Как Обнаружить Заброшенные WordPress Plugins, Которые Могут Подвергать Твой Сайт Опасности

Опубликовано: от Alejandro Granata
Как Обнаружить Заброшенные WordPress Plugins, Которые Могут Подвергать Твой Сайт Опасности thumbnail

«Это апрель. Что делает ёлка в гостиной?»

Ты провёл часы, украшая рождественскую ёлку и наслаждаясь мерцанием огоньков.

Но это было еще в декабре.

Жизнь стала насыщенной, и прежде чем ты успел заметить, наступила весна. И вот, бедное дерево вяло висит в углу, сбрасывая иголки — это скорее пыльная пожароопасность, чем праздничное украшение.

Вот что происходит с заброшенными плагинами WordPress.

Мы устанавливаем их по определенной причине, но со временем они забываются. Оставленные без внимания, заброшенные плагины становятся угрозой безопасности, подвергая ваш сайт потенциальным рискам.

Давай найдем их и удалим.

Что такое заброшенный плагин?

О, да, сначала нам все же нужно понять, что же такое заброшенный плагин.

Заброшенный плагин — это WordPress плагин, который больше не поддерживается или обновляется его разработчиком. WordPress считает плагин заброшенным, если он не получал обновлений более двух лет.

Такие плагины могут стать несовместимыми с последними версиями WordPress, что приводит к потенциальным уязвимостям безопасности и проблемам с функциональностью.

Почему Брошенные Плагины — Большая Проблема

Заброшенные плагины — это настоящие временные бомбы для вашего сайта на WordPress. В 2023 году 97% всех новых уязвимостей WordPress произошли из-за плагинов, в то время как только 0.2% были найдены в самом ядре WordPress. Это означает, что почти каждая проблема безопасности сайтов на WordPress связана с плагинами и темами, а не с основным программным обеспечением.

Отчёт о уязвимостях WordPress от SolidWP ежедневно обновляется информацией о новых уязвимостях в экосистеме WordPress. Почти всегда появляются новые уязвимости для плагинов, но редко для основных файлов WordPress.

Скриншот объявления об обновлении WordPress Core 6.7.2, который подчеркивает исправление 35 ошибок. Зеленая галочка указывает на отсутствие новых уязвимостей в ядре.

Это тысячи предпринимателей, которые столкнулись с:

  • Упущенная выручка из-за простоя сайта.
  • Данные клиентов подверглись риску.
  • Поврежденная репутация и потеря доверия.
  • Google помечает их сайт как «потенциально вредный».
  • Часы (или дни), потраченные на устранение последствий.

Когда разработчики забрасывают свои плагины, они перестают устранять уязвимости в безопасности — создавая идеальные точки входа для хакеров.

Подумай об этом:

  • Отсутствие обновлений безопасности = подвергает твой сайт известным уязвимостям.
  • Отсутствие тестирования совместимости с новыми версиями WordPress = нарушение функциональности.
  • Отсутствие исправлений ошибок = неожиданное поведение, которое может подвергнуть риск твой сайт.

Теперь WAF от Wordfence заблокировал 3 миллиона атак с примерно 14 000 IP, нацеленных на уязвимости плагинов, только в первой половине 2023 года.

Но допустим, ты повезло, и оставленный плагин, который у тебя есть, абсолютно безопасен для использования.

Мы все еще должны решить проблемы с производительностью.

Каждое новое обновление WordPress улучшает скорость, уменьшает избыточность в системе и делает общее впечатление от работы сайта более отзывчивым, добавляя при этом новые функции.

Но если заброшенный плагин замедляет сайт, эти улучшения скорости могут остаться незамеченными, и может сложиться впечатление, что в этом виноват WordPress (хотя это не так).

Также существует большая вероятность, что плагин вызовет конфликт с новой версией WordPress, и у тебя останется неработающий сайт.

К сожалению, когда это происходит с заброшенными плагинами, ты остаёшься совершенно один. Нет разработчика, который ответит на вопросы, нет поддержки сообщества, нет обновлений документации. 15.7% всех уязвимых плагинов были полностью удалены из репозитория плагинов WordPress из-за их заброшенности.

Это оставляет владельцев веб-сайтов, которые непреднамеренно используют устаревшее, необновлённое программное обеспечение, которое хакеры могут использовать в своих интересах.

