Incluso los sitios de WordPress más pequeños y simples necesitan complementos. Akismet es imprescindible si el sitio tiene un blog. Un complemento de seguridad como Defender no es negociable. Y un formulario de contacto sólido es necesario si tiene la intención de recopilar clientes potenciales.
En su mayor parte, sin embargo, sabemos que estos plugins de WordPress comúnmente utilizados y referenciados son confiables. Vienen con millones de descargas, calificaciones altas y desarrolladores de complementos que han trabajado arduamente para construir una reputación positiva en la comunidad creando complementos sin errores y brindando soporte de primer nivel.
Pero ¿qué pasa con todo lo demás? ¿Cómo sabes si esto Plugin de WordPress aparentemente popular (lo que realmente haría maravillas en su sitio) es confiable? Con los complementos, desafortunadamente, responsables de un alto porcentaje de violaciones de seguridad (Wordfence puso ese número en 55,9%), da miedo pensar que cualquier decisión que tome para usar uno es una apuesta peligrosa.
Lo que me gustaría hacer ahora es hablar sobre cómo se puede saber si un Plugin de WordPress está sobre. Específicamente, voy a compartir 15 señales de advertencia que debe tener en cuenta y que le permitirán saber cuándo es mejor no descargar una.
6 señales de advertencia de que un complemento de WordPress no es confiable
Todavía me siento mal por poner esa reseña en el plugins de WordPress porque, de verdad, son geniales. Cuando están bien codificados y administrados adecuadamente, pueden hacer cosas maravillosas dentro de WordPress. Pero, por desgracia, esto no siempre es así.
A veces, obtienes un complemento que fue creado por un desarrollador novato con la esperanza de ganar dinero, pero que no dedicó el tiempo para codificarlo y mantenerlo. También hay ocasiones en las que te encuentras con un complemento que es bien codificado, pero una línea incorrecta de código entra en conflicto con otro complemento y rompe todo su sitio en un instante. Y, por supuesto, siempre existe el riesgo de que un pirata informático o un desarrollador falso de WordPress lo ponga en sus manos.
Eso significa que debes estar muy atento a a quién dejas entrar, incluso si las intenciones del desarrollador original eran buenas.
Para ser diligente, es necesario saber detectar las señales de advertencia de una mala Plugin de WordPress. Comience utilizando un sistema de verificación para asegurarse de que el complemento sea el adecuado para su sitio. Luego puede comenzar a investigar más profundamente para ver si puede detectar alguna de las señales de advertencia.
1. El repositorio de complementos parece extraño
Comencemos por dónde los cazas. plugins de WordPress. Por ejemplo, supongamos que está interesado en encontrar un complemento que agregue una función que no sea demasiado mundana. Haces una búsqueda en Google de la función y los mejores resultados te dirigen a varios sitios independientes de desarrolladores de WordPress que afirman vender un complemento que hace precisamente eso.
Entonces, deberían sonar algunas campanas de advertencia en tu cabeza. Aunque esto no significa que no se pueda confiar en la fuente del complemento si visita el sitio y parece que fue construido a principios de la década de 00 y no hay forma de contactar al desarrollador excepto a través de una dirección de correo electrónico de AOL ... bueno, eso es una gran bandera roja.
En general, siempre busque complementos de WordPress que provengan de fuentes confiables. Empezar con:
- El repositorio de complementos de WordPress
- Mercados de complementos como CodeCanyon
- Sitios de desarrolladores de plugins de WordPress como WPMU Dev
Si comienza allí, reducirá en gran medida las posibilidades de caer sobre una manzana podrida durante sus viajes.
2. Una reputación como desarrollador empañado
A continuación, observe la reputación del desarrollador del complemento. No es necesario que sepa quién es la persona, dónde vive, cuál es su educación o cualquier otra cosa (a menos que sienta curiosidad). Lo que está buscando aquí son banderas rojas que le dicen que algo anda mal.
Estas son algunas de las señales de advertencia:
- Son un nuevo propietario del complemento y no tienen experiencia como desarrollador, lo que podría significar que han comprado un complemento lo suficientemente popular como para usarlo como vehículo para inyectar código malicioso en sitios web.
- Una búsqueda en Google de su nombre no arroja resultados. Ni siquiera su propio sitio de WordPress.
- O bien, una búsqueda en Google de su nombre arroja resultados, pero ves cosas como "No crea que [nombre del desarrollador]" o "[nombre del desarrollador] es un fraude. "
- Al hacer clic en su nombre en el repositorio de WordPress o en CodeCanyon Marketplace, aparece un sitio web que está seriamente obsoleto y genera sus propias banderas rojas.
Lo bueno de CodeCanyon Marketplace es que proporciona estatus y recompensas a los autores de complementos en función de las ventas, los logros y las reseñas. Entonces, si está realmente preocupado por quién es la persona o el equipo detrás del complemento, puede explorar el perfil del autor.
3. El complemento se considera peligroso.
Por supuesto, también debe investigar la reputación del propio complemento de WordPress. Como dije antes, a veces el desarrollador ni siquiera quería introducir un código incorrecto en el complemento o simplemente era demasiado nuevo para aprender más. Entonces, incluso si tienen una imagen chirriante, es posible que el complemento no lo sea.
Hay una serie de cosas que puede verificar que lo ayudarán a verificar la seguridad de un complemento de WordPress, pero para esta, quiero centrarme en las menciones explícitas de que un complemento no es confiable. un uso. Esto significa ir a Google y buscar palabras como "peligroso", "pirateado" y "comprometido" junto con el nombre del complemento. Si ve resultados que demuestran problemas de seguridad, aléjese.
4. El código parece sospechoso
Es posible que este no sea el más fácil de verificar, ya que no todos saben cómo escribir código para un complemento. Sin embargo, si está lo suficientemente familiarizado con la estructura y las pautas del archivo, al menos puede verificar que todos los elementos esenciales estén en su lugar.
Puede usar la Guía de WordPress de Codex para escribir un complemento para hacer esto. Elimine el código requerido del archivo y concéntrese en lo que queda. Si algo le parece sospechoso, salga y busque un nuevo complemento.
5. No hay suficientes descargas
En WordPress, podrá ver el número de instalaciones activas:
Esto es genial porque no solo ves la cantidad de personas que han descargado y eliminado el complemento. Este es el número de sitios web instalados actualmente, que es un buen indicador de confiabilidad.
Los mercados de complementos incluyen números como las ventas totales, que también son buenos, aunque tendría que confiar en otros datos para confirmar que realmente significan algo:
En general, sugiero evitar los complementos de WordPress con menos de 1000 descargas. Realmente debería querer un número más alto que ese (probablemente más de 5000), pero a veces eso no es posible si se trata de una característica nueva que aún no ha funcionado o un complemento que admite algo que no lo hace. no se usa comúnmente. Pero también depende de si el complemento es reciente o no.
6. Incompatible con la última versión de WordPress
Al revisar los complementos de WordPress en el repositorio, hay dos estadísticas que debe tener en cuenta cuando se trata de la versión de WordPress:
El campo "Requiere versión de WordPress" le permitirá saber hasta dónde puede llegar su versión de WordPress para que funcione correctamente con el complemento. Dicho esto, nunca debe permitir que su sitio se ejecute en una versión anterior de WordPress.
"Probado para" es el otro campo a considerar aquí. Esto le dirá si es compatible con la última actualización básica. Si el complemento aún no se ha actualizado a la última versión, ignórelo.
Y, si ve este mensaje, ejecute:
