Як Виявити Занедбані WordPress Plugins, Що Можуть Загрожувати Твоєму Сайту

Опубліковано: від Alejandro Granata
Як Виявити Занедбані WordPress Plugins, Що Можуть Загрожувати Твоєму Сайту thumbnail

“Вже квітень. Що робить ялинка у вітальні?”

Ти провів години, прикрашаючи різдвяну ялинку та насолоджуючись її мерехтливими вогниками.

Але це було ще у грудні.

Життя стало напруженим, і перш ніж ти це зрозумів, наставала весна. І ось, бідне дерево в’яне у кутку, сиплючи голки — більше пиловий вогненебезпечний предмет, аніж святкова прикраса.

Ось що відбувається з покинутими плагінами WordPress.

Ми встановлюємо їх з певною метою, але з часом про них забувають. Якщо не контролювати, забуті плагіни стають ризиком для безпеки, що виставляє твій сайт потенційним загрозам.

Давай знайдемо їх та видалимо.

Що Таке Залишений Плагін?

О, так, спочатку ми все ще маємо зрозуміти, що саме є залишеним плагіном.

Забутий плагін – це плагін WordPress, який розробник більше не підтримує або оновлює. WordPress вважає плагін забутим, якщо він не отримував оновлень протягом більш ніж двох років.

Такі плагіни можуть стати несумісними з останніми версіями WordPress, що призводить до потенційних уразливостей безпеки та проблем з функціональністю.

Чому Покинуті Плагіни Є Великою Проблемою

Занедбані плагіни — це справжні часові бомби для твого сайту на WordPress. У 2023 році 97% усіх нових вразливостей WordPress походили від плагінів, тоді як лише 0.2% були знайдені в самому ядрі WordPress. Це означає, що майже кожна проблема безпеки, що стосується сайтів WordPress, виходить від плагінів та тем — а не від основного програмного забезпечення.

Звіт про вразливості WordPress від SolidWP щодня оновлюється інформацією про нові вразливості екосистеми WordPress. Майже завжди ви побачите нові вразливості для плагінів, але рідко для основного коду WordPress.

Скріншот оголошення оновлення WordPress Core 6.7.2, що виділяє виправлення 35 помилок. Зелена галочка вказує на відсутність нових основних вразливостей.

Це тисячі власників бізнесу, які мали справу з:

  • Втрачені доходи під час простою сайту.
  • Скомпрометовані дані клієнтів.
  • Пошкоджена репутація та втрачена довіра.
  • Google відзначає їхній сайт як “потенційно шкідливий”.
  • Години (або дні), витрачені на прибирання біди.

Коли розробники залишають свої плагіни, вони перестають латати діри в безпеці — створюючи ідеальні точки входу для хакерів.

Подумай про це:

  • Відсутність оновлень безпеки = відкритий доступ до відомих вразливостей.
  • Відсутність тестування сумісності з новими версіями WordPress = порушення функціональності.
  • Відсутність виправлень помилок = неочікувана поведінка, яка може наражати ваш сайт на небезпеку.

Тепер WAF Wordfence заблокував 3 мільйони атак з приблизно 14,000 IP, які цілили на уразливості плагінів лише в першій половині 2023 року.

Але припустимо, що ти пощастило, і покинутий плагін, який у тебе є, цілком безпечний для використання.

Нам все ще доводиться боротися з проблемами продуктивності.

Кожне нове оновлення WordPress покращує швидкість, зменшує надлишковість у системі та робить загальне відчуття вебсайту швидким, одночасно додаючи більше функцій.

Але якщо залишений без уваги плагін сповільнює роботу сайту, ці покращення швидкості можуть залишитися непоміченими, і легко подумати, що в цьому винен WordPress (хоча насправді це не так).

Є також велика ймовірність, що плагін викликає конфлікт з новішою версією WordPress, і ти залишаєшся зі зламаним сайтом.

На жаль, коли це трапляється з покинутими плагінами, ти абсолютно самотній. Немає розробника для відповідей на запитання, немає підтримки спільноти, немає оновлень документації. 15.7% усіх уразливих плагінів були повністю вилучені з репозиторію плагінів WordPress через їхнє покидання.

Це залишає власників веб-сайтів, які навіть не підозрюють, що вони використовують застаріле, неоновлене програмне забезпечення, яке хакери можуть використовувати.

