WordPress پیشنهادی را برای اتخاذ رویکردی پیشگیرانه تر نسبت به افزونه های شخص ثالث به منظور بهبود امنیت و عملکرد سایت اعلام کرد.
آنچه مورد بحث قرار می گیرد، بررسی افزونه است که مطمئن می شود افزونه ها از بهترین شیوه ها پیروی می کنند.
افزونه های شخص ثالث منبع اصلی آسیب پذیری های امنیتی و گلوگاه های عملکرد وب سایت هستند. این پیشنهاد سه راه برای مقابله با یک بررسی کننده افزونه و درخواست بازخورد در مورد این ایده را بیان می کند.
پیشنهاد وردپرس مشکل را تعریف کرد:
“در حالی که الزامات زیرساختی کمتری برای پلاگین ها نسبت به تم ها وجود دارد، مطمئناً برخی از الزامات وجود دارد که ارزش تأیید را دارند، و در هر صورت، بررسی امنیت و بهترین عملکرد در افزونه ها به همان اندازه ضروری است. همانطور که در تم ها وجود دارد.
اما از امروز، هیچ بررسی کننده افزونه مربوطه وجود ندارد.”
آسیب پذیری وردپرس و عملکرد ضعیف
پلت فرم انتشار وردپرس به دلیل آسیب پذیر بودن در برابر هکرها و کند بودن شهرت دارد.
بنابراین شاید تعجب آور باشد که بدانیم هسته وردپرس خود یک پلتفرم بسیار امن است.
اکثر آسیبپذیریهایی که بر پلتفرم وردپرس تأثیر میگذارند به دلیل پلاگینهای شخص ثالث است.
اگرچه خود وردپرس تا حد قابل قبولی ایمن است، افزونه های شخص ثالث باعث شده اند وردپرس به صورت مجازی با سایت های هک شده مترادف شود.
مشکل مشابهی در مورد عملکرد سایت وردپرس نیز وجود دارد. یک تیم عملکرد وردپرس فعالانه روی بهبود عملکرد هسته وردپرس کار می کند.
اما این تلاشها میتواند توسط افزونههای شخص ثالثی که جاوا اسکریپت و CSS را در صفحاتی که نیازی به آنها نیست بارگیری میکنند یا تصاویر را با تنبلی بارگیری نمیکنند، تضعیف میشود، که در نهایت باعث کاهش سرعت عملکرد وبسایت میشود.
بررسی کننده افزونه
WordPress قبلاً یک بررسی کننده تم تولید کرده است که به توسعه دهندگان تم اجازه می دهد کار خود را برای بهترین شیوه ها و امنیت بررسی کنند. از همان جستجوگر تم در مخزن رسمی قالب وردپرس نیز استفاده میشود.
بنابراین اکنون آنها میخواهند همین کار را برای افزونهها انجام دهند.
هدف جستجوگر افزونه پیشنهادی به این صورت تعریف شد:
“باید یک ابزار بررسی افزونه وردپرس وجود داشته باشد که یک افزونه وردپرس داده شده را تجزیه و تحلیل کند و هرگونه نقض بهترین شیوه های توسعه افزونه را با خطا یا هشدار، با تمرکز ویژه بر امنیت و عملکرد، علامت گذاری کند.”
پیشنهاد سه رویکرد ممکن را فهرست میکند:
- A. تحلیل استاتیک
به این ترتیب تم ها بررسی می شوند اما محدودیت هایی مانند عدم اجرای کد وجود دارد.- B. تحلیل سمت سرور
این روش به کد افزونه اجازه می دهد تا اجرا شود و همچنین می توان آنالیز استاتیک را انجام داد.- C. تحلیل سمت مشتری
این یک مرورگر بدون هد (در اصل رباتی است که یک مرورگر را شبیهسازی میکند) بارگیری میکند و سپس افزونه را برای مشکلاتی که لزوماً نمیتوان با راهحلهای سمت سرور شناسایی کرد، آزمایش میکند. این سند به برخی از چالشها برای این رویکرد اشاره میکند، اما راههای دور زدن آنها را نیز فهرست میکند.این پیشنهاد دارای نموداری با ستونهایی برای رویکردهای A، B، و C و ردیفهایی است که با رتبهبندیهای اختصاص داده شده به هر رویکرد برای مسائل امنیتی و عملکرد مطابقت دارد.
ارزیابی نشان میدهد که تحلیل سمت سرور ممکن است رویکرد بهینه باشد.
بهترین روش ها برای پلاگین ها
تیم عملکرد وردپرس متعهد به ایجاد یک بررسی کننده افزونه نیست، این فقط یک پیشنهاد است. این فقط نقطه شروع است.
با این وجود، بررسی افزونههای شخص ثالث برای امنیت و عملکرد بهترین ایدهای خوب است زیرا به کاربران وردپرس و بازدیدکنندگان سایت سود میرساند.
نقلها
خلاصه جلسه تیم عملکرد با پیوند به پیشنهاد
خلاصه جلسه تیم عملکرد وردپرس
پیشنهاد بررسی پلاگین را بخوانید
پیشنهاد: جستجوگر افزونه وردپرس (Google Dog
تصویر ویژه: Mr.Exen/Shutterstock