Проще говоря — как можно скорее избавься от таких плагинов.

Получайте контент прямо в свой почтовый ящик

Подпишитесь сейчас, чтобы получать все последние обновления прямо в свой почтовый ящик.

Как Распознать Заброшенные Плагины

Пришло время взять в руки свои метафорические лупы и начать искать подсказки, которые раскроют плагины, собирающие пыль в твоей панели управления WordPress.

Вот несколько признаков того, что на нашем сайте остался неиспользуемый плагин.

1. Дата «Последнее обновление»

Самый очевидный красный флаг находится прямо перед глазами.

В твоей панели управления WordPress перейди в Plugins > Installed Plugins.

Панель управления WordPress, показывающая страницу Установленные Плагины. Пункт меню 'Плагины' выделен синим цветом с фиолетовой обводкой и стрелками, указывающими на него.

Затем кликни View Details, чтобы открыть детали плагина, где ты увидишь дату последнего обновления.

Окно деталей плагина UpdraftPlus WP Backup & Migration в WordPress. Фиолетовая рамка выделяет секцию 'Последнее обновление: 2 недели назад'.

UpdraftPlus — популярный плагин, который регулярно обновляется. На момент написания этого текста последнее обновление было две недели назад, и его можно смело использовать, так как разработка активно ведётся.

Но на твоём сайте может оставаться старый плагин, подобный приведённому ниже, обновлённый ДЕВЯТЬ лет назад:

Окно сведений о публичном плагине Content XLerator WP в WordPress. Предупреждение сообщает, что плагин не был проверен с текущей версией WordPress. Пурпурная рамка выделяет 'Последнее обновление: 9 лет назад.'

Любой плагин, который не обновлялся более года, заслуживает вашего внимания, в то время как те, которые не трогали два года, попадают в официальную категорию «заброшенные» WordPress и должны быть удалены с вашего сайта как можно скорее.

Если есть страницы, которые всё ещё используют функционал плагина (возможно, это старый плагин форм, и у тебя всё ещё есть некоторые формы), замени этот функционал новыми плагинами как можно скорее.

2. Проверь Дату Обновления в Поиске Плагина

Предположим, ты хочешь установить следующий плагин WordPress. Тебе также стоит проверить даты последнего обновления в результатах поиска.

Давай возьмем тот же заброшенный плагин из примера выше. Если ты перейдешь в Plugins > Add New Plugins и поищешь его, ты увидишь следующий экран:

Экран добавления плагинов WordPress, показывающий публичный плагин Content XLerator WP. Фиолетовая рамка выделяет 'Последнее обновление: 9 лет назад.' У плагина менее 10 активных установок и он не проверен с текущей версией WordPress.

Обрати внимание, что в результатах поиска отображается дата последнего обновления, чтобы ты мог выбрать, стоит ли устанавливать плагин.

Если ты не находишься в панели управления WordPress, но ищешь плагины в каталоге плагинов WordPress, ты можешь кликнуть по любому плагину и увидеть версию и дату последнего обновления на информационной панели справа.

Страница каталога плагинов WordPress для 'Embed Plus for YouTube Gallery, Livestream, and Lazy Loading with Facades.' Фиолетовая рамка выделяет детали плагина, включая версию 14.2.1.3, последнее обновление 3 месяца назад, более 100,000 активных установок и совместимость с WordPress до версии 6.7.2.

Это должно дать тебе достаточно информации, чтобы решить, стоит ли рассматривать этот плагин или нет.

3. Смотреть Заявки в Поддержку

Предположим, ты видишь плагин, который недавно обновился, но имеет всего несколько активных установок. Как можно убедиться, что плагин активно разрабатывается?

Тикеты поддержки могут показать чёткую картину.

На странице каталога плагинов WordPress перейди к любому интересующему тебя плагину и кликни по ссылке Поддержка, которая находится прямо под кнопкой скачивания.

Страница каталога плагинов WordPress для 'UsersWP – Форма входа на frontend, Регистрация пользователя, Профиль пользователя и Плагин каталога участников для WP.' Фиолетовая обводка выделяет ссылку 'Поддержка'.

На этой странице ты увидишь все запросы в службу поддержки, которые поднимали пользователи WordPress.

Форум поддержки WordPress для 'UsersWP - Форма входа во фронтенд, регистрация пользователей, профиль пользователя и плагин каталога пользователей для WP.' Отображает список последних тем поддержки, количество участников, ответы и даты последних сообщений. Ссылки сайдбара включают часто задаваемые вопросы, темы поддержки и обзоры.

Если ты замечаешь, что разработчик активно отвечает на вопросы, решает проблемы и даже добавляет новые функции по запросу, можешь смело пробовать использовать этот плагин.

Но иногда ты можешь заметить, что запросы остаются без ответа неделями и нет никакой активной разработки плагина. В таких случаях лучше держаться подальше и найти что-то более активное.

4. Слушай Предупреждения Своей Панели Управления

WordPress похож на того умного техника в твоей команде, который следит за всем порядком.

Если ядро WordPress, плагин или тема устаревают, появляется новая уязвимость или возможный конфликт, оно отправляет тебе уведомления и сообщения об ошибках, чтобы ясно об этом сообщить.

Панель управления WordPress отображает предупреждение 'Требуется обновление PHP'. Сообщение указывает, что сайт работает на небезопасной версии PHP и предлагает обновиться для лучшей безопасности и производительности. Фиолетовая рамка выделяет блок предупреждения.

Ты можешь игнорировать эти предупреждения и продолжить запланированное действие — но мы советуем прислушаться к ним.

5. Запустить Автоматические Проверки Безопасности

Есть много способов защитить твой сайт на WordPress. Самый простой — установить всего один плагин безопасности, такой как Wordfence, Patchstack, Sucuri и т. д., и позволить ему определить, что хорошо для твоего сайта, а что нет.

Интерфейс сканирования безопасности Wordfence, показывающий завершенное сканирование с обнаружением на 100% по стандартным и премиум подписям вредоносного ПО, а также проверкам репутации. Новые проблемы не найдены. Отображаются различные проверки безопасности, включая Spam, списки блокировок, изменения в файлах и сканирование уязвимостей.
Источник

Эти плагины отслеживают каждую уязвимость безопасности, заброшенные или устаревшие плагины, а также любые проблемы с основными файлами WordPress. Если твой сайт покажет признаки, соответствующие любой из этих проблем, плагин немедленно уведомит тебя об этом.

Они также выполняют автоматическое сканирование в фоновом режиме, чтобы обнаружить злоумышленников, пытающихся использовать устаревшие или заброшенные плагины для получения несанкционированного доступа к вашему сайту, или чтобы определить ранее безопасные плагины, которые стали зараженными.

6. Тест На Популярность

И наконец, если ты не хочешь беспокоиться о технических деталях, доверь это толпе. Лучшие плагины WordPress — это также те, у которых наибольшее количество активных установок.

При поиске плагинов в каталоге плагинов WordPress, нажми на вкладку Расширенный Вид под данными плагина (раздел, где мы видим дату «Последнее обновление»).

Страница плагина WordPress 'Advanced View', отображающая статистику, включая активные версии, график ежедневных загрузок и историю общего количества загрузок. Фиолетовой рамкой выделено общее количество загрузок - 609,788,768. Также показаны детали плагина, рейтинги и поддерживаемые версии.

Расширенный вид показывает тебе статистику по версиям используемых плагинов среди всех пользователей, а также количество загрузок плагина на дневной и недельной основе, вместе с общим числом установок.

Плагины с уменьшающимся количеством активных установок (менее 1,000), снижающимися тенденциями загрузок или постоянно плохими оценками могут быть на пути к забвению — или уже там.

В основном, если ты будешь использовать топовые плагины WordPress, которыми активно пользуются многие люди, то, как правило, всё будет хорошо. Это потому, что разработчики, а также технически подкованные пользователи следят за проблемами в коде и решают их по мере появления.

Нашел Брошенные Плагины? Вот Что Делать

Так ты обнаружил аналог забытой ёлки в виде плагина на своём сайте WordPress. Что теперь?

Вот твой пошаговый план спасения, чтобы безопасно устранить эти риски безопасности, не повредив твой сайт.

