Tarpeettomat, kielletyt ja haitalliset lisäosat
Suurin osa miltei 60 000 WordPress-lisäosasta toimii hyvin tarkoituksessaan, mutta olemme törmänneet muutamaan, joiden käyttö ei ole suositeltua Seravon WordPress-palvelussa, tai niiden käyttöön liittyy jokin tekninen yhteensopivuusongelma. Haitalliset lisäosat voivat aiheuttaa merkittäviä ongelmia sivuston tietoturvassa, nopeudessa tai muussa toiminnassa. Jos sivustolla havaitaan tietoturvapoikkeama, saatamme jopa automaattisesti poistaa haitallisiksi todettuja lisäosia asiakkaiden ympäristöistä. Suosittelemme käyttämään muita lisäosia.
Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.
Välimuistilisäosat
Seravon WP-palvelu on rakennettu erityisesti WordPressiä varten, ja olemme tehneet paljon työtä nopeusoptimoinnin eteen. Pääosin WordPressin PHP-tasolla tehtävät lisätemput välimuistituksen suhteen itse asiassa hidastavat sivuston nopeutta tekemällä ylimääräisiä asioita, ja joskus jopa häiritsemällä palvelintason optimointeja.
Suosittuja välimuistilisäosia, joista ei kuitenkaan ole todettu olevan hyötyä Seravon WordPress-palvelussa ovat esimerkiksi:
- W3 Total Cache
- WP Super Cache
- WP File Cache
- Autoptimize
Listalla mainittu WP Super Cache toimii kuitenkin joissain tapauksissa, mikäli sille on asennettu lisäsäännöt NGINX:ään, ja muutoinkin toimivat lisäosan asetukset on löydetty (lisäsäännöstä tulee poistaa location-blokki).
Tietoturvalisäosat
Samasta syystä useimmat tietoturvalisäosat ovat tarpeettomia Seravolla, sillä toiminnallaan ne lähinnä vain hidastavat sivustoa:
- Better WP Security
- iThemes Security
- WordFence
- Limit login attempts
- Login wall
Tietoturvalisäosassa WordFence on esimerkiksi ominaisuus, joka poistaa WordPressin ytimeen kuuluvan tiedoston readme.html. WordPressin ytimeen kuuluvia tiedostoja ei saisi poistaa, koska palvelumme tietoturvavalvonta hälyttää, mikäli WordPressin ytimestä puuttuu tiedostoja. Kyseisen readme.html-tiedoston suojaukset on hoidettu jo WP-palvelun toimesta, eikä WordFence tuota lisäarvoa poistamalla kyseistä tiedostoa.
WordPressin ydin itsessään on turvallinen. Ongelmat aiheutuvatkin yleensä lisäosista, ja niitä kannattaa olla mahdollisimman vähän, jotta hyökkäyspinta-alaa olisi sivustolla vähemmän. WordPressin tietoturvahaavoittuvuustilaston top-10:ssä enemmistö on tietoturvalisäosia, mikä myös kertoo siitä, että niistä on yleensä enemmän haittaa kuin hyötyä.
Tietoturvaan liittyen suositeltava lisäosa on sen sijaan monivaiheinen kirjautuminen (MFA) sekä mikä tahansa Google ReCaptchan sivustolle integroiva lisäosa, koska sillä voi tehokkaasti suojata kommentointitoiminnot ja sisäänkirjautumissivun automatisoitujen bottien toiminnan ehkäisemiseksi. Lue lisää myös Seravon blogista.
Tietokantaa sotkevat lisäosat
Seuraavat lisäosat sotkevat, lukitsevat tai hidastavat tietokannan toimintaa, mikä heikentää WordPressin ylläpidettävyyttä ja suorituskykyä:
- Broken Link Checker
- SEO Redirection Plugin – 301 Redirect Manager
- WP RSS Aggregator
- MyReviewPlugin
- LinkMan
- Fuzzy SEO Booster
- WP PostViews
- Tweet Blender
Varmuuskopiointilisäosat
Seravon WP-palvelussa päivittäinen varmuuskopiointi on hoidettu automaattisesti, ja varmuuskopiot ovat saatavilla aina 30 päivää kerrallaan. Ylimääräisiä lisäosia varmuuskopiointiin ei siis tarvita, kuten esimerkiksi:
- Backup Guard
- Backup Scheduler
- Backup WordPress
- BackWPup Free
- BlogVault
- Updraft
- Duplicator
- Esim. seuraamalla Duplicatorin "Quick Start" -ohjetta sivustosi tietokantayhteys voi rikkoutua.
Turvallisuussyistä huonot lisäosat
Tunnetusti paljon tietoturva-aukkoja sisältävät lisäosat sekä tietokanta- tai tiedostopääsyn avaavat lisäosat ovat kiellettyjä. Mikäli tällaisia lisäosia on käytössä sivustolla, ei sivuston tietoturvaa voida taata eikä Seravon Tietoturvatakuu ole tällöin voimassa. Näitä ovat esimerkiksi:
- PHPMyAdmin tai Adminer sellaisinaan tai WP-lisäosina
- Näiden sijaan tulee käyttää Seravon WP-palvelun tarjoamia välineitä tietokannan käsittelyyn graafisesti (Adminer) tai komentoriviltä. Adminer löytyy palvelustamme valmiiksi asennettuna.
- File Commander
- File Manager
- Sweet Captcha
- Upladify
- Ultimate Member
Kooditasolla huonolaatuiset lisäosat
WordPress-lisäosia tekevät monentasoiset ohjelmoijat. Siksi on luonnollista, että koodi ei ole aina niin tehokasta ja toimintavarmaa kuin voisi olla. Aina lisäosan tekijä ei myöskään paranna koodiaan kehotuksista huolimatta. Mikäli tietty lisäosa aiheuttaa ongelmia toistuvasti, suosittelemme välttämään sen käyttöä.
- WPML: hidas ja koodissa laatuongelmia, eivätkä ota korjauksia vastaan. Parempi vaihtoehto monikielisyyden toteuttamiseen on Polylang tai MultilingualPress.
- TimThumb: koodissa vakavia puutteita ja hyvin usein tietoturvaongelmia.
- ReduxFramework: aiemmin tämä lisäosa ei tukenut sivustoja joilla on käytössä HTTPS, ja edelleen epästandardi URL-toteutus ei toimi kaikilla sivustoilla, eivätkä ota korjauksia vastaan.
- Seraphinite Accelerator: Ei noudata yleisiä tai WordPress-projektin mukaisia koodausstandardeja.
Huoltotilalisäosat
Useimmat huoltotilalisäosat toimivat hyvin, mutta seuraavien lisäosien on huomattu rikkovan sivuston toiminnallisuutta:
- Maintenance Mode with Timer
- Simple WP Maintenance Mode
Käyttämättömät lisäosat
Monilla sivustoilla on deaktivoituja lisäosia, joita ei enää käytetä. Ne kannattaa poistaa kokonaan, sillä kaikki palvelimella oleva PHP-koodi on potentiaalinen tietoturvaongelma ja muutenkin turhat tiedostot vievät tilaa. Kaikki käytöstä poistetut lisäosat voi poistaa kokonaan seuraavalla loitsulla komentoriviltä:
$ wp plugin delete $(wp plugin list --fields=name --status=inactive)
WordPressin ydin 5.2-versiosta lähtien sisältää myös oman sisäänrakennetun Site Health Checker -työkalun, joka suosittelee käyttämättömien lisäosien ja teemojen poistamista kokonaan.