WordPress kündigte einen Vorschlag an, einen proaktiveren Ansatz für Plugins von Drittanbietern zu verfolgen, um die Sicherheit und Leistung der Website zu verbessern.
Was diskutiert wird, ist ein Plugin-Checker, der sicherstellt, dass Plugins Best Practices folgen.
Plugins von Drittanbietern sind eine Hauptquelle für Sicherheitslücken und Engpässe bei der Website-Leistung. Der Vorschlag skizziert drei Möglichkeiten, einen Plugin-Checker anzugehen, und bittet um Feedback zu der Idee.
Der WordPress-Vorschlag definierte das Problem:
„Obwohl es weniger Infrastrukturanforderungen für Plugins als für Themes gibt, gibt es sicherlich einige Anforderungen, die es wert sind, überprüft zu werden, und in jedem Fall wäre die Überprüfung der Best Practices für Sicherheit und Leistung in Plugins genauso wichtig wie in Themes.
Bis heute gibt es jedoch keinen entsprechenden Plugin-Checker.“
Table of Contents
WordPress-Schwachstellen und schlechte Leistung
Die WordPress-Veröffentlichungsplattform hat den Ruf, anfällig für Hacker zu sein und langsam zu sein.
Daher mag es überraschen zu erfahren, dass der WordPress-Kern selbst eine hochsichere Plattform ist.
Die Mehrheit der Schwachstellen, die die WordPress-Plattform betreffen, sind auf Plugins von Drittanbietern zurückzuführen.
Obwohl WordPress selbst einigermaßen sicher ist, haben Plugins von Drittanbietern dazu geführt, dass WordPress praktisch zum Synonym für gehackte Websites geworden ist.
Es gibt ein ähnliches Problem auch in Bezug auf die Leistung der WordPress-Site. Ein WordPress Performance Team arbeitet aktiv daran, die Leistung des WordPress-Kerns selbst zu verbessern.
Diese Bemühungen können jedoch durch Plugins von Drittanbietern untergraben werden, die JavaScript und CSS auf Seiten laden, auf denen sie nicht erforderlich sind, oder keine Bilder faul laden, was letztendlich die Leistung der Website verlangsamt.
Plugin-Checker
WordPress produziert bereits einen Theme-Checker, mit dem Theme-Entwickler ihre Arbeit auf Best Practices und Sicherheit überprüfen können. Derselbe Theme-Checker wird auch im offiziellen WordPress-Theme-Repository verwendet.
Jetzt wollen sie also das Gleiche für Plugins tun.
So wurde das Ziel des vorgeschlagenen Plugin-Checkers definiert:
„Es sollte ein WordPress-Plugin-Checker-Tool geben, das ein bestimmtes WordPress-Plugin analysiert und alle Verstöße gegen die Best Practices der Plugin-Entwicklung mit Fehlern oder Warnungen kennzeichnet, mit besonderem Fokus auf Sicherheit und Leistung.“
Der Vorschlag listet drei mögliche Ansätze auf:
- A. Statische Analyse
Auf diese Weise werden Designs überprüft, es gibt jedoch Einschränkungen, z. B. dass der Code nicht ausgeführt werden kann. - B. Serverseitige Analyse
Diese Methode ermöglicht die Ausführung des Plugin-Codes und es könnte auch eine statische Analyse durchgeführt werden. - C. Clientseitige Analyse
Dadurch wird ein Headless-Browser (im Wesentlichen ein Bot, der einen Browser emuliert) geladen und das Plugin dann auf Probleme getestet, die nicht unbedingt mit einer serverseitigen Lösung erkannt werden können. Das Dokument weist auf einige Herausforderungen für diesen Ansatz hin, listet aber auch Möglichkeiten auf, sie zu umgehen.
Der Vorschlag enthält ein Diagramm mit Spalten für die Ansätze A, B und C und Zeilen, die den Bewertungen entsprechen, die jedem Ansatz für Sicherheits- und Leistungsprobleme zugewiesen wurden.
Die Auswertung zeigt, dass die serverseitige Analyse möglicherweise der optimale Ansatz ist.
Best Practices für Plugins
Das WordPress-Performance-Team ist nicht verpflichtet, einen Plugin-Checker zu erstellen, dies ist nur ein Vorschlag. Dies ist nur der Ausgangspunkt.
Dennoch ist es eine gute Idee, Plugins von Drittanbietern auf Best Practices für Sicherheit und Leistung zu überprüfen, da WordPress-Benutzer und Website-Besucher davon profitieren.
Zitate
Zusammenfassung des Performance-Team-Meetings mit Link zum Vorschlag
Zusammenfassung des WordPress-Performance-Team-Meetings
Lesen Sie den Plugin-Checker-Vorschlag
Vorschlag: WordPress-Plugin-Checker (Google Dokumente)
Beitragsbild: Mr.Exen/Shutterstock
