¿Es seguro este complemento de WordPress?15 señales de advertencia para omitir la descarga

Incluso los sitios más pequeños y simples de WordPress necesitan complementos. Akismet es una necesidad si el sitio tiene un blog. Un complemento de seguridad como el defensor no es negociable. Y se necesita un formulario de contacto sólido si tiene la intención de recopilar clientes potenciales. En su mayor parte, sabemos que estos complementos de WordPress comúnmente utilizados y referidos son seguros. Vienen con millones de descargas, altas evaluaciones y desarrolladores de arados que han trabajado duro para construir una reputación positiva en la comunidad creando complementos sin errores y brindando asistencia superior.
¿Pero qué hay de algo más? ¿Cómo saber si ese complemento de WordPress aparentemente popular (que realmente haría maravillas para su sitio) seguramente usará? Con los complementos, desafortunadamente, siendo responsables de un gran porcentaje de violaciones de seguridad (Wordfency ha puesto este número en el 55.9%), es un poco aterrador creer que cualquier decisión que tome para usar una apuesta es peligrosa. Lo que me gustaría hacer ahora es hablar sobre cómo puede decir si un complemento de WordPress es seguro. Específicamente, compartiré las 15 señales de advertencia a las que debe prestar atención, lo que anunciará cuándo es mejor omitir una.
15 Signos de advertencia de que un complemento de WordPress es incierto que siempre lamento tener esta opinión sobre los complementos de WordPress porque son realmente geniales.Cuando están bien codificados y manejados correctamente, pueden hacer cosas maravillosas dentro de WordPress.Pero desafortunadamente, no siempre es el caso.A veces recibe un complemento creado por un desarrollador principiante que solo espera ganar algo de dinero, pero no dedicó el momento adecuado para codificarlo.También hay momentos en que se encuentra con un complemento que está bien codificado, pero una línea de código callejero entra en conflicto con otro complemento y desgarra todo su sitio en un momento.Y, por supuesto, siempre existe el riesgo de un hacker o un desarrollador falso de WordPress para tener sus manos sobre él.
Entonces, esto significa que debes estar muy atento a los que dejas adentro, incluso si las intenciones del desarrollador original han sido buenas. Para ser diligente, debe saber cómo descubrir las señales de advertencia de un mal complemento de WordPress. En primer lugar, comience a usar un sistema de verificación para asegurarse de que el complemento sea el adecuado para su sitio. Puede comenzar a cavar más profundo para ver si puede ver alguna de las señales de advertencia. 1. El almacén de complementos parece extraño para comenzar con donde está buscando estos complementos de WordPress. Por ejemplo, suponga que está interesado en encontrar un complemento que agrega una característica que no sea demasiado común. Haga una búsqueda en Google de la función (como el “complemento de revelación de sexo”) y los resultados principales indican una serie de sitios web independientes de desarrolladores de WordPress que afirman vender un complemento que hace exactamente. Se debe llamar a la advertencia en su cabeza, en este caso . Aunque no significa que la fuente del complemento no pueda ser confiable si llega al sitio y parece haberse construido a principios de 1900 y no hay forma de contactar al desarrollador solo a través de una dirección de correo electrónico en AOL. … Bueno, esta es una gran bandera roja. En general, siempre busque complementos de WordPress que provienen de fuentes de renombre. Empezar con:
Almacén de complementos de WordPress
Mercados de complementos como Codecanyon
Sitios de desarrolladores de complementos de WordPress como WPMU Dev
Si comienza desde allí, reducirá en gran medida las posibilidades de conocer a una manzana fea en sus viajes.

