Wtyczki WordPress, które mogą zaszkodzić
Siemaneczko! Witam Cię w szóstym odcinku podcastu o biznesie na WordPressie. Jestem Karol z bloga WPziom, na co dzień zajmuje się tworzeniem i wspieraniem biznesów moich klientów w oparciu o WordPress, dzięki temu mam możliwość dzielić się z Tobą praktycznymi wskazówkami na temat WordPressa od strony biznesowej i technicznej.
Posłuchaj na YouTube
Dziś powiem o wtyczkach, które mogą zaszkodzić twojemu WordPressowi. Jak zaszkodzić? Np. go spowolnić albo spowodować, że będzie mniej bezpieczny. Wtyczki to największa zmora WordPress a równocześnie największa jego zaleta. Z tego względu, że dzięki wtyczkom możemy rozbudować funkcjonalności naszej strony często bez napisania linijki kodu. Natomiast jest to wada z tego względu, że mogą być kilerem jeśli chodzi o wydajność naszej strony i mogą spowodować, że ktoś włamie się na naszą witrynę.
Muszę ci powiedzieć, że ja kiedyś myślałem, że wtyczki to są jakieś magiczne rzeczy, jakieś magiczne dokładki, moduły, które sprawiają, że wydarzają się jakieś czary. A potem w momencie, gdy zacząłem dowiadywać się jak działa WordPress, okazało się, że są to po prostu kawałki kodu, które doklejamy do naszego WordPressa. A potem w ogóle dowiedziałem się, że można dopisać też kawałek kodu np. w pliku function PHP, oczywiście najlepiej w motywie potomnym. Albo można napisać ten kawałek kodu i dodać własną wtyczkę i tak odkrywamy kolejne rzeczy związane z wtyczkami wraz z poznawaniem WordPressa.
No bo WordPress tak najprościej ujmując składa się z trzech rzeczy. Z WordPress czyli core, który instalujemy, z motywu i z wtyczek właśnie. No a samo podejście do wtyczek i umiejętne ich wybieranie jest o tyle ważne, że wpływa bardzo na bezpieczeństwo naszych WordPressów.
Dlaczego wtyczka może zaszkodzić mojej witrynie?
Podam Ci ciekawą statystykę, która mówi o tym, że w 2021 roku aż 97,1% ujawnionych luk na stronach internetowych w oparciu o WordPress, to są luki we wtyczkach, więc jak widzisz dobre dobranie wtyczek, umiejętne ich używanie jest mega istotne. Myślę, że na samym początku w momencie, gdy wybieramy funkcjonalności dla naszej strony to warto sobie zadać pytanie: czy ja potrzebuję tej wtyczki, czy mogę sobie poradzić bez. Oczywiście odpowiedź na to pytanie prawdopodobnie determinuje nasza wiedza i to jaki mamy pomysł na rozwiązanie danej rzeczy na naszej stronie i czy wiemy jak to zrobić np. bez wtyczki. Dlatego to się tak prosto mówi.
Natomiast myślę, że warto dowiadywać się co konkretnie wtyczki robią. Może nie rozumieć każdą linijkę kodu tej wtyczki, ale myślę, że warto mieć świadomość, że zachodzą pewne procesy na naszej stronie internetowej czy na stronie naszego klienta. No i często w momencie, gdy godzimy się na jakieś kompromisy, że coś rozwiązujemy wtyczką, to warto wiedzieć co, po co i dlaczego. Myślę, że to będzie jasne, jeśli będę podawał przykłady konkretnych wtyczek. No to lecimy.
Wtyczka do wdrażania SSL
Pierwszym rodzajem wtyczek, na które trzeba uważać, a raczej których nie powinno się po prostu używać. Są wtyczki, które nie muszą być wtyczkami lub robią coś bezsensownego. Idealnym przykładem jest wtyczka Really Simple SSL, która jak sobie wpiszesz na wordpress.org ma ponad 5 mln aktywnych instalacji i ma średnią ocen 5 gwiazdek. To też pokazuje, że porada „miej mało wtyczek, zobacz kiedy były ostatnio aktualizowane i jakie mają oceny w repozytorium” to jest tylko porada częściowa i nie zawsze jest do końca trafna, ponieważ niektóre wtyczki nie muszą być często aktualizowane, bo robią jakąś jedną rzecz, która nie wymaga częstych zmian w kodzie tej wtyczki. No i właśnie Really Simple SSL powoduje to, że nasza strona nie ma dobrze i poprawnie wdrożonego SSL-a, a pokazuje się użytkownikowi, że ma.
