインの品質が心配な場合は、ヒットまたはミスの可能性があります。WordPressプラグインリポジトリにあるものは、WordPressの背後にいる人々によって少なくともある程度検証されていると思いますが、品質や価値はかなり可変的であり、ニーズと能力に大きく依存します。プラグインが十分にレビューされており、積極的にサポートされており、有名な著者またはチームから提供されている場合、あなたはおそらく良い手にあります。

バックアップ

ホストはバックアップを処理できますが、通常は「すべてまたは何もしない」アプローチしか提供しません。プラグインを使用する場合、毎週のファイルバックアップと毎日のDBバックアップを実行したり、メンテナンスを行う前にそれらを実行したり、バックアップファイルをSFTP / S3アカウントに隠したりできます。プラグインなしでは、すぐにそれを行うことはできません。

性能

あなたの懸念はパフォーマンスにあるため（Pagespeedのリファレンスで証明されているように）、サードパーティのCDNを使用して画像をホストする唯一の方法は、プラグインを使用することです（実際にサーバーでスクリプトを作成する場合を除き、この場合、おそらくこの質問をすることはないでしょう）。

長期メンテナンス

WP自体の範囲外にあり、コンテンツ（ショートコードなど）を変更/変更する機能はプラグインに常駐する必要があります。サイト。

ユーザー入力

ユーザー入力は多くのセキュリティの脆弱性が発生する場所であるため、あらゆる種類のユーザーデータを受け入れている場合は、信頼できるプラグインを使用してそれを処理することを絶対に検討します。追加する可能性のあるいくつかの手書きのフォームよりも、他の人によって吟味され、テストされている可能性がはるかに高くなっています。

しかしながら

必要なものがすべてテーマに含まれている場合があります。（特に、コードキャニオン/ Envatoなどで購入した場合は、非常に「機能」が重視されるためです。）

「seo」プラグインの大部分のように、プラグインを処理するよりも、テーマにmodを作成する方が本当に簡単な場合があります。

実際には要件に依存します。テーマファイルを変更せずにサイトに機能を追加する場合は、必ずプラグインが必要です。

eコマースシステムを追加したり、子テーマを完全にカスタマイズしたい場合は、eコマースのようなもののために大量のカスタムコーディングを完了する必要があります。

別の重要なポイントは、テーマ固有のプラグインを広範囲に提供するテーマと比較して、膨大なテーマオプションを含むテーマの使用の違いです。

必要な機能を追加するためだけにプラグインをインストールするのではなく、コードを使用して既存の機能をフィルタリングする必要があるため、膨大な組み込みオプションを含むテーマを使用するのではなく、プラグインをインストールして機能を追加することでWordPressをカスタマイズするのが明らかに簡単ですつかいます。

プラグインのコードは、WordPressの新しいバージョンがベータ版になったときにも更新されます。プラグインが更新されない場合は、新しいプラグインを簡単に削除してインストールできます。