2. Una reputación del desarrollador manchado entonces, mire la reputación del desarrollador de complementos. No tiene que saber quién es la persona, dónde vive, cuál es su entrenamiento o algo (a menos que tenga curiosidad). Lo que está buscando aquí son señales rojas que le notifican que algo está mal. Estas son algunas de las señales de advertencia: soy un nuevo propietario del complemento y no tienen antecedentes como desarrollador, lo que podría significar que han comprado un complemento algo popular para usarlo como vehículo para inyectar el código malo en los sitios web. .
Una búsqueda en Google de su nombre no da ningún resultado. Ni siquiera su propio sitio de WordPress.
O bien, la búsqueda de nombre de Google da resultados, pero ves cosas como “No confíes en el desarrollador]” o “[Nombre del desarrollador] es un fraude”.
Al hacer clic en sus nombres en el mercado de WordPress Warehouse o Codecanyon, un sitio web está muy desactualizado y plantea señales rojas.
Lo hermoso de Codecanyon Square es que ofrece estados y premios para los arados basados ​​en ventas, logros y evaluaciones. Entonces, si realmente está preocupado por quién es la persona o equipo detrás del complemento, puede buscar validación allí.
3. El complemento se considera incierto, por supuesto, también debe observar la reputación del complemento de WordPress. Como dije antes, a veces el desarrollador no quería ingresar un código malo en el complemento o simplemente eran demasiado nuevos para saber mejor. Entonces, incluso si tienen una imagen espeluznante, el complemento puede no serlo. Hay una serie de elementos que puede verificar y que lo ayudarán a verificar la seguridad de un complemento de WordPress, pero para esto, quiero centrarme en menciones explícitas de que un complemento no es seguro para su uso. Esto significa ir a Google y buscar palabras como “incierto”, “pirateado” y “comprometido” junto con el nombre del complemento. Si nota los resultados que demuestran problemas de seguridad, deje 4. El código parece sospechoso que este puede no ser el más fácil de verificar, porque no todos saben cómo escribir código para un complemento. Sin embargo, si está lo suficientemente familiarizado como se ve la estructura del archivo y las directivas, al menos puede verificar para asegurarse de que todos los elementos esenciales estén en su lugar. Puede usar la Guía del códice de WordPress para escribir un complemento para hacer esto. Elimine el código requerido del archivo y concéntrese solo en lo que queda. Si algo parece sospechoso, sal de allí y encuentre un nuevo complemento. 5. Descargas insuficientes en WordPress, podrá ver el número de instalaciones activas:

Esto es genial porque no ves cuántas personas han descargado y luego eliminaron el complemento. Es la cantidad de sitios web que lo han instalado actualmente, que es un buen indicador de confianza. Los mercados de complementos incluyen cifras como las ventas totales, que son buenas, aunque tendrá que confiar en otros datos para confirmar que realmente significan algo: generalmente sugeriría evitar complementos de WordPress con menos de 1,000 descargas. De hecho, debe querer un número mayor que eso (probablemente más de 5,000), pero a veces esto no es posible si es una nueva característica que aún no ha atrapado o un complemento que administra algo que generalmente no se usa.
6. Incompatible con la última versión de WordPress cuando descubre complementos de WordPress en el almacén, hay dos estadísticas que querrá analizar en términos de versión de WordPress:
“Requiere la versión de WordPress” le informará hasta qué punto su versión de WordPress puede llegar a funcionar correctamente con el complemento. Dicho esto, nunca debe dejar que su sitio se ejecute en una vieja versión de WordPress. “Probado para” es el otro campo que tienes que mirar aquí. Le dirá si es compatible con la última y mejor actualización básica. Si no es así, pero la última actualización de WordPress se ha lanzado recientemente en los últimos dos días, dale algunos más. Si el complemento no se ha actualizado a la última versión hasta entonces, omitirlo.

