Плагины, которые должны быть обязательно установлены на каждом WordPress-сайте
1 мая 2008 г.
Хочу вам представить список плагинов, которые, по моему скромному мнению, в обязательном порядке должны быть установлены на любом сайте, работающем на движке WordPress. Большинство из указанных ниже плагинов касается безопасности сайта.
Со временем список, скорее всего, будет изменяться и дополняться. Если у вас есть что-то стоящее, чего я еще не упомянул, но можно добавить к этому списку, пишите в комментариях.
- WordPress Database Backup - позволяет вручную и автоматизировано создавать резервные копии базы данных.
- Anti-XSS attack - миниатюрный, но полезный плагин, защищающий WordPress-сайт от XSS-атак.
- php MD5 - в доске объявлений админки показывает список модифицированных файлов WordPress-сайта. Данная информация поможет быстро определить факт заражения вирусом, если это произойдет.
- Replace WP-Version - заменяет версию WordPress-сайта на произвольную, если используется версия < 2.4, или вообще прячет версию, если используется WordPress > версии 2.4. Версия заменяется/прячется как в RSS-фиде, так и в мета-теге “generator”.
- Login LockDown - записывает IP-адрес и время каждой неудачной попытки залогиниться в админку вашего WordPress-сайта. Если зафиксировано заданное число попыток за определенный период времени, страница логина блокируется на указанное в настройках время. Это поможет защитить сайт от попыток подбора логина и пароля.
- Iodized Salt - продотвращает использование ворованных куков с другого IP-адреса путем примешивания IP-адреса клиента к хешам куков.
- Filter Email Notifications - предотвращает дублирования письма-уведомления, которое приходит администратору, когда на блоге оставлен новый комментарий (1) и когда администратор его одобрил (2).
- Lighter Menus (не работает в WordPress 2.7) или Ozh’ Admin Drop Down Menu - превращает меню админки в очень удобное и практичное (в виде выпадающего списка), позволяя добраться до любой страницы в один клик мыши. После использования такого меню очень сложно от него отказаться.
автор: Dimox | рубрика WordPress
Лучше ЖЖ заведи. Я именно так и планирую сделать.
А к списку я бы еще добавил “Admin Drop Down Menu”
ЖЖ - фуууу, бяка… Никогда не заведу.
Admin Drop Down Menu - можно обойтись и без него, все-таки в список обязательных он не подходит, но полезен, не спорю.
Поставлю только защиту от XSS атак, другие ставить не вижу смысла :)
Без OneClick Installer вообще ни одного плагина с удовольствием не установишь :)
jeenart, как хошь, не принуждаю =)
Максим, OneClick Installer - это что за чудо?
Это, мне кажеться святая святых для пользователя ВордПресс. В админке появляется ссылка на панель для закачки плагинов и тем. Нет необходимости пользоваться фтп.
Хм… а тебя вот этот засранец не напрягает - seobloger.ru ? Тырит всё скопом из многих источников, в том числе и с твоего блога.
Люди вы чего ? =) XSS уже не работает, яндекс убил эту хрень под корень.
Ryoga, вы реально насмешили ))))
Яндекс перестал учитывать xss ссылки, а взлом сайтов с помощью xss он еще не прикрыл ))
Хаха))) Ну просто надо быть немного внимательнее когда читаешь посты на эту тему, и не считать автора способным на такие промахи, он ведь профи как никак.
Мне как-то через фтп удобнее и привычнее :) Это, пожалуй, сродни тому, что верстать можно вручную, либо используя FrontPage и иже с ними. Я предпочитаю первый вариант ;)
Вот ублюдок охреневший. Еще и все ссылки заменяет. Спасибо, Владимир, что сообщил! Я не знал об этом. Такие уроды конечно напрягают. Написал абузу его хостеру.
Вот именно )))
Понятно, что ни чего не понятно. Я думал, что XSS это подстановка ссылки и не более чем.
Даже не знаю.., обязательно ли ставить ВСЕ эти плагины.
Хотя без некоторых действительно не обойтись!
Ryoga, я же специально в посте поставил ссылку на вики для образовательных целей ;)
wp-super-cache заслуживает огромного внимания :)
Даже в мыслях не было переходить ибо не предполагал возможность другого приминения, пока не ткнули пальцем. Как ткнули сразу и перешёл на вики для расширения кругозора =)
>Версия заменяется/прячется как в RSS-фиде, так и в мета-теге “generator”.
мета тег генератор который прописан в хеадере можно удалить )) а вот версию в рсс мона и увидеть, все думал как бы ее запрятать, спасибо за плагин.
>Login LockDown - записывает IP-адрес и время каждой неудачной попытки залогиниться в админку вашего WordPress-сайта.
wp-login закрываем по айпишнику и подборщики паролей который имеют другой айпи курят в сторонке.
>Anti-XSS attack
как вариант всегда разлогиниваться из блога, зачем иметь лишний плагин на борту или вы рефрешитие админку блога каждых 5 минут?))
Из данного списка вижу полезными 3 плагина, что уже гуд. 2,5,6 можно и не юзать. Кстати как насчет совместимости с версией 2.5.1 ?
wp-login закрываем по айпишнику и подборщики паролей который имеют другой айпи курят в сторонке.
А потом у тебя сменится ип и курить в сторонке будешь ты. Гипотетически, твой инет накроется и что? Придется идти к другу, и будешь каждый раз файл править. Да и не у каждого постоянный ип. Хотя, конечно, почти надежно.
как вариант всегда разлогиниваться из блога, зачем иметь лишний плагин на борту
Вот и разлогинивайся каждый раз, каждый вход и выход, каждый раз когда хочешь что-то на параллельном сайте сделать. ИМХО плагин весьма полезный. Могу согласиться только про плагин номер 6
Вот кстати неплохое руководство для прокачки плагина WP DB BackUP.
Само руководство
Вкратце с помощью WP-Control и WP-Cron настраивается автоматический бекап базы.
Спасибо за внятный список; некоторые из этих плагинов я когда-то себе уже поставил, но не о всех знал, что они толком делают.
Спасибо за MaxBlogPress Ping Optimizer.
Незнала раньше что банят за часты пинг…
[quote post=”809″]как вариант всегда разлогиниваться из блога[/quote]
Брррр… Страсти какие. Я в админку десятками раз на дню захожу. Ужасно будет напрягать подобная махинация. Для тех кто в админку лазит не часто вполне сойдет.
>А потом у тебя сменится ип и курить в сторонке будешь ты. Гипотетически, твой инет накроется и что? Придется идти к другу, и будешь каждый раз файл править. Да и не у каждого постоянный ип. Хотя, конечно, почти надежно.
сменился айпи, залезь на фтп и впиши новый. Смена айпи у провайдера вещь исключительно редкая. Если айпишник динамический то и это не проблема, прописываем 3 октавы айпи адреса. Сменил провайдера, зайди на фтп и поправь, делов 5 минут, зачем куда то ходить, непонимаю или вы так не постоянны что меняются провайдеров каждый день? Народ от незнания из мухи слонов делает. ))
>Плагин «Anti-XSS attack»
Во всех версиях WordPress есть дыры. Другое дело, что не все они определены и известны. Таким образом злоумышленник может обнаружить уязвимость и сформировать специальный запрос к вашему сайту и тем самым, например, получить админский доступ.
закрыли доступ по айпи и ваш чел с ворованными админскими правами тоже курит в сторонке ))
Максим и Максим Покровский, а что можно делать в админке блога целый день? имхо там достаточно побывать пару раз за сутки для того чтоб написать пост, отмодерировать комменты, а больше там и делать нечего. Объясните мне смысл там находиться по 100 раз на дню? Смотреть новые комменты? так достаточно поставить уведомление на емайл и не париться.
Выбор и пользование плагинами личное дело каждого. )) свою точку не навязываю, НО я не вижу смысла в этих 3 плагинах плагинах.
>свою точку не навязываю, НО я не вижу смысла в этих 3 плагинах плагинах.
Благодарю, что не навязываете :) Это действительно очень ваше сугубо личное мнение. Я делаю всегда так, что бы Мне было удобно.
Максим, так вы не рассказали зачем в блог заходите десятками раз на дню :-)
Всё же установил WordPress Database Backup, очень удобно и комфортно. ЗЫ: Пожалуйста расскажите как сделать отправку комментариев с помощью аякса, установил нужный плагин, написано что должно работать сразу же, но изменений ноль.
Уважаемый Denis Streha, я не очень часто захожу в админку. Но для меня ВордПресс совершенно новая система и я постоянно стремлюсь к совершенствованию своих познаний связанных с данным движком. Более того, я часто меняю местоположение и поэтому захожу в админку с разных компьютеров. У меня нет совершенно никакого желания использовать авторизацию через пятое колено. Я не переживаю по поводу возможного взлома, если кто сильно захочет, то уверен, у него все получится. Для исправления последствий есть бекапы.
Но есть смысл устанавливать его только на сайты с большой посещаемостью.
Когда-то я пытался так сделать, но у меня IP-динамический, поэтому это не лучшее решение.
Кому как :)
Все работают.
Не понял, а зачем еще прокачивать WP DB BackUP? Он уже итак по умолчанию может делать автоматический бекап.
Нафиг надо, каждый раз лазить на фтп да править айпишник. Поставил плагин и делов-то.
Я использую вот этот плагин - http://www.cybercore.ru/ajax-comments-209-free/ Его достаточно только активировать в админке и все, должен работать. Если не работает, причин не знаю, может быть дело в WP-шаблоне.
>Когда-то я пытался так сделать, но у меня IP-динамический, поэтому это не лучшее решение.