Niestety czytałem kilka poradników firm hostingowych, które polecają właśnie tę wtyczkę jako rozwiązanie do poprawnego wdrożenia SSL. Natomiast nie trzeba tego robić za pomocą wtyczki a wręcz nie powinno się, ponieważ ta wtyczka zmienia URL w locie. Co to znaczy w praktyce? Ktoś wchodzi na naszą stronę, która nie ma poprawnie wdrożonego SSL-a, ta wtyczka zamienia htpp na https za każdym razem, gdy ktoś otwiera naszą stronę i pokazuje, że ta strona jest niby https, i że niby ma szyfrowanie. Do tego jest bardzo często aktualizowana, żeby było widać, że jest często aktualizowana, ale nie mam pojęcia co tam można aktualizować.
No bo to są rzeczy tego typu, które robi się raz i się po prostu o nich zapomina. A więc poprawnie instalujemy WordPressa, ewentualnie jeśli nie mamy https, lub jeśli właśnie na stronie, na której pracujemy jest wtyczka Really Simple SSL to ją kasujemy no i trzeba zmienić URL-e w bazie danych. To brzmi strasznie. Natomiast do tego również możemy użyć wtyczki, którą instalujemy tylko na chwilę.
Taka wtyczka to Velvet URL albo Better Search Replace. Wszystkie nazwy, które tutaj wymieniam i linki do wtyczek znajdziesz w notatkach tego odcinka – wpziom.pl/006. Można też zmienić adres samego WordPressa w ustawieniach w kokpicie. No ale często mamy już załadowane jakieś obrazki i inne rzeczy na naszym WordPressie po http. Dokładny poradnik nagrałem też na YouTube. Myślę, że link znajdziesz, znaczy nie myślę, tylko wręcz jestem o tym przekonany, że link znajdziesz również w notatkach do tego podcastu, bo my lecimy dalej.
Wtyczka bezpieczeństwa do WordPress
Drugi rodzaj wtyczek, który może zaszkodzić twojemu WordPressowi to „wtyczki bezpieczeństwa”. I tutaj „wtyczki bezpieczeństwa” proszę wziąć w cudzysłów, ponieważ one nie zwiększają naszego bezpieczeństwa, nie zwiększają bezpieczeństwa naszych stron internetowych, a wręcz w niektórych przypadkach pogarszają to bezpieczeństwo.
Tak, dobrze usłyszałeś/usłyszałaś. Wtyczki do bezpieczeństwa pogarszają bezpieczeństwo, obniżają poziom tego bezpieczeństwa. W momencie gdy same mogą być przyczyną ataku. Tak to miało miejsce np. ostatnio kilka razy. To w ogóle cały czas ma miejsce, co kilka tygodni, że ktoś wypuszcza informacje, a raczej nie ktoś tylko firmy, które zajmują się badaniem podatności, że wtyczka bezpieczeństwa mogła być przyczyną włamania do WordPressa. No co już mówi samo za siebie. Natomiast mam jeszcze kilka zarzutów do wtyczek bezpieczeństwa.
Przykładem takich wtyczek jest WordFence Security, iThemes Security. Wcześniej to była wtyczka która się nazywała Better WP Security i ta wtyczka też miała z tym problemy i inne wszystkie, które mają w nazwie Security. Jeśli jakaś wtyczka ma w nazwie „Security” to nie powinieneś/nie powinnaś mieć tej wtyczki w swoim WordPressie ani u żadnego klienta.
No i teraz jakie mam największe zarzuty do wtyczek bezpieczeństwa. Przede wszystkim takie, że gromadzone są dane. Na przykład dane o IP, które chciały się zalogować. I one są oczywiście gromadzone w bazie danych w naszym WordPressie a są tam zupełnie do niczego nie potrzebne, bo dobry hosting zbiera takie dane a raczej odnotowuje IP, które chciały się zalogować tylko po to, żeby je zablokować, więc nie róbmy tego na naszych WordPressach, bo to jest bez sensu.
Kolejnym zarzutem do wtyczek bezpieczeństwa są skany. No bo ta wtyczka skanuje nasze pliki sprawdzając czy są jakieś wirusy. No i to wpływa na wydajność naszego WordPressa. No bo kiedyś ten skan musi się odbyć, tak? Więc ten skan odbywa się. W momencie gdy mamy biznes tylko w jednym kraju i on odbywa się w nocy, no to tylko po prostu konto hostingowe zużywa zasoby. Natomiast jeśli mamy biznes międzynarodowy to różna pora jest u różnych ludzi. No i w momencie, gdy ten skan się odbywa to wiadomo, że strona działa wolniej.
