我是WordPress的新手。我最近阅读了一篇有关黑客如何利用插件漏洞的文章。诸如Google Pagespeed之类的各种来源也使我无法使用插件，或者至少将其保持在最低水平。就我个人而言，我也尽量避免使用插件，因为我可以更好地控制网站上发生的事情，并且下载插件几乎感觉像“很棒，我必须学习如何使用另一件事”。

我知道“插件推荐”是题外话，但我要讲的实际上是解释为什么/如果某些插件在WordPress中必不可少。

以这些为例：

安全性 -一些顶级插件与安全性有关。但是WordPress网站通常容易受到攻击吗？为什么我需要一个额外的插件来避免被利用？

备份 -我是博客世界的新手，但是大多数托管人不提供备份服务吗？还是我需要使用WordPress的专用插件？

AdSense Click-Fraud监控 -旨在阻止Click炸弹以避免被Google放逐。但是我不明白，除非您下载插件，否则所有人都必须做几次虚假点击才能关闭您的收入吗？

编辑：最好在Google支持中询问此问题，如果这样则忽略它

插件必要性

插件的真正必要性归结为一个问题，“ 我是否满足于WordPress的核心功能就是我所需要的？ ”

如果您想要的只是一个简单的博客，其中包含一些类别和许多静态页面，那么您已设置完毕。但是，如果您想开始集成交互式地图，日历和事件（可能是第三方REST API），迫使用户使用强密码，甚至将网站变成社交网络，那么您就需要插件。格兰特·帕林（Grant Palin）的答案提供了更多有关为什么人们会想要插件的见解。Dan Gayle的答案指出，许多主题都提供了各种插件功能，而没有明确使用WordPress插件。

核心安全

WordPress核心本身是相当安全的，核心开发者社区在发现安全漏洞后立即进行了可观的工作，以隔离和修补安全漏洞-拥有数亿用户和每个版本平均约200个核心贡献者的好处之一。通过添加“ 自动核心更新”，可以迅速消除从漏洞识别到修复发布之间一直存在的风险。

_{^{Pagely中的WordPress安全信息图 （相当数量的可靠信息-单击以完整查看它）}}

是的，WordPress具有固有的安全漏洞。但是Drupal，CakePHP，Ruby on Rails，Symfony，Zend等等也是如此。除了平台已经提供的安全防范措施之外，没有其他平台或系统可供我使用。我认为，仅依靠CMS或框架来确保任何网站的一线安全都是一个坏主意，尤其是采用率很高的任何框架。

插件安全

插件并不是绝对不安全的。问题在于，没有审查插件以确保其作者遵循良好的安全惯例。WordPress提出了作者应遵循的许多标准，但是许多插件是由新手或其他忽略该标准的人编写的。但是，与现有的所有代码库一样，您向系统中添加的代码越多，引入错误和漏洞的可能性就越大。您添加到安装中的插件越多，您承担的风险就越大。通过相同的方式，请知道WordPress主题同样会带来恶意威胁-尤其是晦涩的主题网站提供了大量的“免费主题”，其中许多试图直接利用您的网站而不是无知或意外地暴露安全漏洞。仅从可信赖的来源和可靠的作者那里获取主题和插件。

经验法则是不要安装知名度不高的作者的插件或现场相对较新的插件。如果可以的话，请花时间建立作者的信誉。理想情况下，了解进入安全可靠的插件的因素（用于请求和URL身份验证的数字一次（也称为“ nonce”），输入清理，输出转义，防止直接访问插件文件，对插件的正确访问）通过WordPress的方法和功能实现数据库数据库，启用调试时没有错误和弃用通知（请避免在生产环境中启用等），并审核自己安装的每个插件。没有什么可以理解安全插件脚本中所包含的内容，也不能从糟糕的插件中获得更好的防御。

如果对不安全的插件和主题的想法使您感到恐惧，或者您对PHP不熟悉或不熟悉，则您可能会发现WordPress.com的服务更像是您的工作，因为他们承担审查插件和主题的责任，并且仅允许确定安全的用户安装在用户站点上。如果需要，您仍可以在WordPress.com上使用自定义域。

