WordPress 宣布了一项提议,对第三方插件采取更积极主动的方法,以提高安全性和网站性能。
正在讨论的是一个插件检查器,它将确保插件遵循最佳实践。
第三方插件是安全漏洞和网站性能瓶颈的主要来源。该提案概述了解决插件检查器的三种方法,并征求对该想法的反馈。
WordPress 提案定义了问题:
“虽然插件的基础设施要求比主题少,但肯定有一些要求值得验证,无论如何,检查插件中的安全和性能最佳实践与主题一样重要。
然而,截至今天,还没有相应的插件检查器。”
WordPress 漏洞和性能不佳
WordPress 发布平台因容易受到黑客攻击和速度缓慢而享有盛誉。
因此,得知 WordPress 核心本身是一个高度安全的平台可能会令人惊讶。
影响 WordPress 平台的大多数漏洞都是由第三方插件引起的。
尽管 WordPress 本身相当安全,但第三方插件已经导致 WordPress 虚拟地成为被黑网站的代名词。
WordPress 网站性能也存在类似问题。WordPress 性能团队积极致力于提高 WordPress 核心本身的性能。
但是这种努力可能会被第三方插件破坏,这些插件会在不需要或不延迟加载图像的页面上加载 JavaScript 和 CSS,最终降低网站性能。
插件检查器
WordPress 已经产生了一个主题检查器,允许主题开发人员检查他们的工作是否有最佳实践和安全性。官方 WordPress 主题存储库也使用了相同的主题检查器。
所以现在他们想探索为插件做同样的事情。
这就是建议的插件检查器的目标是如何定义的:
“应该有一个 WordPress 插件检查器工具来分析给定的 WordPress 插件,并用错误或警告标记任何违反插件开发最佳实践的行为,并特别关注安全性和性能。”
该提案列出了三种可能的方法:
- A. 静态分析
这是检查主题的方式,但有一些限制,例如无法运行代码。 - B. 服务器端分析
这种方法可以让插件代码运行加上静态分析也可以完成。 - C. 客户端分析
这会加载一个无头浏览器(本质上是一个模拟浏览器的机器人),然后测试插件是否存在服务器端解决方案不一定能检测到的问题。该文件指出了这种方法的一些挑战,但也列出了解决这些问题的方法。
该提案具有一个图表,其中包含方法 A、B 和 C 的列,以及与分配给每种方法的安全性和性能问题的评级相对应的行。
评估发现,服务器端分析可能是最优方法。
插件的最佳实践
WordPress 性能团队并不致力于创建插件检查器,这只是一个建议。这只是起点。
尽管如此,检查第三方插件的安全性和性能最佳实践是一个好主意,因为它将使 WordPress 用户和网站访问者受益。