Коротко кажучи — якомога швидше перестань використовувати такі плагіни.

Отримуйте вміст безпосередньо у свою скриньку

Підпишіться зараз, щоб отримувати всі останні оновлення безпосередньо у свою скриньку.

Як Визначити Залишені Плагіни

Настала пора взяти уявну лупу та почати шукати підказки, які вказують на плагіни, що збирають пил у твоїй панелі керування WordPress.

Ось деякі речі, які допоможуть визначити, чи є на нашому сайті залишені плагіни.

1. Дата “Останнього Оновлення”

Найбільш очевидний червоний прапорець ховається на видному місці.

У твоїй панелі керування WordPress перейди до Plugins > Installed Plugins.

Панель керування WordPress, що демонструє сторінку встановлених плагінів. Елемент меню 'Plugins' виділено синім із фіолетовим контуром та стрілками, що вказують на нього.

Потім натисни Переглянути Деталі, щоб відкрити деталі плагіна, де ти побачиш дату “Останнє оновлення”.

Вікно деталей плагіна UpdraftPlus WP Backup & Migration у WordPress. Фіолетова облямівка виділяє секцію 'Останнє оновлення: 2 тижні тому'.

UpdraftPlus — це популярний плагін, який регулярно оновлюється. На момент написання цього тексту останнє оновлення відбулося всього два тижні тому, і його безпечно зберігати, оскільки розробка активна.

Але на твоєму сайті може бути старіший плагін, як той, що нижче, оновлений ДЕВ’ЯТЬ років тому:

Вікно деталей публічного плагіна Content XLerator WP у WordPress. Попередження вказує, що плагін не був перевірений з поточною версією WordPress. Фіолетова облямівка виділяє 'Останнє оновлення: 9 років тому.'

Будь-який плагін, який не оновлювався протягом року, заслуговує на твою увагу, тоді як ті, що не торкалися два роки, потрапляють до офіційної категорії “залишені” WordPress та мають бути видалені з твого вебсайту якомога швидше.

Якщо є сторінки, які все ще використовують функціональність плагіна (можливо, це старий плагін форм, і у тебе все ще є деякі форми), заміни функціональність на новіші плагіни якомога швидше.

2. Перевір Дату Оновлення у Пошуку Плагіну

Припустимо, ти хочеш встановити наступний плагін для WordPress. Тобі також варто перевірити дати останніх оновлень у результатах пошуку.

Давайте візьмемо той самий заброшений плагін з вищезазначеного прикладу. Якщо ти перейдеш до Plugins > Add New Plugins і пошукаєш його, ти побачиш наступний екран:

Екран додавання плагінів WordPress, що показує публічний плагін Content XLerator WP. Фіолетова рамка виділяє 'Останнє оновлення: 9 років тому.' У плагіна менше 10 активних інсталяцій та він не перевірений з поточною версією WordPress.

Зверни увагу, що він показує дату останнього оновлення прямо у результатах пошуку, тому ти можеш вибрати, чи встановлювати плагін.

Якщо ти не на своїй панелі керування WordPress, але шукаєш плагіни на директорії плагінів WordPress, ти можеш перейти через будь-який плагін і побачити версію та дату «Останнього оновлення» на панелі інформації праворуч.

Сторінка каталогу плагінів WordPress для 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Фіолетова облямівка виділяє деталі плагіна, включаючи версію 14.2.1.3, останнє оновлення 3 місяці тому, 100,000+ активних установок, та сумісність з WordPress до версії 6.7.2.

Це має дати тобі достатньо інформації, щоб вирішити, чи варто розглядати цей плагін.

3. Перегляд Запитів на Підтримку

Припустимо, ти бачиш плагін, який недавно оновили, але в нього лише кілька активних установок. Як ти можеш переконатися, що цей плагін активно розробляється?

Заявки в службу підтримки можуть дати чітке уявлення.

На сторінці каталогу плагінів WordPress перейди до будь-якого плагіна, який тебе цікавить, і натисни на посилання Підтримка прямо під кнопкою завантаження.

Сторінка довідника плагінів WordPress для 'UsersWP – Форма входу на frontend, Реєстрація користувача, Профіль користувача та Довідник членів плагіну для WP.' Фіолетова облямівка виділяє посилання 'Підтримка'.

На цій сторінці ти побачиш усі звернення користувачів WordPress.

Форум підтримки WordPress для 'UsersWP - Front-end login form, User Registration, User Profile & Members Directory plugin for WP.' Відображає список останніх тем підтримки, кількість учасників, відповіді та дати останніх публікацій. Посилання бічної панелі включають Часті запитання, теми підтримки та відгуки.

Якщо ти помітиш, що розробник активно відповідає на запитання, вирішує проблеми, навіть додає нові функції на запит, можеш сміливо спробувати використати цей плагін.

Але іноді ти можеш помітити, що запитання залишаються без відповідей тижнями, і немає жодного реального розвитку плагіну. Ось коли краще триматися подалі і знайти щось більш активне.

4. Слухай Попередження Своєї Панелі Керування

WordPress схожий на того розумного техніка у вашій команді, який тримає все під контролем.

Якщо ядро WordPress, плагін або тема застаріють, з’явиться нова вразливість, або можливий конфлікт, воно надсилає тобі показники, повідомлення та повідомлення про помилки, щоб чітко це вказати.

Панель керування WordPress показує попередження 'Необхідне оновлення PHP'. Повідомлення вказує, що сайт використовує небезпечну версію PHP і пропонує оновлення для кращої безпеки та продуктивності. Фіолетова облямівка виділяє блок попередження.

Ти можеш вирішити ігнорувати ці попередження та продовжити заплановану дію — але ми радимо звертати увагу на ці застереження.

5. Запуск Автоматизованих Перевірок Безпеки

Існує багато способів захистити свій сайт WordPress. Найпростіший – встановити лише один плагін безпеки, наприклад Wordfence, Patchstack, Sucuri тощо, і дозволити йому визначити, що буде корисним для твого сайту, а що ні.

Інтерфейс сканування безпеки Wordfence, який показує завершене сканування з 100% виявленням стандартних і преміум підписів шкідливого ПЗ та перевірок репутації. Нових проблем не виявлено. Різні перевірки безпеки, включно зі спамом, списками блокувань, змінами файлів та скануванням вразливостей, відображені.
Джерело

Ці плагіни стежать за кожною вразливістю безпеки, застарілими або залишеними плагінами, а також за будь-якими проблемами ядра WordPress. Якщо твій сайт показує ознаки, що відповідають будь-якій з цих проблем, плагін негайно повідомить тебе про це.

Вони також виконують автоматизовані сканування у фоновому режимі, щоб виявити шкідливих акторів, які намагаються використати застарілі або залишені плагіни для несанкціонованого доступу до вашого вебсайту, або щоб ідентифікувати раніше безпечні плагіни, які стали інфікованими.

6. Тест на Популярність

І нарешті, якщо ти не хочеш турбуватися про технічні деталі, залиш це натовпу. Найкращі плагіни WordPress — це також ті, які мають найбільшу кількість активних інсталяцій.

При пошуку плагінів у каталозі плагінів WordPress, клацни вкладку Розширений перегляд під даними плагіна (розділ, де ми бачимо дату “Останнє оновлення”).

Сторінка плагіна WordPress 'Advanced View', що показує статистику, включаючи активні версії, графік щоденних завантажень та історію загальних завантажень. Фіолетова облямівка виділяє загальну кількість завантажень 609,788,768. Також показані деталі плагіна, рейтинги та підтримувані версії.

Розширений перегляд показує статистику про те, яка версія плагінів використовується у всіх користувачів, скільки завантажень плагін має щодня та щотижня, а також загальну кількість інсталяцій.

Плагіни зі зменшуваною кількістю активних інсталяцій (менше 1000), спадаючими тенденціями завантажень або постійно низькими оцінками можуть бути на шляху до занедбання — або вже там.

В основному, якщо ти дотримуватимешся найкращих плагінів WordPress, які активно використовують багато людей, загалом усе має бути гаразд. Це тому, що розробники, а також технічно підковані користувачі слідкують за проблемами в коді та вирішують їх по мірі їх виникнення.

Знайдено Занедбані Плагіни? Ось Що Робити

Отже, ти знайшов аналог забутого різдвяного дерева у вигляді плагіна на своєму сайті WordPress. Що тепер?

Ось твій поетапний план порятунку, щоб безпечно усунути ці ризики безпеки, не пошкоджуючи твій сайт.

