如何知道wordpress插件是否安全

Question

有成千上万的插件，和主题，可以在wordpress.org和其他许多第三方获得。有各种可能的坏插件和主题被上传，一旦上传可以发送有关网站的信息给它的所有者。它还可以在wp-config.php (高安全风险)中发送信息。

请告诉我如何保护wordpress网站不受此影响，而不是逐行阅读代码。还请告诉我，wordpress.org的插件和主题是否由wordpress开发人员对威胁进行了分析，然后再将提供给公众。

谢谢。

祝所有人平安..。

Answer 1

有一篇很好的文章是关于最好的wordpress插件组合的主题的安全性和安全性的。另外，你也可以从wordpress插件网站上直接得到社区的评级。如果你继续使用具有4-5星级评级和大量下载/评级的插件，你很可能会没事。但是，因为这是一个开源项目，所以没有一种100%的方法可以防止黑客和“坏人”将代码放入您正在描述的好主题/插件中。

在这种情况下，如果您关心的是一个主题或插件，我将始终仔细查看代码，并确保这一切看起来都很好。当然，这总是很费时的，如果您对代码不满意，这可能不是一种选择。如果你对某一组插件/主题有疑问，我相信如果你在这里发布它们，会有很多人使用过这个插件，也许之前的主题可以帮你解决问题。

来自“Wordpress最佳插件”

1个主题真实性检查插件 一个非常简单和直截了当的插件，将扫描所有文件在您的主题到>>check的任何恶意或不必要的代码。 2个主题-检查插件 您可能会注意到，许多免费主题都不是直接从WordPress.org获得的，>>the的主要原因是大多数免费主题没有通过WordPress.org对它们进行的测试。这个漂亮的插件将为您提供您需要的所有测试工具，以执行与WordPress.org相同的测试。对于那些希望确保他们的主题支持最新标准的主题开发人员来说，它也很有用。 3个开发扫描仪插件 这个插件不仅适用于主题，也适用于你的整个网站，所以一旦你决定在你的网站上使用的主题，它是值得保留的。它扫描您的网站上的所有文件，帖子和评论，任何可能的漏洞或任何看起来可疑的东西，但请注意，这个插件不会删除任何文件。

Answer 2

与在您自己的服务器上运行的任何代码一样，WordPress插件也是警告读取器。

尽管如此，流行的插件可能对他们的代码有相当多的关注，这使得他们不太可能做一些不可信的事情。在安装它们之前，你可能不需要用细齿梳子检查它们。

然而，在您将其安装在您所关心的站点/服务器上之前，应该先检查一下鲜为人知的/使用过的插件。

WordPress.org并不会检查插件中的每一段代码--他们甚至只会在插件最初提交到插件目录时进行任何检查，这充其量是粗略的(主要是为了避免垃圾邮件)。插件的代码在最初提交后可能会发生巨大的变化。

Answer 3

通常情况下，我会看看插件在wordpress.org上收到的反馈，它有什么样的评级？在“别人在说什么”一节中会提出什么评论/问题。

在决定安装插件之后，会在实际安装之前备份数据。

无论是wordpress核心安装、插件安装还是主题安装，这都是很好的实践。如果有什么东西坏了，你就有东西要回去了。

此外，必须确保保持频繁的备份。如果您确实感染了，您将需要一个快照。