把它备份

一些主机提供此类服务，而其他主机则不提供。就像我不信任任何平台的安全性一样，我也不信任任何主机来照顾我的备份。相反，我更喜欢将备份堆积在我的Dropbox中并同步到不同的服务器，这样我可以确信我始终可以直接访问具有多个不同系统上的副本的备份。如果我的主机出现故障或被一家较大的公司收购或其他一些主机不幸，则只需单击几下鼠标，甚至不必承担主机支持的风险。

最后说明

您应该阅读Harding WordPress上的Codex条目以获取更多安全建议。如果您不希望将来需要许多插件或任何晦涩的插件，那么让WordPress.com或其他托管WordPress托管提供商（例如Pagely）托管您的博客可能会更明智。

不管WordPress的新“自动核心更新”功能如何，您仍应努力手动确保安装以及所有插件和主题都是最新的。有些人可能认为这太过分了，但是我喜欢在更新后启用调试，并确保没有任何插件或主题失去兼容性（错误和弃用通知的强烈征兆就是这一点）。如果有，我将禁用它们，直到他们的作者更新它们为止，或者我自己进行必要的更改以保留我的权限，直到他们发布正式更新。请注意，您应该使网站脱机或运行网站的脱机开发副本，然后才能启用调试功能以排除故障。

我不确定Ad-sense点击炸弹行为的普遍性，但是WordPress插件可减轻此类点击炸弹的影响，除了Google采取的各种预防措施外，还为您提供了额外的安全保护。未运行WordPress的网站面临与单击炸弹相同的确切威胁，要么必须以其他方式实施保护，要么没有保护就无法生存。

其他资源

• Codex：编写插件

  ^{以功能为重点的插件创作简介与一些安全提示混合在一起。特别要注意页面底部附近的“ 插件开发建议”部分。}

• 食品法典：验证消毒和转义用户数据

  ^{这些概念及其重要性的简要介绍。}

• 食典：安全常见问题

• 手册：PHP编码标准

  ^{WordPress中以语法为重点的PHP代码标准，其中融合了一些安全性提示。}

• 手册：PHP内联文档标准

  ^{我绝对希望告诉您不要安装忽略在线文档的插件，但实际上，即使是优秀的开发人员也不一定总是这样做。但是，带有PHPDoc标记的丰富的在线文档很好地表明了作者对他们的工作有所了解。}

• WPSE：“ WordPress插件和主题的最佳安全性最佳做法是什么？”

  ^{该问题的答案提供了其他资源中未列出的其他几点。请注意，此问题已锁定，不会更新以反映新的发展。}

• WPSE：“在哪些上下文中负责数据验证/清理的插件？”

  ^{简而言之，“什么时候需要保护我的数据，什么时候核心功能为我处理数据？”}

• WPSE：“谁是最受信任的插件开发人员？”

  ^{一小部分WordPress插件开发中一些最受信任和知名的名称。当然，它绝不是穷举，而是一些快速“确定”的良好起点。请注意，此问题已锁定，不会更新以反映新的发展。}

• WPSE：如何建立主题/插件作者的信誉？”

  ^{基于有关插件必要性的这个问题而编写的，希望这个问题能为选择值得信赖的主题/插件作者提供一个通用的过程。}

• “ WordPress插件无知的危险（以及如何处理） ”-Tom Ewer

  ^{关于插件危险性的扎实的非技术性概述。}

• “ 为WordPress开发吗？请确保您的安全 ”-Mike Jolley

  ^{有关安全插件开发最佳实践的出色的简短技术概述。请注意，本文中链接的wptemplate.com上的信息图包含有关WordPress整体安全性的一些其他提示，但编译起来很差，并且使用破碎的英语编写。}

• “ 7条简单规则：WordPress插件开发最佳实践 ”-WP Tuts +

  ^{Tuts +上的文章通常准确且质量可观。}

• “ WordPress安全-贯穿BS ”-Tony Perez

  基于Perez的Chicago 2012 WordCamp演示文稿的WordPress安全漏洞和预防措施的出色技术概述。

简而言之-WordPress可以直接使用它，而无需插件。

然而！不同的人有什么不同的想法别人应该做它。其中一些想法是合理的。有些完全是傻瓜。

具体在您的示例中：

• WP（或者更确切地说，目前它的当前稳定版本）是安全的，许多安全性插件都专注于审核（类似于其他插件的代码）和主动监视（没有什么是绝对安全的）。

• 许多人（包括我在内）不信任第三方来处理备份。关于用备份信任主机会导致相当可悲的结果，还有很多恐怖的故事，除非您可以亲自监视，访问和验证主机（假设）正在备份，否则将它们视为不存在是更安全的。