Y, si ve este mensaje, ejecute:

7. No se actualiza recientemente o con frecuencia no es suficiente que se haya actualizado recientemente un complemento de WordPress.También debe actualizarse con frecuencia. Tanto en los mercados de WordPress como en los complementos, puede averiguar cuánto tiempo ha pasado desde la última actualización.No se debe usar más de tres meses de edad.Dicho esto, hay algunos complementos que son de naturaleza muy simplistas y es posible que no necesite muchos cambios con cada nuevo lanzamiento básico.Entonces, tres meses es ideal, pero un año debería ser el punto de ruptura.
8. Las evaluaciones no son grandes evaluaciones y las revisiones son realmente importantes en este día y época.Piense en sitios web como Yelp o TripAdvisor que pueden detenerlo instantáneamente en un restaurante, simplemente mostrándole algo menos que una evaluación de cuatro estrellas.Lo mismo sucede con los complementos de WordPress y con razón:

No puede decirme que esta evaluación abisal del complemento no hace que desee presionar el botón hacia atrás. A pesar de que las evaluaciones débiles provienen de un período en que el complemento era nuevo y aún en progreso, esta no es una muy buena reflexión sobre el desarrollador o instrumento. Sin embargo, suponga que ve evaluaciones débiles, pero simplemente no cree que sean una señal de advertencia válida, porque ha escuchado a muchas personas hablar sobre complementos. Luego debe recurrir a las revisiones dejadas por personas con evaluaciones. Lo que está buscando aquí, en particular, son los datos a los que se quedaron las malas evaluaciones (así como lo que se ha dicho). Si descubre que todas las evaluaciones malas han tenido lugar antes de 2015 y parece que todos están realmente impresionados por la última iteración, es posible que valga la pena instalar el complemento. También puede ser que el desarrollador haya encontrado muchas personas para plantar críticas positivas. Así que asegúrese de muchas entradas que dicen solo “buena” o “gran complemento”. La comunidad de WordPress suele ser más descriptiva en sus comentarios. Otra cosa a considerar aquí es cómo responde el propietario del complemento a las revisiones negativas. WordPress es lento para eliminar los comentarios negativos, porque creo que “la forma en que reacciona ante esas experiencias débiles [comentarios] afectará su reputación y su complemento, con mucho más que esa revisión”. Por lo tanto, es importante verificar no solo lo que dice un revisor, sino también la respuesta de los autores. ¿Ofrecieron investigar y remediar un problema marginal? ¿Estaban dispuestos/pudieron ofrecer un parche?
¿Fue la mala evaluación el resultado del uso incorrecto, un error de usuario o un conflicto fuera del control de los autores? Por supuesto, si ve revisiones o comentarios que mencionan problemas de seguridad, vaya. Esto no es negociable. 9. El soporte no es existente, incluso si usted es un desarrollador de WordPress y sabe cómo solucionar problemas en el CMS, no debe darse cuenta de lo que su complemento no se resuelve, no funciona de acuerdo con la promesa o ha causado la pantalla blanca de la muerte. . Cuando la seguridad es una preocupación principal, debe existir apoyo. Por lo tanto, es muy bueno que tengamos esta información fácilmente disponible para leerla en WordPress. Hay tres cosas que buscaría con esto: mire la tasa de porcentaje que realmente respondo a las solicitudes de asistencia.

Lea algunas de las respuestas del desarrollador para asegurarse de que sean realmente útiles.

Escanee los datos de respuesta. Si el desarrollador no ha proporcionado ninguna respuesta de asistencia (o incluso las respuestas de comentarios) en los últimos tres meses, esta no es una buena señal.

Si el apoyo te importa, no dejes que pase desapercibido. 10. No hay documentación para algunos complementos de WordPress, es posible que no tenga sentido escribir mucha documentación sobre cómo instalarlos o configurarlos. Es posible que las capturas de pantalla no sean necesarias incluso si es un tipo de complemento establecer y fuerza (como Akismet). Sin embargo, para los complementos que requieren algo de trabajo para ponerlos en movimiento o abordar una característica o característica extremadamente técnica, debe haber al menos capturas de pantalla, así como documentación si tiene preguntas al respecto. Si no está disponible, verifique si no está oculto en algún lugar del sitio. Y si todavía no tiene pérdida, no lo descargue. Es lo mismo que no recibir apoyo del desarrollador. 10. Es demasiado alto que el rendimiento es increíblemente importante en WordPress, por lo que debe tomar decisiones conscientes sobre lo que pone en él, lo que podría afectar negativamente su velocidad y, en consecuencia, la seguridad. Los complementos lentos de WordPress son un problema, pero a veces es solo por cuán hinchados están en tamaño. Al tratar con complementos gratuitos de WordPress, le aconsejo que los descargue en el escritorio (en lugar de directamente en WordPress). Eche un vistazo al tamaño del archivo. ¿Puede su servidor mantener esto razonablemente con todo lo que ya está allí?

Si no, busca algo más. 11. No juegues bien con otros conflictos con los complementos de WordPress que pueden ocurrir por varias razones. A veces están en conflicto con otros complementos y a veces es un tema de WordPress en el que simplemente no juegan bien. Nuevamente, investigue antes de instalar el complemento en su sitio. Vea si los comentarios de los usuarios dicen algo sobre los conflictos conocidos de WordPress. Google debería poder decirte lo mismo. Si se siente lo suficientemente seguro de que el complemento no afecte su sitio, todavía le recomiendo instalarlo en una suscripción de prueba. Solo para estar seguros. Tener que ver con la parte posterior en línea de su sitio o reparar una función defectuosa en el sitio, simplemente no merezca su tiempo. Si puede verificar la seguridad del complemento de esta manera. 12. El sitio web de WPSCAN dice que es un problema de la base de datos de vulnerabilidad de WPSCAN mantiene una revista de todas las vulnerabilidades conocidas (datos apropiados).
Puede usar la función de búsqueda para localizar el complemento específico que le interesa usar en su sitio. Esto eliminará instantáneamente cualquier hecho incorrecto. También le recomendaría que se registre para alertas por correo electrónico. De esta manera, si este (o cualquiera de los otros complementos) aparece en la lista de vulnerabilidades, no tendrá que buscar activamente la información. 13. Su host web dice que está prohibido que sabe que las empresas de alojamiento web a veces mantendrán una lista de complementos prohibidos o prohibidos. Por lo general, tienen que lidiar con complementos que se superponen con la funcionalidad que ofrecen a los usuarios (como complementos de caché), pero no siempre es el caso. A veces prohibirán permanentemente un complemento con problemas de seguridad conocidos. Aquí hay algunos ejemplos de listas de complementos no perpetradas: volante
Vamos papá
Kinsta
Singularmente
WPEGINE
14. Su blog favorito dice que no son buenos, con él, no tiene que ser que su blog favorito de seguridad de WordPress dice que el complemento de WordPress es incierto o no bueno. Si el blog nunca los menciona como un complemento seguro o confiable, ¿por qué molestarlo para usarlo? Tiene suficiente confianza en estos tipos para leer sus artículos regularmente, por lo que debe confiar en que lo guiarán en la dirección correcta. 15. Su herramienta de verificación indica que hay problemas

Finalmente, mire lo que dice su herramienta de verificación (si no usa el chequeo de WP … ¿qué está pasando?) Sí, esto requerirá que realmente instale el complemento con todo su sitio, esto le informará si sucede algo sospechoso. Recuerde ejecutar el verificador antes de la instalación para que tenga una línea básica para comparar. Si el instrumento envía nuevas advertencias de seguridad después de la instalación, sabe qué causó el problema. Elimine inmediatamente el complemento y todos sus archivos. Y nunca mires hacia atrás. Termine un complemento de WordPress se puede alterar de muchas maneras diferentes, por lo que debe enviar su diligencia antes de confiar cualquiera de ellos a su sitio. Luego debe continuar revisándolos para asegurarse de que no salgan de los rieles mientras no buscan. Si nota alguna de estas 15 señales de advertencia, omita la descarga del nuevo enchufe.
Etiquetas:
complementos
WordPress
Complementos de WordPress