Tarpeettomat, kielletyt ja haitalliset lisäosat
Kuvassa top 10 WordPressin lisäosat, joissa eniten raportoituja tietoturva-aukkoja.
Suosittelemme välttämään yllä lueteltuja lisäosia. Suurin osa maailman yli 55 000 lisäosasta toimii hyvin tarkoituksessaan, mutta olemme törmänneet muutamaan, joiden käyttö ei ole suositeltua Seravon WP-palvelussa. Haitalliset lisäosat voivat aiheuttaa merkittäviä ongelmia sivuston tietoturvassa tai nopeudessa. Mikäli mitattu haitta on riittävän iso, saatamme jopa automaattisesti poistaa alla luetellut lisäosat asiakkaiden ympäristöistä.
Välimuistilisäosat
WP-palvelussa olemme tehneet paljon työtä nopeusoptimoinnin eteen. Pääosin WordPressin PHP-tasolla tehtävät lisätemput välimuistituksen suhteen itse asiassa hidastavat sivuston nopeutta tekemällä ylimääräisiä asioita, ja joskus jopa häiritsemällä palvelintason optimointeja.
Suosittuja välimuistittavia lisäosia, joista ei kuitenkaan ole hyötyä WP-palvelussa ovat esimerkiksi:
- W3 Total Cache
- WP Super Cache
- WP File Cache
- Autoptimize
Listalla mainittu WP Super Cache toimii kuitenkin joissain tapauksissa, mikäli sille on asennettu lisäsäännöt NGINX:ään, ja muutoinkin toimivat lisäosan asetukset ovat löydetty. (lisäsäännöstä tulee poistaa location -blokki)
Tietoturvalisäosat
Samasta syystä useimmat tietoturvalisäosat ovat tarpeettomia ja lähinnä vain hidastavat sivustoa:
- Better WP Security
- iThemes Security
- WordFence
- Limit login attempts
- Login wall
Tietoturvalisäosassa WordFence on esimerkiksi ominaisuus, joka poistaa WordPressin ytimeen kuuluvan tiedoston readme.html. WordPressin ytimeen kuuluvia tiedostoja ei saisi poistaa, koska WP-palvelun tietoturvavalvonta hälyttää, mikäli WordPressin ytimestä puuttuu tiedostoja. Kyseisen readme.html-tiedoston suojaukset on hoidettu jo WP-palvelun toimesta, eikä WordFence tuota lisäarvoa poistamalla sitä. WordFence sen sijaan itse paljastaa oman readme-tiedoston kaikkien nähtäväksi polussa /wp-content/plugins/wordfence/readme.txt.
WordPressin ydin on turvallinen. Ongelmat aiheutuvatkin yleensä lisäosista, ja niitä kannattaa olla mahdollisimman vähän, jotta hyökkäyspinta-alaa olisi vähemmän. WordPressin tietoturvahaavoittuvuustilaston top-10:ssä enemmistö on tietoturvalisäosia, mikä myös kertoo oman tarinan siitä, että tietoturvalisäosista on yleensä enemmän haittaa kuin hyötyä.
Tietoturvaan liittyen suositeltava lisäosa on sen sijaan mikä tahansa Google ReCaptchan sivustolle integroiva lisäosa, koska sillä voi tehokkaasti suojata kommentointitoiminnot ja sisäänkirjautumissivun automatisoitujen bottien toiminnan ehkäisemiseksi. Lue lisää myös Seravon WP-palvelun blogista.
Tietokantaa sotkevat lisäosat
Muutama yleinen lisäosa sotkee tai hidastaa tietokantaa, mikä heikentää WordPressin ylläpidettävyyttä ja suorituskykyä.
- Broken Link Checker
- MyReviewPlugin
- LinkMan
- Fuzzy SEO Booster
- WP PostViews
- Tweet Blender
Varmuuskopiointilisäosat
WP-palvelussa päivittäinen varmuuskopiointi on hoidettu automaattisesti, joten siihen ei tarvita ylimääräisiä lisäosia.
- Backup Guard
- Backup Scheduler
- Backup WordPress
- BackWPup Free
- BlogVault
- Updraft
- Duplicator
- Esim. seuraamalla Duplicatorin "Quick Start" -ohjetta sivuston tuomiseksi, sivustosi tietokantayhteys rikkoutuu
Turvallisuussyistä huonot lisäosat
Tunnetusti paljon tietoturva-aukkoja sisältävät lisäosat sekä tietokanta- tai tiedostopääsyn avaavat lisäosat ovat kiellettyjä. Mikäli tällaisia lisäosia on käytössä sivustolla, ei sivuston tietoturvaa voida taata eikä tietoturvatakuu ole tällöin voimassa.
- PHPMyAdmin tai Adminer sellaisinaan tai WP-lisäosina
- Näiden sijaan tulee käyttää Seravon WP-palvelun tarjoamia välineitä tietokannan käsittelyyn graafisesti tai komentoriviltä. Valmiiksi asennettuna palvelustamme löytyy Adminer-lisäosa.
- File Commander
- File Manager
- Sweet Captcha
- Upladify
- Ultimate Member
Kooditasolla huonolaatuiset lisäosat
WordPress-lisäosia tekevät monentasoiset ohjelmoijat. Siksi on luonnollista, että koodi ei ole aina niin tehokasta ja toimintavarmaa kuin voisi olla. Aina lisäosan tekijä ei myöskään paranna koodiaan kehotuksista huolimatta. Mikäli tietty lisäosa aiheuttaa ongelmia toistuvasti, suosittelemme välttämään sen käyttöä.
- WPML: Hidas ja koodissa laatuongelmia, eivätkä ota korjauksia vastaan. Parempi vaihtoehto monikielisyyden toteuttamiseen on Polylang tai MultilingualPress.
- TimThumb: Koodissa vakavia puutteita ja hyvin usein tietoturvaongelmia.
- ReduxFramework: Aiemmin ei tukenut sivustoja joissa https käytössä ja edelleen epästandardi URL-toteutus ei toimi kaikilla sivustoilla, eivätkä ota korjauksia vastaan.
Huoltotilalisäosat
Useimmat huoltotilalisäosat toimivat hyvin, mutta seuraavien lisäosien on huomattu rikkovan sivuston toiminnallisuutta:
- Maintenance Mode with Timer
- Simple WP Maintenance Mode
Käyttämättömät lisäosat
Monilla sivustoilla on deaktivoituja lisäosia, joita ei enää käytetä. Ne kannattaa poistaa kokonaan, sillä kaikki palvelimella oleva PHP-koodi on potentiaalinen tietoturvaongelma ja muutenkin turhat tiedostot vievät tilaa. Kaikki käytöstä poistetut lisäosat voi poistaa kokonaan seuraavalla loitsulla komentoriviltä:
$ wp plugin delete $(wp plugin list --fields=name --status=inactive)
WordPressin ydin 5.2-versiosta lähtien sisältää myös oman sisäänrakennetun Site Health Checker -työkalun, joka suosittelee käyttämättömien lisäosien ja teemojen poistamista kokonaan.