WordPress本身具有相当的功能。如果您的需求很简单，或者您知道如何添加自定义功能，那么通常就不需要插件。但是，插件模型有很多优点，我将列举一些优点：

• 模块化，即插即用（主要）功能
• 封装专用功能
• 避免重新发明轮子
• 受益于经验丰富的插件作者的工作

倒数第二点，如果您要添加某些功能，则很有可能已经以插件形式实现了。受益于已经完成的工作是没有错的。

最后一点，许多可用的插件是开发人员的时间和经验的结果。这样的插件往往具有良好的构建和支持，并具有良好的声誉。看看Pippin Williamson，Scott Kingsley Clark和Alex King，仅举几例。他们不仅具有技术技能，而且具有信誉。这是某些第三方插件的巨大好处。

对于备份，我不愿意信任如此重要的Web主机，尤其是如果备份保存在同一服务器或同一网络中。第三方插件或DIY方法为您提供了更多控制权，并且通常将备份存储在与网站非常不同的位置。

如果安全插件本身具有处理安全措施的知识，则不一定非要使用安全插件。一些此类插件（例如Better WP Security）简化了文件权限，.htaccess指令等的处理。其他诸如WordFence的提供监视服务，而“ 限制登录尝试”为站点后端提供一些保护。

如果您担心插件的质量，那么这可能会是一个成功或失败的事件。我认为WordPress插件回购上的内容至少要经过WordPress背后的人员的审查，但是质量或价值是可变的-很大程度上取决于您的需求和能力。如果某个插件经过了严格的审查，得到了积极的支持并且来自知名作家或团队，那么您很可能会事半功倍。

后备

主机可以处理备份，但是备份通常仅提供“全有或全无”的方法。如果您使用插件，则可以每周执行一次文件备份和每日一次数据库备份，在进行任何维护之前先运行它们，或者将备份文件存储到SFTP / S3帐户中。没有插件就无法做到这一点。

性能

由于您的关注点在于性能（如Pagespeed参考资料所证明），因此我知道使用第三方CDN托管图像的唯一方法是使用插件（除非您真的很喜欢服务器上的脚本，在这种情况下，您可能不会在这里问这个问题）。

长期维护

驻留在WP本身范围之外并修改/更改您的内容（例如短代码）的任何功能都应驻留在插件中，因为您几乎可以肯定有一天会更改您的主题，并且您不希望在您的内容上出现一堆损坏的内容现场。

用户输入

用户输入是许多安全漏洞的来源，因此，如果您接受任何类型的用户数据，我肯定会考虑使用信誉良好的插件来处理。与您可能要添加的一些手工编码的表单相比，它们更有可能被其他人审查并接受了测试。

然而

有时，您需要的一切都在您的主题中。（尤其是如果您是在Code Canyon / Envato等上购买的，因为它们似乎具有极高的“功能”驱动力。）

有时候，对主题制作mod确实比处理插件（例如“ seo”插件的很大一部分）要容易得多。

实际上，这取决于您的要求。如果要在不修改主题文件的情况下为网站添加更多功能，那么肯定需要插件。

如果您要添加电子商务系统或完全自定义子主题，它们是必不可少的，否则您将需要为电子商务之类的东西完成大量的自定义编码。

另一个重要的点是，与包含大量主题特定插件的主题相比，使用包含大量主题选项的主题之间的区别。

通过安装插件来添加功能而不是使用包含大量内置选项的主题来定制WordPress显然更容易，因为那样您就需要使用代码来过滤现有功能，而不是仅通过安装插件来添加所需功能。采用。

当WordPress的新版本也处于Beta中时，插件中的代码也会更新，如果插件未更新，则可以轻松删除并安装新插件。