如何检测可能给网站带来风险的废弃WordPress插件

每每收拾房屋，您总会发现一大堆不需要或者被你遗弃的各种各样的小东西。

这就是被遗弃的 WordPress 插件的遭遇。

我们安装它们是有原因的，但随着时间的推移，它们被遗忘了。如果不加以控制，被遗弃的插件就会成为安全隐患，使您的网站面临潜在威胁。

让我们来发现并删除它们。

什么是废弃插件？

哦，对了，首先，我们还是需要了解一下废弃插件到底是什么 。

废弃插件是指其开发者不再维护或更新的 WordPress 插件 。如果一个插件超过两年没有更新，WordPress 就会将其视为废弃插件 。

这类插件可能与最新的 WordPress 版本不兼容，从而导致潜在的安全漏洞和功能问题。

为什么废弃插件是个大问题

被遗弃的插件就像 WordPress 网站的定时炸弹。2023 年，97% 的 WordPress 新漏洞源自插件，而 WordPress 内核本身仅占 0.2%。这意味着影响 WordPress 网站的几乎所有安全问题都来自插件和主题，而不是核心软件。

SolidWP 的 WordPress 漏洞报告每日更新任何新的 WordPress 生态系统漏洞。您几乎总能看到针对插件的新漏洞，但很少看到针对 WordPress 内核的新漏洞。

这就是成千上万的企业主所面临的问题：

• 网站停机期间的收入损失。
• 客户数据受损。
• 声誉受损，失去信任。
• 谷歌将其网站列入“潜在危害”黑名单。
• 花费数小时（或数天）收拾残局。

当开发人员放弃他们的插件时，他们就会停止修补安全漏洞–为黑客创造完美的入口。

想想吧：

• 没有安全更新 = 将您的网站暴露在已知漏洞之下。
• 不进行 WordPress 新版本的兼容性测试 = 功能被破坏。
• 没有漏洞修复 = 可能危及网站的意外行为。

现在，Wordfence 的 WAF 在 2023 年上半年就阻止了来自约 14,000 个 IP 的 300 万次针对插件漏洞的攻击。

但假设你很幸运，你所拥有的被遗弃的插件完全可以安全使用。

我们仍然需要处理性能问题。

每一次 WordPress 的更新都会提高速度，减少系统中的冗余，在增加更多功能的同时让整个网站感觉更加迅捷。

但如果被遗弃的插件导致网站瘫痪，这些速度上的改进可能永远不会被注意到，人们很容易认为 WordPress 是罪魁祸首（尽管它从来都不是）。

此外，插件还很有可能与 WordPress 的新版本发生冲突，导致网站崩溃。

不幸的是，当被遗弃的插件出现这种情况时，你就只能靠自己了。没有开发人员回答问题，没有社区支持，没有文档更新。在所有易受攻击的插件中，有 15.7%因为被遗弃而从 WordPress 插件库中完全删除。

这使得网站所有者在不知情的情况下运行着过时、未打补丁的软件，黑客可以利用这些软件。

简而言之 – 尽快远离此类插件。

如何识别被遗弃的插件

现在是时候拿起你比喻的放大镜，开始寻找线索，揭示在 WordPress 仪表板中积满灰尘的插件。

以下是一些有助于识别网站上是否有被遗弃插件的方法。

1. 最后更新日期

最明显的红旗就隐藏在众目睽睽之下。

在 WordPress 仪表板中，转到插件>已安装插件 。

然后单击“查看详情”打开插件详情，您将看到“最后更新”日期。

UpdraftPlus 是一款广受欢迎的插件，更新频率很高。截至本文撰写之时，该插件两周前刚刚更新过，由于开发工作还在进行中，因此保留它是安全的。

但您的网站上可能仍有一个较旧的插件，就像下面这个九年前更新的插件：

任何超过一年未更新的插件都值得您关注，而那些两年未更新的插件则属于 WordPress 官方的“废弃”类别，应尽快从您的网站上删除。

如果有些页面仍在使用该插件的功能（也许它是一个旧的表单插件，而你仍有一些表单），请尽快用更新的插件替换这些功能。

2. 在插件搜索中查看更新日期

假设你正在寻找安装下一个 WordPress 插件。您还想在搜索结果中查看最后更新日期。

让我们以上面的例子中同样被遗弃的插件为例。如果你进入插件>安装新插件 并搜索它，你会看到下面的界面：

请注意，它会在搜索结果中显示最后更新日期，这样您就可以选择是否安装该插件。

如果您不在 WordPress 仪表板上，而是在 WordPress 插件目录中查找插件，您可以点击任何插件，查看右侧信息面板上的版本和“最后更新”日期。

这应该能为您提供足够的信息来决定该插件是否值得考虑。

3. 查看支持工单

假设您看到一个最近更新的插件，但只有几个有效安装。如何确定该插件是否正在开发中？

支持票据可以让您一目了然。

在 WordPress 插件目录页面，进入您正在考虑的任何插件，点击下载按钮下方的支持链接。

在此页面上，您将看到 WordPress 用户提出的所有支持工单。

如果您发现开发人员积极回应和解决询问，甚至应要求添加新功能，您就可以放心地试用该插件。

但有时，您可能会发现几个星期都没有回复查询，而且插件也没有实际开发。这时候，最好远离该插件，寻找更活跃的插件。

4. 关注仪表板的警告

WordPress 就像你团队中那个聪明的技术人员，他能让你的一切都处于受控状态。

如果 WordPress 核心、插件或主题过期，出现新的漏洞，或者可能存在冲突，它会向您发送提示、通知和错误信息，清楚地说明这一点。

您可以选择忽略这些警告，继续执行您计划采取的操作，但我们建议您听取这些警告。

5. 运行自动安全检查

确保 WordPress 网站安全的方法有很多。最简单的方法是只安装一个安全插件，如 Wordfence、Patchstack、Sucuri 等，然后让它来判断某些东西对你的网站是否有利。

Source

这些插件会跟踪每一个安全漏洞、废弃或过时的插件以及任何 WordPress 核心问题。如果您的网站出现与这些问题相匹配的迹象，插件会立即通知您。

它们还会执行自动后台扫描，以检测是否有恶意行为者试图利用过时或废弃的插件对您的网站进行未经授权的访问，或识别出已被感染的先前安全的插件。

6. 人气测试

最后，如果您不想担心技术问题，那就交给群众吧。最好的 WordPress 插件也是拥有最多活跃安装量的插件。

在 WordPress 插件目录中搜索插件时，点击插件数据下的高级视图选项卡（即我们看到“最后更新”日期的部分）。

高级视图会显示所有用户正在使用的插件版本统计信息，以及插件的日下载量、周下载量和总安装量。

如果插件的活跃安装量不断减少（低于 1,000），下载量呈下降趋势，或持续出现差评，那么这些插件可能即将被放弃，或者已经被放弃。

在大多数情况下，如果你坚持使用被很多人积极使用的顶级 WordPress 插件，一般都不会有问题。这是因为开发人员和精通技术的用户都会留意代码中的问题，并在问题出现时加以解决。

发现被遗弃的插件？该怎么做

您在 WordPress 网站上发现了被遗忘的圣诞树插件。现在该怎么办？

以下是您的分步救援计划，可在不破坏网站的情况下安全地消除这些安全隐患。

Step 1：寻找替代品

在接触任何东西之前，先找一个替代品。搜索能提供与您放弃的插件类似功能的活动插件。

最好的替代品应具备

• 最近 3 个月内更新
• 与您的 WordPress 版本兼容
• 较高的评分（4颗星以上）
• 响应迅速的开发者社区
• 良好的文档

注：有时，完美的替代品根本不是插件！许多曾经需要插件才能实现的功能现在都内置于 WordPress 核心或主题中。

Step 2：创建完整备份

备份是网站的安全网。不要省略它！

创建 WordPress 网站的完整备份，包括文件和数据库。

您可以使用插件或主机的备份工具，但请确保您知道如何在需要时从备份中恢复。

希望备份不是必需的，但如果出现问题，它将是救命稻草。

Step 3：在暂存环境中进行测试

对于业务关键型网站，在跃进之前先进行测试。如果有条件，将网站克隆到暂存环境中，先在那里替换废弃的插件。

如果网站出现故障，您需要先在暂存环境中调查出错的原因以及如何修复， 然后再 开始在实时网站上运行。

这个环境将成为新插件的自由发挥空间，以便在特定设置下进行正确测试。

Step 4：仔细更换插件

现在是重头戏。下面是如何更换那些被遗弃的插件。

1. 首先激活新插件，先不要停用旧插件。
2. 配置新插件，使其与旧插件的设置相匹配。
3. 在两个插件都激活的情况下，验证功能是否符合预期。
4. 停用（但不要删除）废弃的插件。
5. 彻底测试网站，确保没有任何故障。

