Tarpeettomat, kielletyt ja haitalliset lisäosat

Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.

Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.

Suosittelemme välttämään yllä lueteltuja lisäosia. Suurin osa maailman yli 55 000 lisäosasta toimii hyvin tarkoituksessaan, mutta olemme törmänneet muutamaan, joiden käyttö ei ole suositeltua Seravon WP-palvelussa. Haitalliset lisäosat voivat aiheuttaa merkittäviä ongelmia sivuston tietoturvassa tai nopeudessa. Mikäli mitattu haitta on riittävän iso, saatamme jopa automaattisesti poistaa alla luetellut lisäosat asiakkaiden ympäristöistä.

Välimuistilisäosat

WP-palvelussa olemme tehneet paljon työtä nopeusoptimoinnin eteen. Pääosin WordPressin PHP-tasolla tehtävät lisätemput välimuistituksen suhteen itse asiassa hidastavat sivuston nopeutta tekemällä ylimääräisiä asioita, ja joskus jopa häiritsemällä palvelintason optimointeja.

Suosittuja välimuistittavia lisäosia, joista ei kuitenkaan ole hyötyä WP-palvelussa ovat esimerkiksi:

  • W3 Total Cache
  • WP Super Cache
  • WP File Cache
  • Autoptimize

Listalla mainittu WP Super Cache toimii kuitenkin joissain tapauksissa, mikäli sille on asennettu lisäsäännöt NGINX:ään, ja muutoinkin toimivat lisäosan asetukset ovat löydetty. (lisäsäännöstä tulee poistaa location -blokki)

Tietoturvalisäosat

Samasta syystä useimmat tietoturvalisäosat ovat tarpeettomia ja lähinnä vain hidastavat sivustoa:

  • Better WP Security
  • iThemes Security
  • WordFence
  • Limit login attempts
  • Login wall

Tietoturvalisäosassa WordFence on esimerkiksi ominaisuus, joka poistaa WordPressin ytimeen kuuluvan tiedoston readme.html. WordPressin ytimeen kuuluvia tiedostoja ei saisi poistaa, koska WP-palvelun tietoturvavalvonta hälyttää, mikäli WordPressin ytimestä puuttuu tiedostoja. Kyseisen readme.html-tiedoston suojaukset on hoidettu jo WP-palvelun toimesta, eikä WordFence tuota lisäarvoa poistamalla sitä. WordFence sen sijaan itse paljastaa oman readme-tiedoston kaikkien nähtäväksi polussa /wp-content/plugins/wordfence/readme.txt.

WordPressin ydin on turvallinen. Ongelmat aiheutuvatkin yleensä lisäosista, ja niitä kannattaa olla mahdollisimman vähän, jotta hyökkäyspinta-alaa olisi vähemmän. WordPressin tietoturvahaavoittuvuustilaston top-10:ssä enemmistö on tietoturvalisäosia, mikä myös kertoo oman tarinan siitä, että tietoturvalisäosista on yleensä enemmän haittaa kuin hyötyä.

Tietoturvaan liittyen suositeltava lisäosa on sen sijaan mikä tahansa Google ReCaptchan sivustolle integroiva lisäosa, koska sillä voi tehokkaasti suojata kommentointitoiminnot ja sisäänkirjautumissivun automatisoitujen bottien toiminnan ehkäisemiseksi. Lue lisää myös Seravon WP-palvelun blogista.

Tietokantaa sotkevat lisäosat

Muutama yleinen lisäosa sotkee tai hidastaa tietokantaa, mikä heikentää WordPressin ylläpidettävyyttä ja suorituskykyä.

  • Broken Link Checker
  • MyReviewPlugin
  • LinkMan
  • Fuzzy SEO Booster
  • WP PostViews
  • Tweet Blender

Varmuuskopiointilisäosat

WP-palvelussa päivittäinen varmuuskopiointi on hoidettu automaattisesti, joten siihen ei tarvita ylimääräisiä lisäosia.

  • Backup Guard
  • Backup Scheduler
  • Backup WordPress
  • BackWPup Free
  • BlogVault
  • Updraft
  • Duplicator
    • Esim. seuraamalla Duplicatorin "Quick Start" -ohjetta sivuston tuomiseksi, sivustosi tietokantayhteys rikkoutuu

Turvallisuussyistä huonot lisäosat

Tunnetusti paljon tietoturva-aukkoja sisältävät lisäosat sekä tietokanta- tai tiedostopääsyn avaavat lisäosat ovat kiellettyjä. Mikäli tällaisia lisäosia on käytössä sivustolla, ei sivuston tietoturvaa voida taata eikä tietoturvatakuu ole tällöin voimassa.

  • PHPMyAdmin tai Adminer sellaisinaan tai WP-lisäosina
    • Näiden sijaan tulee käyttää Seravon WP-palvelun tarjoamia välineitä tietokannan käsittelyyn graafisesti tai komentoriviltä. Valmiiksi asennettuna palvelustamme löytyy Adminer-lisäosa.
  • File Commander
  • File Manager
  • Sweet Captcha
  • Upladify
  • Ultimate Member

Kooditasolla huonolaatuiset lisäosat

WordPress-lisäosia tekevät monentasoiset ohjelmoijat. Siksi on luonnollista, että koodi ei ole aina niin tehokasta ja toimintavarmaa kuin voisi olla. Aina lisäosan tekijä ei myöskään paranna koodiaan kehotuksista huolimatta. Mikäli tietty lisäosa aiheuttaa ongelmia toistuvasti, suosittelemme välttämään sen käyttöä.

  • WPML: Hidas ja koodissa laatuongelmia, eivätkä ota korjauksia vastaan. Parempi vaihtoehto monikielisyyden toteuttamiseen on Polylang tai MultilingualPress.
  • TimThumb: Koodissa vakavia puutteita ja hyvin usein tietoturvaongelmia.
  • ReduxFramework: Aiemmin ei tukenut sivustoja joissa https käytössä ja edelleen epästandardi URL-toteutus ei toimi kaikilla sivustoilla, eivätkä ota korjauksia vastaan.

Huoltotilalisäosat

Useimmat huoltotilalisäosat toimivat hyvin, mutta seuraavien lisäosien on huomattu rikkovan sivuston toiminnallisuutta:

  • Maintenance Mode with Timer
  • Simple WP Maintenance Mode

Käyttämättömät lisäosat

Monilla sivustoilla on deaktivoituja lisäosia, joita ei enää käytetä. Ne kannattaa poistaa kokonaan, sillä kaikki palvelimella oleva PHP-koodi on potentiaalinen tietoturvaongelma ja muutenkin turhat tiedostot vievät tilaa. Kaikki käytöstä poistetut lisäosat voi poistaa kokonaan seuraavalla loitsulla komentoriviltä:

$ wp plugin delete $(wp plugin list --fields=name --status=inactive)

WordPressin ydin 5.2-versiosta lähtien sisältää myös oman sisäänrakennetun Site Health Checker -työkalun, joka suosittelee käyttämättömien lisäosien ja teemojen poistamista kokonaan.

Vastasiko tämä kysymykseesi? Kiitos palautteesta. Palautteen lähettämisessä oli ongelma. Yritä uudelleen myöhemmin.