Крок 1: Знайди Альтернативу

Перш ніж щось змінювати, знайди заміну. Шукай активні плагіни, які пропонують аналогічні функції тим, які були залишені.

Найкращі заміни матимуть:

  • Оновлення за останні 3 місяці
  • Сумісність з твоєю версією WordPress
  • Високі оцінки (4+ зірки)
  • Відгукова спільнота розробників
  • Якісна документація

Нотатка для Нердів: Іноді ідеальна заміна взагалі не є плагіном! Багато функцій, які раніше потребували плагінів, тепер вбудовані прямо в ядро WordPress або вашу тему.

Крок 2: Створити Повну Резервну Копію

Резервна копія — це запасний план безпеки твого сайту. Не ігноруй її!

Створи повну резервну копію свого сайту WordPress, включно з файлами та базою даних.

Ти можеш використовувати плагіни або інструменти резервного копіювання від свого хоста, але переконайся, що знаєш, як відновити дані з цієї резервної копії, якщо це буде потрібно.

Сподіваємось, що резервна копія не знадобиться, але вона врятує, якщо щось піде не так.

Крок 3: Тестування у Середовищі Підготовки (Коли Це Можливо)

Для сайтів, що мають критичне значення для бізнесу, перевір перед тим як робити крок. Якщо є можливість, склонуй свій сайт у середовище підготовки та заміни застарілі плагіни там спочатку.

Якщо сайт ламається, потрібно дослідити, що пішло не так і як це виправити в середовищі підготовки перед тим, як працювати на живому сайті.

Це середовище стає твоїм наслідок-вільним майданчиком для належного тестування нових плагінів з твоїм конкретним налаштуванням.

Крок 4: Обережно Замініть Плагін

Тепер перейдемо до головного. Ось як замінити ті забуті плагіни.

  1. Спочатку активуй новий плагін, не деактивуючи старий.
  2. Настрой новий плагін так, щоб він відповідав налаштуванням старого.
  3. Перевір, чи все працює як очікувалося, коли обидва активні.
  4. Деактивуй (але не видаляй) застарілий плагін.
  5. Ретельно протестуй свій сайт, щоб переконатися, що нічого не зламалося.

Коли ти впевнений, що все працює як треба, позбудься того старого плагіна WordPress.

Крок 5: Перевірка Після Заміни

Після переключення ретельно оглянь свій сайт. Перевір фронтенд та бекенд свого сайту на наявність будь-яких проблем.

Шукай візуальні помилки, проблеми функціональності або повідомлення про помилки. І звертай особливу увагу на функціональність, яка залежала від заміненого плагіна.

Чи Варто Зберігати Покинутий Плагін?

Давайте визнаємо — іноді тобі потрібен плагін, який вже не підтримується, але від якого залежить твій сайт.

Можливо, він виконує унікальну функцію (наприклад, систему рекомендацій специфічного оформлення покупки) яку не замінить жоден інший плагін, або може ти створив навколо нього власні інтеграції.

Отже, можеш ти (і чи повинен ти) залишити це? Ну… це складно.

Зберігання покинутого плагіна є ризикованим. Ти повинен лише розглядати можливість його зберігання, якщо:

  • Плагін виконує критично важливу функцію без альтернативних варіантів.
  • Робочий процес твого бізнесу залежить від індивідуальних функцій, які він надає.
  • Плагін є відносно простим із мінімальним обсягом коду (ти можеш попросити розробника переглянути код плагіна на GitHub).
  • Ти ретельно протестував його з поточною версією WordPress, і він працює безпроблемно.

Якщо всі ці елементи задовольняють, ти можеш розглядати можливість залишити плагін. Але ми все ще рекомендуємо знайти спосіб підтримувати код за допомогою розробника або позбутися його, як тільки зможеш.

Додаткові Заходи Безпеки, Які Тобі Необхідно Здійснити

Якщо ти вирішиш залишити цей покинутий плагін, тобі доведеться побудувати фортецю навколо нього.

  • Створити специфічний для плагіна брандмауер: Використовуйте плагіни безпеки, такі як Wordfence або Sucuri, щоб створити спеціальні правила брандмауера, які цілеспрямовано протидіють потенційним вразливостям у вашому залишеному плагіні. Вони служать вашою першою лінією захисту від атак, спрямованих на відомі слабкості.
  • Впровадження регулярних аудитів коду: Найміть розробника, який періодично перевірятиме код плагіна на наявність вразливостей безпеки. Так, це коштує грошей, але це значно дешевше, ніж вирішувати проблеми з зламаним сайтом і його наслідками.
  • Налаштування покращеного моніторингу: Налаштуйте сповіщення про будь-яку незвичайну активність, пов’язану з плагіном. Раннє виявлення може означати різницю між незначною проблемою та повномасштабним порушенням безпеки, яке виведе з ладу весь ваш сайт.
  • Ізолювати, коли це можливо: Якщо це можливо, запустіть залишений плагін на окремому субдомені або в окремому середовищі, обмеживши його доступ до конфіденційних даних і функцій вашого основного сайту — уявіть це як карантинну зону.

Проактивні Кроки Для Контролю Здоров’я Плагіну 💪

Як би банально це не звучало, профілактика краще за лікування.

Ось як створити здорову екосистему плагінів, яка зберігатиме ваш сайт WordPress у безпеці та забезпечуватиме його найкращу продуктивність.

Проводь Регулярні Аудити Плагінів

Сприймай це як квартальний огляд твого сайту.

Відміть у календарі дату для ретельного огляду плагінів кожні три місяці. Під час цих аудитів оцінюй останню історію оновлень кожного плагіна, статус сумісності та чи дійсно тобі ще потрібен цей плагін.

Це рутинне обслуговування запобігає проблемам з плагінами до їх виникнення та підтримує твій сайт у “стрункому” стані.

Вибирай Плагіни З Доброю Репутацією

Не всі плагіни створені однаковими. Коли ти додаєш нові інструменти на свій сайт, звертай увагу на ці ознаки здоров’я:

  • Регулярні оновлення (щонайменше щоквартально)
  • Велика, активна база користувачів (10,000+ інсталяцій)
  • Чуйна підтримка розробників (перевірте, як швидко відповідають на запитання)
  • Детальна документація та чіткий план розвитку

Прийміть філософію “Менше – це більше”

Твій сайт на WordPress — це не виставка плагінів. Кожен плагін додає код, ускладнення та потенційні проблеми з безпекою.

Запитай себе: “Чи вирішує цей плагін реальну проблему, яка у мене зараз є?”

Якщо ні, то воно не повинно бути на твоєму сайті. Прагни використовувати мінімальну кількість плагінів, необхідних для досягнення твоїх цілей.

Налаштувати Сповіщення Автоматичного Оновлення

Залишайся в курсі без постійного перевіряння панелі керування. Налаштуй сповіщення на електронну пошту для доступних оновлень плагінів через інструменти твого хоста або плагін управління.

Ці сповіщення на електронну пошту допоможуть тобі слідкувати за критичними оновленнями безпеки чи сумісності, навіть коли ти зайнятий веденням свого бізнесу.

Розглянь Керований хостинг WordPress

Іноді краще просто довірити справи професіоналу, щоб ти міг працювати над своїм бізнесом.

Сервіси, як DreamPress, займаються більшістю обслуговування WordPress, включаючи моніторинг безпеки та оновлення, а також допомагають, якщо щось ламається.

Твій Сайт Заслуговує На Краще, Ніж Павутиння Плагінів

Як забута ялинка, залишені плагіни колись могли добре тобі служити — але їхній час минув. Ти не можеш ризикувати безпекою та продуктивністю свого сайту на WordPress цими залишеними плагінами.

Але не всі мають час або технічні знання для моніторингу плагінів на предмет ознак занедбаності.

DreamPress може взяти це на себе. Він автоматично обробляє оновлення основних файлів WordPress, патчі безпеки та резервне копіювання сайту, а також пропонує щоденне автоматичне резервне копіювання, вбудований кеш та цілодобову спеціалізовану підтримку WordPress.

Це означає, що ти можеш зосередитися на створенні контенту та управлінні своїм бізнесом, поки DreamPress забезпечує спокій, знаючи, що за твій сайт гарно доглянуто.

Тож не зволікай — проведи генеральне прибирання свого сайту на WordPress або дозволь професіоналам з DreamPress зробити це за тебе.

Хостинг WordPress

Неперевершений Хостинг WordPress

Надійні, блискавично швидкі рішення для хостингу, спеціально оптимізовані для WordPress.

Дізнатися більше
Фото Alejandro Granata

Alejandro Granata