Kolejnym zarzutem jest stwarzanie fałszywego poczucia bezpieczeństwa. Często spotykam się z podejściem, że: „a ja mam wtyczkę bezpieczeństwa, więc nic mi nie grozi” a to nie jest prawda. Wtyczka bezpieczeństwa nie chroni naszego WordPressa, między innymi dlatego, że jest wtyczką, więc już jest coś w środku, więc nie trzeba być programistą i mega mózgiem jeśli chodzi o kodowanie, żeby wymienić to, że jeśli coś jest w środku to nie może ochronić przed włamaniem. Mam tu na myśli to, że wtyczki do bezpieczeństwa są po prostu wtyczkami, więc działają na warstwie aplikacji, czyli tam gdzie WordPress. To tak, jak byśmy zabezpieczenie przed włamaniem np. w postaci bramy nie zrobili przed domem, a w naszym przedpokoju, nie? Bo jeśli wtyczka poinformuje nas, że WordPress jest zawirusowany, to wspaniale, że nas poinformowała, tylko że to jest trochę za późno, nie?
Oczywiście alternatywą do takich wtyczek jest wiedza co robić i jak robić, żeby nie paść ofiarą ataku. Nie paść ofiarą ataku, to brzmi tak strasznie a na pewno bardzo na wyrost w kontekście tego, że 92 proc. skutecznych ataków, to ataki botów. Czyli specjalny skrypcik sobie chodzi po WordPressach i patrzy czy są jakieś luki. Najczęściej we wtyczkach oczywiście tak jak mówiłem wcześniej. Jak się zabezpieczać? Używać wtyczek z dobrych źródeł, używać trudnych haseł, a przede wszystkim aktualizować WordPressa. Więcej o samych wtyczkach bezpieczeństwa samym bezpieczeństwie napisałem by wspaniałym e-booku, który jest dostępny za darmo „5 kroków do bezpiecznego WordPressa„.
Wtyczki do zbierania statystyk na WordPressa
Kolejnym rodzajem wtyczek, które nie powinny znaleźć się w naszym WordPressie są wtyczki do zbierania statystyk np. wtyczka WP Statistics albo wtyczka Jetpack, która jest polecana przy instalacji WooCommerce. Natomiast te wszystkie wtyczki zbierają dane. I tak jak mówiłem przy poprzednich wtyczkach, czyli wtyczkach bezpieczeństwa no to jeśli zbieramy dane, to nasza baza danych się zwiększa, jeśli się zwiększa to się dłużej ładuje i to doprowadza do tego, że WordPress działa wolniej. A nam te statystyki są niepotrzebne w samym kokpicie ani w bazie danych, więc możemy je zbierać na zewnątrz i to jest rekomendowane rozwiązanie czyli wszelka analityka może odbywać się przez zewnętrzne skrypty jak na przykład Google Analytics.
W ogóle jeśli chodzi o wtyczkę WP Statistics to ostatnio też miała lukę bezpieczeństwa i mogła być przyczyną złamania, ale to jest jako taka ciekawostka, ponieważ głównym grzechem tych wszystkich wtyczek, które zbierają statystyki jest to, że zajmują dużo miejsca. A jeżeli możemy zbierać statystyki poza WordPressem i będą one tak samo dobre, no to róbmy to po prostu poza kokpitem WordPressa.
Page Builder
Kolejnym rodzajem wtyczek, których warto unikać są Page Buildery. No i tutaj znowu nie trzeba być geniuszem jeśli chodzi o oprogramowanie aby zmienić to, że jeśli mamy domyślnego Gutenberga i zastępujemy go czymś np. Wpbakery, Divi albo Elementorem, to musi być spełnionych kilka warunków m.in. taki, że ta wtyczka np. Elementor musi się załadować. To nie jest tak, że natywny WordPress sie wczytał i już mamy to co chcemy. Jeszcze musi się wczytać Elementor z całym swoim wspaniałym kodem. No i on musi się załadować, bez względu na to, czy jesteśmy w kokpicie i chcemy coś w tym Elementorze np. zrobić, czy jesteśmy na witrynie od strony frontu. No to też Elementor musi się załadować. No więc to jest pierwsza wada, że strona będzie działała wolniej, bo to jest dodatkowa wtyczka, która jest dosyć rozbudowana.
Kolejnym zagrożeniem jest to, że wtyczka, która odpowiada za wygląd całej strony będzie nie kompatybilna z corem WordPress, czyli z właśnie tym sercem, rdzeniem WordPress. No bo ta wtyczka działa w oparciu o WordPress, więc jeśli coś działa w oparciu o WordPress musi być z nim kompatybilne. No i często działo się tak, że po aktualizacji WordPrezesa któryś Page Builder nie działał poprawnie.
