WordPress关于提高插件安全性和性能的建议

WordPress宣布了一项提案，将对第三方插件采取更积极的检查方法，以提高安全性和网站性能。目前正在讨论的是一个插件检查器，它将确保插件遵循最佳实践。毕竟第三方插件是安全漏洞和网站性能瓶颈的一个主要来源。该提案概述了解决插件检查器的三种方法，并征求对该想法的反馈意见。

WordPress的提案定义了这个问题：

"虽然对插件的基础设施要求比对主题的要求少，但肯定有一些要求是值得核实的，而且在任何情况下，在插件中检查安全和性能的最佳实践，将和在主题中一样重要。然而到今天为止，还没有相应的插件检查器。"

WordPress的漏洞和糟糕的性能

之前WordPress发布平台已经收到了易受黑客攻击和缓慢的声誉。因此，当得知WordPress核心本身是一个高度安全的平台时，可能会感到惊讶。

但是影响WordPress平台的大多数漏洞都是由第三方插件造成的。尽管WordPress本身是相当安全的，但第三方插件已经使WordPress病毒性地成为黑客网站的代名词。

在WordPress网站性能方面也有一个类似的问题。一个WordPress性能团队积极致力于改善WordPress核心本身的性能。但是这种努力可能会被第三方插件所破坏，这些插件在不需要JavaScript和CSS的页面上加载JavaScript和CSS，或者不懒加载图片，这最终会降低网站性能。

插件检查器

WordPress已经产生了一个主题检查器，允许主题开发者检查他们的工作是否符合最佳实践和安全。同样的主题检查器也用在官方的WordPress主题库上。

因此，现在他们想探索为插件做同样的事情。拟议的插件检查器的目标是这样定义的：

"应该有一个WordPress插件检查工具，分析一个给定的WordPress插件，并以错误或警告的方式标记任何违反插件开发最佳实践的行为，特别是关注安全和性能。"

该提案列出了三种可能的方法：

• A. 静态分析
  • 这是检查主题的方式，但也有局限性，比如不能运行代码。
• B. 服务器端分析
  • 这种方法允许插件代码运行，加上静态分析也可以完成。
• C. 客户端分析
  • 这将加载一个无头浏览器（本质上是一个模拟浏览器的机器人），然后测试插件的问题，这些问题不一定能通过服务器端的解决方案检测出来。该文件指出了这种方法的一些挑战，但也列出了解决这些问题的方法。

该提案有一个图表，其中一栏是方法A、B和C，另一栏是对每种方法的安全和性能问题的评分。评估发现，服务器端分析可能是最佳方法。

对插件的最佳做法

WordPress性能团队并不致力于创建一个插件检查器，这只是一个提议。这只是一个起点。尽管如此，检查第三方插件的安全和性能最佳做法是一个好主意，因为它将有利于WordPress用户和网站访问者。