Tarpeettomat, kielletyt ja haitalliset lisäosat

Suurin osa miltei 60 000 WordPress-lisäosasta toimii hyvin tarkoituksessaan, mutta olemme törmänneet muutamaan, joiden käyttö ei ole suositeltua Seravon WP-palvelussa. Haitalliset lisäosat voivat aiheuttaa merkittäviä ongelmia sivuston tietoturvassa, nopeudessa tai muussa toiminnassa. Jos sivustolla havaitaan tietoturvapoikkeama, saatamme jopa automaattisesti poistaa alla luetellut lisäosat asiakkaiden ympäristöistä. Suosittelemme välttämään alla lueteltuja lisäosia.

Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.

Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.

Välimuistilisäosat

Seravon WP-palvelu on rakennettu erityisesti WordPressiä varten, ja olemme tehneet paljon työtä nopeusoptimoinnin eteen. Pääosin WordPressin PHP-tasolla tehtävät lisätemput välimuistituksen suhteen itse asiassa hidastavat sivuston nopeutta tekemällä ylimääräisiä asioita, ja joskus jopa häiritsemällä palvelintason optimointeja.

Suosittuja välimuistilisäosia, joista ei kuitenkaan ole hyötyä WP-palvelussa ovat esimerkiksi:

  • W3 Total Cache
  • WP Super Cache
  • WP File Cache
  • Autoptimize

Listalla mainittu WP Super Cache toimii kuitenkin joissain tapauksissa, mikäli sille on asennettu lisäsäännöt NGINX:ään, ja muutoinkin toimivat lisäosan asetukset on löydetty (lisäsäännöstä tulee poistaa location -blokki).

Tietoturvalisäosat

Samasta syystä useimmat tietoturvalisäosat ovat tarpeettomia Seravolla, sillä toiminnallaan ne lähinnä vain hidastavat sivustoa:

  • Better WP Security
  • iThemes Security
  • WordFence
  • Limit login attempts
  • Login wall

Tietoturvalisäosassa WordFence on esimerkiksi ominaisuus, joka poistaa WordPressin ytimeen kuuluvan tiedoston readme.html. WordPressin ytimeen kuuluvia tiedostoja ei saisi poistaa, koska palvelumme tietoturvavalvonta hälyttää, mikäli WordPressin ytimestä puuttuu tiedostoja. Kyseisen readme.html-tiedoston suojaukset on hoidettu jo WP-palvelun toimesta, eikä WordFence tuota lisäarvoa poistamalla kyseistä tiedostoa.

WordPressin ydin itsessään on turvallinen. Ongelmat aiheutuvatkin yleensä lisäosista, ja niitä kannattaa olla mahdollisimman vähän, jotta hyökkäyspinta-alaa olisi sivustolla vähemmän. WordPressin tietoturvahaavoittuvuustilaston top-10:ssä enemmistö on tietoturvalisäosia, mikä myös kertoo siitä, että niistä on yleensä enemmän haittaa kuin hyötyä.

Tietoturvaan liittyen suositeltava lisäosa on sen sijaan monivaiheinen kirjautuminen (MFA) sekä mikä tahansa Google ReCaptchan sivustolle integroiva lisäosa, koska sillä voi tehokkaasti suojata kommentointitoiminnot ja sisäänkirjautumissivun automatisoitujen bottien toiminnan ehkäisemiseksi. Lue lisää myös Seravon WP-palvelun blogista.

Tietokantaa sotkevat lisäosat

Seuraavat yleiset lisäosat sotkevat tai hidastavat tietokantaa, mikä heikentää WordPressin ylläpidettävyyttä ja suorituskykyä:

  • Broken Link Checker
  • MyReviewPlugin
  • LinkMan
  • Fuzzy SEO Booster
  • WP PostViews
  • Tweet Blender

Varmuuskopiointilisäosat

Seravon WP-palvelussa päivittäinen varmuuskopiointi on hoidettu automaattisesti, ja varmuuskopiot ovat saatavilla aina 30 päivää kerrallaan. Ylimääräisiä lisäosia varmuuskopiointiin ei siis tarvita, kuten esimerkiksi:

  • Backup Guard
  • Backup Scheduler
  • Backup WordPress
  • BackWPup Free
  • BlogVault
  • Updraft
  • Duplicator
    • Esim. seuraamalla Duplicatorin "Quick Start" -ohjetta sivuston tuomiseksi sivustosi tietokantayhteys voi rikkoutua

Turvallisuussyistä huonot lisäosat

Tunnetusti paljon tietoturva-aukkoja sisältävät lisäosat sekä tietokanta- tai tiedostopääsyn avaavat lisäosat ovat kiellettyjä. Mikäli tällaisia lisäosia on käytössä sivustolla, ei sivuston tietoturvaa voida taata eikä Seravon Tietoturvatakuu ole tällöin voimassa. Näitä ovat esimerkiksi:

  • PHPMyAdmin tai Adminer sellaisinaan tai WP-lisäosina
    • Näiden sijaan tulee käyttää Seravon WP-palvelun tarjoamia välineitä tietokannan käsittelyyn graafisesti tai komentoriviltä. Adminer löytyy palvelustamme valmiiksi asennettuna.
  • File Commander
  • File Manager
  • Sweet Captcha
  • Upladify
  • Ultimate Member

Kooditasolla huonolaatuiset lisäosat

WordPress-lisäosia tekevät monentasoiset ohjelmoijat. Siksi on luonnollista, että koodi ei ole aina niin tehokasta ja toimintavarmaa kuin voisi olla. Aina lisäosan tekijä ei myöskään paranna koodiaan kehotuksista huolimatta. Mikäli tietty lisäosa aiheuttaa ongelmia toistuvasti, suosittelemme välttämään sen käyttöä.

  • WPML: hidas ja koodissa laatuongelmia, eivätkä ota korjauksia vastaan. Parempi vaihtoehto monikielisyyden toteuttamiseen on Polylang tai MultilingualPress.
  • TimThumb: koodissa vakavia puutteita ja hyvin usein tietoturvaongelmia.
  • ReduxFramework: aiemmin tämä lisäosa ei tukenut sivustoja joilla on käytössä HTTPS, ja edelleen epästandardi URL-toteutus ei toimi kaikilla sivustoilla, eivätkä ota korjauksia vastaan.

Huoltotilalisäosat

Useimmat huoltotilalisäosat toimivat hyvin, mutta seuraavien lisäosien on huomattu rikkovan sivuston toiminnallisuutta:

  • Maintenance Mode with Timer
  • Simple WP Maintenance Mode

Käyttämättömät lisäosat

Monilla sivustoilla on deaktivoituja lisäosia, joita ei enää käytetä. Ne kannattaa poistaa kokonaan, sillä kaikki palvelimella oleva PHP-koodi on potentiaalinen tietoturvaongelma ja muutenkin turhat tiedostot vievät tilaa. Kaikki käytöstä poistetut lisäosat voi poistaa kokonaan seuraavalla loitsulla komentoriviltä:

$ wp plugin delete $(wp plugin list --fields=name --status=inactive)

WordPressin ydin 5.2-versiosta lähtien sisältää myös oman sisäänrakennetun Site Health Checker -työkalun, joka suosittelee käyttämättömien lisäosien ja teemojen poistamista kokonaan.

Vastasiko tämä kysymykseesi? Kiitos palautteesta. Palautteen lähettämisessä oli ongelma. Yritä uudelleen myöhemmin.

Aiheeseen liittyvät artikkelit