Natomiast oczywiście wszystko zależy od tego znowu jakie mamy umiejętności, do czego potrzebujemy danych wtyczek. Być może ktoś porusza się świetnie w Elementarze i nie będzie przeszkadzało mu albo jego klientowi, że strona będzie się ładować chwilkę dłużej, bo będzie np. bardzo ładnie wyglądała, albo będzie przede wszystkim świetnie konwertowała. Więc jeśli chodzi o Page Builder, bo to nie są to wtyczki których nie należy używać i są kompletnie bezsensowne tak jak np. w przypadku Really Simple SSL, bo jestem daleki od tego, żeby być wyznawcą jednej słusznej drogi jeśli chodzi o WordPress. Sam Gutenberg czy też nawet Gutenberg w oparciu o Kadence nie jest tak intuicyjny jak właśnie Elementort. Nie jest tak prosty.
Oczywiście nagroda za używanie Gutenberga np. w parze z Kadence jest duża, więc warto się tego nauczyć moim zdaniem i to robię m.in. na moim kanale. Czyli uczę i pokazuje jak działać w oparciu o Gutenberga. Natomiast też rozumiem osoby, które działają na Page Builderach, które się w tym wyspecjalizował i które budują strony w oparciu o Divi czy Elementor. Więc też nie chcę być tutaj mega przeciwnikiem Page Builderów, natomiast na pewno ten rodzaj wtyczek może być zagrożeniem dla performance, czyli wydajności naszego WordPressa.
Wtyczki do backupów
Ostatnim rodzajem wtyczek, o których dzisiaj wspomnę, na które należy uważać są wtyczki do backupów, czyli do kopii zapasowych. Osobiście uważam, że wtyczki do backupu są dobre i potrzebne i często mogą uratować nam skórę. Z tego względu, że jesteśmy niezależni od np. firmy hostingowej, która nam ten backup przywraca. Natomiast myślę, że warto żebyśmy wiedzieli jakie są wady robienia backupu czyli kopii zapasowej wtyczką. No i jakie błędy możemy popełnić używając wtyczek do backupu właśnie.
Wady robienia kopii zapasowej strony poprzez wtyczkę
Po pierwsze, warto mieć kopię zapasową niezależną od kopii, która znajduje się na koncie hostingowym. Ostatnio miałem taką przygodę z jedną z firm hostingowych. Konto klienta miało co prawda 50 GB i tam nie był WordPress tylko inna aplikacja. No i potrzebowaliśmy przywrócić hosting, bo coś się popsuło. W zasadzie potem okazało się, że ta firma hostingowa coś popsuła, ale dąży do tego, że przywrócenie tego backupu trwało kilka dni, ponieważ najpierw na supporcie oni nam tłumaczyli, że to działa. My odpowiadaliśmy, że nie działa, że poprosimy o przywrócenie kopii a kopia z wczoraj nie zadziałała, więc jeszcze wcześniej. A okazało się, że oni zmienili ustawienia serwera.
No i tak sobie pomyślałem, w momencie gdy ja bym się wymieniał wiadomościami, chociaż wymieniam wiadomościami to dużo. To mi się kojarzy, że z kimś rozmawiam na żywo. A tam napisałem do spportu. Dostałem odpowiedź np. po sześciu godzinach. Potem ja odpisałem po pół i potem znowu, albo następny dzień. No i te rozważania dążą do tego, że warto być niezależnym od hostingu jakkolwiek dobry by on się nie wydawał. Z tego względu, że mogą różne rzeczy się zgadzać. Choćby takie, że hosting jest dobry i się rozrośnie i nie nadąża z supportem i szybkimi odpowiedziami.
To są takie moje wnioski z ostatnich wydarzeń i potyczek z tą firmą hostingową. No i w momencie gdy mamy swój backup (no bo ja mam tak, że czasem odpływam, nie?). No ale wróćmy do tematu kopii zapasowych robionych przez wtyczki. Poniekąd to co przed chwilą mówiłem się z tym wiąże, bo w momencie, gdy mamy właśnie kopię niezależną od hostingu możemy ją przywrócić w każdej chwili bez czekania na odpowiedź z supportu.
No ale dlaczego należy używać z rozwagą tych wtyczek? Między innymi dlatego, że w momencie, gdy tworzy się backup to nasza strona jest obciążona. Momencie gdy tworzy się backup na koncie hostingowym, to nasze konto hostingowe też robi kopię zapasową, razem z naszą kopią zapasową. Czyli to trwa dłużej i zajmuje więcej miejsca na naszym koncie hostingowym. No i często może to miejsce nam się skończyć i potrzebujemy kupić droższy pakiet.
