WordPress propone un verificador de complementos para seguridad y rendimiento


WordPress anunció una propuesta para adoptar un enfoque más proactivo hacia los complementos de terceros para mejorar la seguridad y el rendimiento del sitio.

Lo que se está discutiendo es un verificador de complementos que se asegurará de que los complementos sigan las mejores prácticas.

Los complementos de terceros son una fuente importante de vulnerabilidades de seguridad y cuellos de botella en el rendimiento del sitio web. La propuesta describe tres formas de tocar un verificador de complementos y solicita comentarios sobre la idea.

La propuesta de WordPress definió el problema:

“Si bien hay menos requisitos de infraestructura para los complementos que para los temas, ciertamente hay algunos requisitos que vale la pena verificar y, en cualquier caso, verificar las mejores prácticas de seguridad y rendimiento en los complementos sería tan esencial como lo es en los temas.

Sin embargo, a partir de hoy, no existe un verificador de complementos correspondiente”.

Vulnerabilidades de WordPress y bajo rendimiento

La plataforma de publicación de WordPress se ha ganado la reputación de ser vulnerable a los piratas informáticos y de ser lenta.

Por lo tanto, puede impresionar saber que el núcleo de WordPress en sí mismo es una plataforma altamente segura.

La mayoría de las vulnerabilidades que afectan a la plataforma de WordPress se deben a complementos de terceros.

Aunque WordPress en sí mismo es razonablemente seguro, los complementos de terceros han hecho que WordPress se convierta virtualmente en sinónimo de sitios pirateados.

También hay un problema similar con respecto al rendimiento del sitio de WordPress. Un equipo de rendimiento de WordPress trabaja activamente para mejorar el rendimiento del propio núcleo de WordPress.

Pero ese esfuerzo puede verse socavado por complementos de terceros que cargan JavaScript y CSS en páginas donde no son necesarios o no cargan imágenes de forma diferida, lo que termina ralentizando el rendimiento del sitio web.

Comprobador de complementos

WordPress ya produce un verificador de temas que permite a los desarrolladores de temas verificar su trabajo en busca de mejores prácticas y seguridad. El mismo verificador de temas también se usa en el repositorio oficial de temas de WordPress.

Así que ahora quieren explorar haciendo lo mismo con los complementos.

Así se definió el objetivo del comprobador de complementos propuesto:

“Debe haber una herramienta de verificación de complementos de WordPress que analice un complemento de WordPress determinado y marque cualquier violación de las mejores prácticas de desarrollo de complementos con errores o advertencias, con un enfoque especial en la seguridad y el rendimiento”.

La propuesta enumera tres posibles enfoques:

  • A. Análisis estático
    Así se comprueban los temas pero hay limitaciones, como no poder ejecutar el código.
  • B. Análisis del lado del servidor
    Este método permite que se ejecute el código del complemento, además de que también se podría realizar un análisis estático.
  • C. Análisis del lado del cliente
    Esto carga un navegador sin cabeza (esencialmente, un bot que emula un navegador) y luego prueba el complemento en busca de problemas que no necesariamente se pueden detectar con una solución del lado del servidor. El documento señala algunos desafíos a este enfoque, pero también enumera formas de evitarlos.

La propuesta presenta un gráfico con columnas para los enfoques A, B y C y filas que corresponden a las calificaciones asignadas a cada enfoque por cuestiones de seguridad y rendimiento.

La evaluación encuentra que el análisis del lado del servidor puede ser el enfoque óptimo.

Mejores prácticas para complementos

El equipo de rendimiento de WordPress no se compromete a crear un verificador de complementos, esto es solo una propuesta. Este es solo el punto de partida.

Sin embargo, verificar las mejores prácticas de seguridad y rendimiento de los complementos de terceros es una buena idea porque beneficiará a los usuarios de WordPress y a los visitantes del sitio.


Citas

Resumen de la reunión del equipo de rendimiento con enlace a la propuesta

Resumen de la reunión del equipo de rendimiento de WordPress

Lea la propuesta del verificador de complementos

Propuesta: Comprobador de complementos de WordPress (Documentos de Google)

Imagen destacada: Sr. Exen/Shutterstock





Consultar el artículo en la publicación original

WordPress propone un verificador de complementos para seguridad y rendimiento
A %d blogueros les gusta esto: