Nécessité du plugin
La nécessité des plugins se résume vraiment à la question: " Suis-je convaincu que les fonctionnalités de base de WordPress sont tout ce dont j'ai besoin? "
Si tout ce que vous voulez, c'est un simple blog avec quelques catégories et un certain nombre de pages statiques que vous avez définies. Mais si vous souhaitez commencer à intégrer des cartes interactives, des calendriers avec des événements, peut-être une API REST tierce, forcer les utilisateurs à utiliser des mots de passe forts, ou même transformer le site en réseau social, vous avez besoin de plugins. La réponse de Grant Palin donne plus de détails sur la raison pour laquelle on pourrait désirer des plugins. La réponse de Dan Gayle souligne que de nombreux thèmes fournissent toutes sortes de fonctionnalités de plugin sans utiliser explicitement des plugins WordPress.
Sécurité de base
Le cœur de WordPress lui-même est considérablement sécurisé, et la communauté des développeurs principaux fait un travail respectable d'isolement et de correction des vulnérabilités de sécurité dès qu'elles sont identifiées - l'un des avantages d'avoir des centaines de millions d'utilisateurs et une moyenne d'environ 200 contributeurs principaux par version . Et le risque qui était présent pendant la durée entre l'identification d'une vulnérabilité et la publication de son correctif est rapidement éliminé avec l'ajout de mises à jour automatiques du cœur .
Infographie de sécurité WordPress de Pagely ( bonne quantité d'informations solides - cliquez pour la voir dans son intégralité)
Oui, WordPress a des vulnérabilités de sécurité inhérentes . Mais il en va de même pour Drupal , CakePHP, Ruby on Rails , Symfony, Zend, etc .... Il n'y a pas de plateforme ou de système que j'utiliserais sans implémenter des précautions de sécurité supplémentaires en plus de celles déjà fournies par la plateforme. Je pense que c'est simplement une mauvaise idée de s'appuyer uniquement sur le CMS ou le cadre pour la sécurité de première ligne de tout site Web , en particulier tout cadre avec des taux d'adoption notables.
Sécurité des plugins
Les plugins ne sont pas définitivement non sécurisés. Le problème est que les plugins ne sont pas vérifiés pour s'assurer que leurs auteurs ont suivi les bonnes pratiques de sécurité. WordPress a défini un certain nombre de normes que les auteurs doivent suivre, mais de nombreux plugins sont créés par des novices ou d'autres qui ignorent les normes. Mais comme pour toutes les bases de code existantes, plus vous ajoutez de code à un système, plus vous avez de chances d'introduire des bogues et des vulnérabilités . Plus vous ajoutez de plugins à votre installation, plus vous courez de risques. Par le même moyen, sachez que les thèmes WordPress présentent une menace tout aussi malveillante - en particulier les nombreux "thèmes gratuits" disponibles sur les sites à thème obscurs, dont beaucoup tentent d'exploiter directement votre siteplutôt que d'exposer innocemment des failles de sécurité par ignorance ou accident. Obtenez uniquement des thèmes et des plugins à partir de sources fiables et d'auteurs crédibles.
Une règle d'or consiste à ne pas installer de plugins d'auteurs largement inconnus ou de plugins relativement nouveaux sur la scène. Si vous le pouvez, prenez le temps d'établir la crédibilité de l'auteur. Idéalement, découvrez les facteurs qui entrent dans un plugin bien sécurisé ( numéros utilisés une fois [aka "nonce" s) pour l'authentification des requêtes et des URL, filtrage des entrées , échappement des sorties , prévention de l'accès direct aux fichiers des plugins , accès correct des base de données via les méthodes et fonctions WordPress , l'absence d'erreurs et d'avis de dépréciation lorsque le débogage est activé [ne pas l'activer dans les environnements de production], etc.) et examinez chaque plugin que vous installez vous-même.Il n'y a pas de substitut pour comprendre ce qui se passe dans un script de plugin sécurisé , ni aucune meilleure défense contre les plugins merdiques.
Si la pensée de plugins et de thèmes non sécurisés vous fait peur ou si vous ne connaissez pas ou ne cherchez pas à vous familiariser avec PHP, vous pouvez trouver que les services de WordPress.com sont plus votre tasse de thé car ils assument la responsabilité de la vérification des plugins et des thèmes et autoriser uniquement l'installation de ceux jugés sécurisés sur les sites des utilisateurs. Vous pouvez toujours utiliser un domaine personnalisé avec WordPress.com si vous le souhaitez.
Sauvegardez
Certains hôtes fournissent de tels services, d'autres non. Tout comme je ne fais pas confiance à la sécurité d'une plate-forme pour être autonome, je ne fais confiance à aucun hôte pour prendre soin de mes sauvegardes. Je préfère plutôt que mes sauvegardes s'accumulent dans ma Dropbox et soient synchronisées avec différents serveurs afin que je puisse être sûr d'avoir toujours un accès direct à mes sauvegardes avec des copies sur plusieurs systèmes différents. Si mon hôte tombe en panne ou est racheté par une grande entreprise ou un autre malheur d'hébergement, mes sites sont à quelques clics sans même le risque d'avoir à faire face au support de mon hôte.
Notes finales
Vous devriez lire l'entrée du codex sur Hardening WordPress pour plus de conseils de sécurité. Si vous ne pensez pas que vous devriez avoir besoin de nombreux plugins ou de plugins obscurs à l'avenir, il pourrait être plus sage d'avoir WordPress.com ou un autre fournisseur d'hébergement WordPress géré tel que Pagely héberger votre blog.
Quelle que soit la nouvelle fonctionnalité «Mises à jour automatiques du cœur» de WordPress, vous devez toujours vous efforcer de vous assurer manuellement que votre installation et tous vos plugins et thèmes sont à jour. Certains pourraient penser que c'est excessif, mais j'aime activer le débogage après une mise à jour et m'assurer qu'aucun plugin ou thème n'a perdu la compatibilité (un flux d'erreurs et de notifications de dépréciation en est un symptôme fort). Si c'est le cas, je les désactive jusqu'à ce que leurs auteurs les mettent à jour, ou j'apporte moi-même les modifications nécessaires pour me maintenir jusqu'à ce qu'ils publient une mise à jour officielle. Notez que vous devez soit mettre votre site Web hors ligne, soit exécuter une copie de développement hors ligne de votre site Web avant d'activer le débogage pour dépanner quoi que ce soit.
Je ne suis pas sûr de la prévalence de la pratique du bombardement de clics Ad-sense, mais un plugin WordPress proposant d'atténuer les effets de ces bombes cliquables vous offre une couche de sécurité supplémentaire en plus des précautions prises par Google. Les sites Web qui n'exécutent pas WordPress sont confrontés à la même menace exacte en ce qui concerne le bombardement de clics, et doivent soit mettre en œuvre une protection par d'autres moyens ou survivre sans.
Ressources supplémentaires