Kolejną ważną rzeczą, na którą należy uważać jest to, że kopię zapasową przywracamy z poziomu aplikacji, czyli z poziomu WordPressa. To podobna historia jak z wtyczkami bezpieczeństwa. Skoro cos działa na poziomie aplikacji, no to w momencie gdy ta aplikacja nie działa, czyli nie możemy się zalogować do kokpitu, nie możemy przywrócić tej kopii. Można postawić od nowa WordPressa i przywrócić kopię z innego miejsca, jeśli mamy backup właśnie w innym miejscu. Więc na to należy zwrócić uwagę, żeby się zdywersyfikować troszkę, a więc żebyśmy mieli różne opcje.
Czyli jedna kopa zapasowa w koncie hosting. Jedna kopia zapasowa gdzieś na dysku zewnętrznym, czy to w chmurze jakiejś, czy na dysku zewnętrznym takim fizycznym, czy tu i tu najlepiej. No i wtedy mamy większe pole manewru, no bo w momencie, gdy nie możemy zalogować się do kokpitu, a stamtąd tylko możemy przywrócić naszą kopię zapasową, to mamy lipę. Słyszałem bardzo fajne porównanie Maćka Kuchnika, który prowadzi też podcast na temat WordPressa, że to jest trochę tak, jakbyśmy mieli zapasowe kluczyki do samochodu, ale które są zepchnięte w samochodzie. No i to jest bardzo dobre porównanie, które obrazuje właśnie stworzenie backupu poprzez wtyczkę, który jest dostępny tylko po zalogowaniu się do kokpitu.
Oczywiście moment, gdy wtyczka tworzy backup podobnie jak moment, gdy wcześniej mówiłem o skierowaniu WordPressa, obciąża naszą stronę. Moment gdy ten backup jest przywracany również obciąża naszą stronę. Więc tutaj warto wiedzieć jakie są wady i zalety tworzenia backupów, czy też wersji stagingowych, czyli takiej wersji do testowania. Jest taka wtyczka WPvivid Backup, która też ma opcję jeśli chodzi o staging i ja np. często jej używam przy prostych stronkach działa bardzo dobrze. Robię sobie wersję developerską i tam aktualizuje wszystkie wtyczki, które zastałam np. u klienta. Patrzę, że wszystko działa, patrzę co się wykrzaczyło i w momencie gdy wszystko jest ok, albo gdy wszystkie zmiany zrobiłem i klient je zaakceptował to przerzucam na wersję Live i nikt nie widział, że coś się zmienia na stronie, nikt z użytkowników oczywiście.
Takie rzeczy można robić oczywiście bez wtyczkowo i bardziej programistycznymi metodami. Natomiast to jest jedna z prostszych opcji, ponieważ instalujesz sobie wtyczkę i tworzy ci się taka strona do testowania. No więc na te wtyczki od kopii zapasowych należy wziąć poprawkę. Nie zawsze one będą działać dobrze. Czasem się coś wykrzaczy, czasem pokaże się jakiś błąd i wtedy jesteśmy bezradni, jeśli tylko tego używamy do robienia kopii.
Najlepszy sposób n przywracanie kopii zapasowej witryny
Wiadomo, że najlepszą opcją na przywracanie kopii zapasowych jest przywrócenie bazy danych i plików z poziomu hostingu. Niektóre hostingi pozwalają zrobić swoją kopię oprócz tego co robi hosting, więc wtedy mamy pewność, że WordPress będzie przywrócony do stanu, którego aktualnie potrzebujemy. Myślę, że jest jeszcze kilka wtyczek, które mógłbym wymienić jako te, na które należy uważać, bo np. zagrażają naszej wydajności, natomiast nie chcę wchodzić w techniczne szczegóły. Mogą to być wtyczki np. do social mediów, które ładują kolejne skrypty.
Często wtyczki, które służą do optymalizacji obrazów, które mamy już wbudowane w WordPressie, mogą powodować to, że nasz WordPress działa wolniej, ale też nie każda wtyczka, która optymalizuje obrazy, więc daje ci to po prostu jako anegdotkę do dalszego eksplorowania tematu. I też na koniec jeszcze jedna podpowiedź jeśli chcesz zobaczyć jak działają poszczególne wtyczki, jeśli chodzi o wydajność, ile wysyłają zapytań do bazy danych to możesz użyć wtyczki Query Monitor, która pokazuje jak dana wtyczka wpływa na wydajność strony.
Dzisiaj to wszystko. Słyszymy się w kolejnym odcinku. Mam nadzieję, że widzimy się również na YouTube. Do miłego usłyszenia. Hejka!