Шаг 1: Найти Альтернативу

Прежде чем что-либо менять, найди замену. Ищи активные плагины, которые предлагают функциональность, похожую на ту, которую предоставляли твои заброшенные.

Лучшие замены будут иметь:

  • Обновления за последние 3 месяца
  • Совместимость с вашей версией WordPress
  • Высокие оценки (4+ звезды)
  • Отзывчивое сообщество разработчиков
  • Хорошая документация

Заметка для гиков: Иногда идеальной заменой плагину вовсе не является другой плагин! Многие функции, ранее требующие плагинов, теперь встроены в основу WordPress или вашу тему.

Шаг 2: Создай Полное Резервное Копирование

Резервное копирование — это сеть безопасности для твоего сайта. Не пропускай его!

Создай полную резервную копию своего сайта на WordPress, включая файлы и базу данных.

Ты можешь использовать плагины или инструменты резервного копирования хоста, но убедись, что ты знаешь, как восстановить данные из этой копии при необходимости.

Надеемся, что резервное копирование не понадобится, но оно станет спасением, если что-то пойдет не так.

Шаг 3: Тестирование в Тестовой Среде (При Возможности)

Для сайтов, критически важных для бизнеса, тестируй перед изменениями. Если возможно, клонируй свой сайт в тестовую среду и сначала замени заброшенные плагины там.

Если сайт сломался, тебе нужно разобраться, что пошло не так и как это исправить в тестовой среде до того, как ты начнешь работать с живым сайтом.

Эта среда становится твоей площадкой без последствий для тестирования новых плагинов с твоей конкретной настройкой.

Шаг 4: Осторожно Замените Плагин

Теперь к главному событию. Вот как заменить те заброшенные плагины.

  1. Сначала активируй новый плагин, не деактивируя старый.
  2. Настрой новый плагин в соответствии с настройками старого.
  3. Проверь, что функционал работает как ожидается, когда оба плагина активны.
  4. Деактивируй (но не удаляй) заброшенный плагин.
  5. Тщательно протестируй свой сайт, чтобы убедиться, что ничего не сломалось.

Когда ты убедишься, что всё работает как надо, удали этот старый плагин WordPress.

Шаг 5: Проверка После Замены

После переключения тщательно проверь свой сайт. Проверь фронтенд и бэкенд своего сайта на наличие каких-либо проблем.

Ищи визуальные сбои, проблемы функциональности или сообщения об ошибках. И уделяй особое внимание функциям, которые зависели от замененного плагина.

Стоит ли когда-либо оставлять заброшенный плагин?

Давай признаем — иногда тебе нужен заброшенный плагин, от которого зависит твой сайт.

Возможно, он выполняет уникальную функцию (например, специфическую систему рекомендаций при оформлении заказа), которую не заменит ни один другой плагин, или возможно, ты создал вокруг него пользовательские интеграции.

Итак, можешь ли ты (и должен ли ты) это сохранить? Ну… это сложно.

Сохранение неиспользуемого плагина — рискованно. Ты должен только рассматривать возможность его сохранения, если:

  • Плагин выполняет критически важную функцию, для которой нет альтернатив.
  • Рабочий процесс твоего бизнеса зависит от пользовательских функций, которые он предоставляет.
  • Плагин довольно простой с минимальным объемом кода (ты можешь попросить разработчика проверить код плагина на GitHub).
  • Ты тщательно протестировал его с текущей версией WordPress, и он хорошо работает.

Если все эти условия соблюдены, ты можешь рассмотреть возможность сохранения plugin. Но мы всё же рекомендуем найти способ поддерживать код с помощью разработчика или избавиться от него как можно скорее.

Дополнительные Меры Безопасности, Которые Ты Должен Принять

Если ты решишь оставить этот заброшенный плагин, тебе придется построить вокруг него крепость.

  • Создайте специфический брандмауэр для плагина: Используй плагины безопасности, такие как Wordfence или Sucuri, для создания настраиваемых правил брандмауэра, специально нацеленных на потенциальные уязвимости в твоем устаревшем плагине. Они служат твоей первой линией защиты от атак, нацеленных на известные слабости.
  • Внедряй регулярные аудиты кода: Найми разработчика, чтобы периодически проверять код плагина на наличие уязвимостей безопасности. Да, это стоит денег, но значительно дешевле, чем решать проблемы после атаки на сайт и его последствия.
  • Настрой усиленный мониторинг: Настрой оповещения о любой необычной активности, связанной с плагином. Раннее обнаружение может означать разницу между незначительной проблемой и полномасштабным нарушением безопасности, которое может повлечь за собой сбой всего твоего сайта.
  • Изолируй, когда это возможно: Если это возможно, запускай устаревший плагин на отдельном субдомене или в отдельной среде, ограничивая его доступ к чувствительным данным и функциям твоего основного сайта — рассматривай это как карантинную зону.

Активные Шаги По Контролю За Здоровьем Плагинов 💪

Как бы банально это ни звучало, предотвращение лучше лечения.

Вот как создать здоровую экосистему плагинов, которая обеспечит безопасность твоего сайта на WordPress и его лучшую производительность.

Регулярно планируй проверки плагинов

Считай это квартальной проверкой твоего сайта.

Отметь в своём календаре дату для тщательного обзора плагинов каждые три месяца. Во время этих аудитов оценивай историю последних обновлений каждого плагина, статус совместимости и действительно ли тебе ещё нужен этот плагин.

Это регулярное обслуживание предотвращает проблемы с плагинами до их возникновения и поддерживает ваш сайт в отличной форме.

Выбирай Плагины С Хорошей Репутацией

Не все плагины созданы одинаково. Когда ты добавляешь новые инструменты на свой сайт, обращай внимание на эти признаки здоровья:

  • Регулярные обновления (не реже одного раза в квартал)
  • Большая, активная база пользователей (10 000+ установок)
  • Отзывчивая поддержка разработчика (проверьте, как быстро отвечают на вопросы)
  • Подробная документация и чёткий план разработки

Принимай Философию «Меньше — Это Больше»

Твой сайт на WordPress — это не выставка плагинов. Каждый плагин добавляет код, усложняет систему и увеличивает потенциальные риски безопасности.

Спроси себя: «Решает ли этот плагин реальную проблему, которая у меня есть прямо сейчас?»

Если нет, то это не должно быть на твоём сайте. Стремись к минимальному количеству плагинов, необходимых для достижения твоих целей.

Настройка Уведомлений Об Автоматическом Обновлении

Оставайся в курсе без постоянной проверки панели управления. Настрой уведомления по электронной почте о доступных обновлениях плагинов через инструменты твоего хоста или плагин управления.

Эти уведомления на электронную почту помогут тебе следить за всеми критически важными патчами безопасности или обновлениями совместимости, даже когда ты занят ведением своего бизнеса.

Рассмотри управляемый WordPress-хостинг

Иногда лучше всего просто передать дела профессионалу, чтобы ты мог заниматься своим бизнесом.

Сервисы, такие как DreamPress, берут на себя большую часть обслуживания WordPress, включая мониторинг безопасности и обновления, а также помогают, если что-то ломается.

Твой сайт заслуживает лучшего, чем паутина плагинов

Как забытая новогодняя ёлка, плагины, которые больше не используются, могли когда-то хорошо служить тебе — но их время прошло. Ты не можешь рисковать безопасностью и производительностью своего сайта на WordPress с этими заброшенными плагинами.

Но не у всех есть время или технические навыки, чтобы следить за плагинами на предмет признаков их заброшенности.

DreamPress может позаботиться об этом за тебя. Он автоматически управляет обновлениями ядра WordPress, патчами безопасности и резервными копиями сайта, предлагает ежедневные автоматические резервные копии, встроенный кэш и круглосуточную специализированную поддержку WordPress.

Это значит, что ты можешь сосредоточиться на создании контента и ведении своего бизнеса, в то время как DreamPress обеспечивает спокойствие за то, что твой сайт находится в надежных руках.

Так что действуй — проведи генеральную уборку своего сайта на WordPress, или позволь профессионалам из DreamPress сделать это за тебя.

website management by DreamHost
WordPress Hosting

Избавься От Стресса

Избегай проблем с устранением неполадок, когда ты регистрируешься в DreamPress. Наши дружелюбные эксперты по WordPress доступны 24/7, чтобы помочь решить проблемы с сайтом — большие или маленькие.

Ознакомься С Тарифами
Фото Alejandro Granata

Alejandro Granata