确定一切正常后，删除旧的 WordPress 插件。

Step 5：替换后检查

更换后，对网站进行彻底检查。检查网站的前端和后端是否有任何问题。

查找视觉故障、功能问题或错误信息。特别注意依赖于被替换插件的功能。

您是否应该保留被遗弃的插件？

面对现实吧–有时你需要一个你的网站绝对依赖的废弃插件。

也许它能处理一种独特的功能（如特定的结账推荐系统） ，而其他插件无法与之匹配，或者您已经围绕它建立了自定义集成。

那么，您可以（而且应该）保留它吗？嗯……这很复杂。

保留一个被遗弃的插件是有风险的。只有 在以下情况下，您才 应该考虑保留它

• 该插件具有关键功能，没有可行的替代品。
• 您的业务工作流程依赖于它提供的自定义功能。
• 插件相对简单，代码面积最小（您可以让开发人员在 GitHub 上审查插件代码）。
• 您已经在当前的 WordPress 版本上进行了全面测试，并且运行良好。

如果所有这些要素都符合要求，您可以考虑保留该插件。但我们还是建议您在开发人员的帮助下找到维护代码的方法，或者尽快将其删除。

必须采取的额外安全措施

如果你决定继续使用那个被遗弃的插件，你就需要在它周围建造一个堡垒。

• 创建插件专用防火墙：使用 Wordfence 或 Sucuri 等安全插件创建自定义防火墙规则，专门针对被遗弃插件中的潜在漏洞。这些规则是您抵御针对已知漏洞攻击的第一道防线。
• 实施定期代码审计：聘请一名开发人员定期检查插件的代码是否存在安全漏洞。是的，这需要花钱，但这比处理被黑客攻击的网站及其后果要便宜得多。
• 设置强化监控：配置与插件相关的任何异常活动警报。早期发现意味着小问题与导致整个网站瘫痪的全面安全漏洞之间的区别。
• 尽可能隔离：如果可行，在单独的子域或环境中运行被遗弃的插件，限制其访问主网站的敏感数据和功能 – 将其视为隔离区。

控制插件健康的积极步骤

老生常谈，预防胜于治疗。

下面介绍如何建立一个健康的插件生态系统，以保证 WordPress 网站的安全和最佳性能。

安排定期插件审计

将此视为网站的季度检查。

在日历上标注每三个月进行一次彻底的插件审计。在这些审核中，评估每个插件的近期更新历史、兼容性状态以及您是否仍然需要它。

这种例行维护可在插件出现问题之前就加以预防，并使网站保持精简。

选择有良好记录的插件

并非所有插件都是一样的。在为您的网站添加新工具时，请注意这些健康指标：

• 定期更新（至少每季度一次）
• 庞大、活跃的用户群（10,000 个以上安装用户）
• 响应迅速的开发人员支持（查看问题得到答复的速度）
• 详细的文档和清晰的开发路线图

采用“少即是多”的理念

您的 WordPress 网站不是一个插件收集展示台。每个插件都会增加代码、复杂性和潜在的安全问题。

问问自己：这个插件能解决我现在遇到的实际问题吗？

如果不能，它就不属于你的网站。尽量减少实现目标所需的插件数量。

设置自动更新通知

无需不断检查仪表板，即可随时了解最新信息。通过主机工具或管理插件配置可用插件更新的电子邮件提醒。

这些电子邮件提醒可帮助您跟踪任何重要的安全补丁或兼容性更新，即使您忙于经营业务也不例外。

考虑WordPress托管解决方案

有时，最好把事情交给专业人士处理，这样你就可以专注于自己的业务。

专业的 WordPress 托管服务可以处理 WordPress 的大部分维护工作，包括安全监控和更新，还可以在出现故障时提供帮助。

小结

就像家里那些被遗忘的小玩意一样，被遗弃的插件可能曾经为您提供过很好的服务，但它们的时代已经过去了。您不能拿这些被遗弃的插件来威胁 WordPress 网站的安全和性能。

但是，并不是每个人都有时间或技术专长来监控插件是否有被遗弃的迹象。

如果您是一位懒人站长，则可以选择专业的 WordPress 托管服务器帮您解决这个问题。它可以自动处理 WordPress 核心更新、安全补丁和网站备份，并提供每日自动备份、内置缓存和全天候 WordPress 专业支持。

这意味着，您可以专注于创建内容和经营业务，而 WordPress 托管服务则可以让您放心，因为您的网站得到了很好的维护。