прописал один раз айпишник и забыл на долгие года. )) ладно каждый выбирает то что ему больше по душе ))
спасибочки за плагинчики!
А что мешает закрыть wp-admin с помошью .htaccess/.htpasswd?
Блин такие нужные плагины (( а я ворд прес не могу установить .блин лажа полная
А вот интересно, плагин MaxBlogPress Ping Optimizer действительно настолько полезен?
Если блог молодой, то врядли ему грозит бан, ведь постинг и комментинг в него будет не таким частым.
Естественно, когда будет приличный “пишущий” траффик, то есть смысл.
Costa-Rica, да, вы все верно говорите. Пожалуй, этот плагин не совсем уж и такой обязательный. Ну, по крайней мере, на моих сайтах он является обязательным (типа отмазался :)
Ухты…Такая подборка мне и нужна была. Я человек немного того – параноик=) и меня всегда интересовала безопасность.
Выложите плиз отдельно “php MD5″, а не в сборке с макссайтовским вордперссом 2.3.2
Сам уже перехожу на WP, так что огромное спасибо за подборку!
О как.. Интересно..
Спасибо, т.к. кое-что у меня не стояло..
а вот хss нафиг уже) по истории с маулнетизмом помнится.
[quote comment=”3612″]Выложите плиз отдельно “php MD5″, а не в сборке с макссайтовским вордперссом 2.3.2[/quote]
Пожалуйста - php MD5
сомневаюсь в полезности пинг оптимайзера
хотя и не помешает :)
Не понимаю, какой сейчас смысл защищаться от xss-атак, если яндекс прикрыл эту кормушку? Все SEO-шники уже про это знают и никто мазохизмом заниматься не будет - я имею ввиду делать бесполезную работу.
alexissss, прочитайте любой форум посвященный взломам. Причем тут Яша???? Если вы хотите взломать сайт банка, вы можете воспользовать методом xss, внедрив на страницы его сайта свой код, после чего сможете получить доступ как администратор. Абстрагировал сценарий до нельзя. Не важно, отменил ли яша xss или нет, это как в фильме “Президент сказал: “Взяток не брать”
А вот я не понимаю, почему все, кто задает этот вопрос, зациклились на Яндексе, почему для вас XSS - это ассоциация с Яндексом? Вы хотя бы прочитайте, что вообще такое XSS, может тогда и перестанете задавать такие глупые вопросы. XSS - это не безобидная конфетка.
А у меня с плагином Anti-XSS не работает загрузка изображений, так что пришлось отключить )
Login LockDown наиполезнейшая вещь. Давно думал как защиту от брутфорса организовать. Спасибо за информацию.
Поставил 2,3,5,6 плагины. Спасибо
А как же плагины: Rus To Lat и WP mail Cirillic ? Я считаю что тоже лишними не будут в этом списке. Хоть не безопасность, но настройки и работу сайта в целом улучшают. Во всяком случае в каждом новом проекте их использую в первую очередь.
Я тоже использую Rus To Lat на каждом своем сайте, но не все используют ЧПУ, часто вместо него используются идентификаторы записей (типа site.ru/archive/137/). Т.е. этот плагин не подходит под статус обязательных.
На счет WP mail Cirillic. Тоже не считаю его обязательным. Я, например, его вообще ни разу не использовал.
Кстати Ю.Б. написал довольно нужный <a href=”http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/”плагин “Йодированная соль”
А есть какие-нибудь плагины по защите от спама (капа или типа как тут)? А то за*****.
2 Ульяновский бомж:
akismet.com
Ульяновский бомж, а погуглить? Как тут - Math Comment Spam Protection
Отличный блог!
С удовольствием читаю уже несколько дней, поставил все плагины, про которые иы писал…
WordPress Database Backup плагин хороший, но у меня почему-то на блоге он не работает… начинает делать бекап и на 2% останавливается….таблицу rating забекапил и все… Если знаете, почему плагин не работает, буду благодарен за объяснение.
ontolog, с уверенностью могу сказать, что причина в сторонних плагинах, а, точнее, в таблицах, которые они создают в базе данных. На одном из моих сайтов была такая же проблема и методом исключений я выяснил, что база не бекапилась из-за таблиц, начинающихся с “wp_search”. Поэтому пробуйте отключать поочередно все таблицы.
не давно обнаружил у себя существования плагина резервного копирования. Но так и не понял, как им пользоваться. Все время резервирую вручную с админки хостера. Теперь попробую разобраться. спасибо.
Это плагиты связаны с безопастностью. Я бы еще порекомендовал любой кэширующий плагин. Например, Super Cash
“Вот ублюдок охреневший. Еще и все ссылки заменяет. Спасибо, Владимир, что сообщил! Я не знал об этом. Такие уроды конечно напрягают. Написал абузу его хостеру.”
У меня вопрос вот по этой ситуации.
Как узнать, кто у ублюдка хостер? И куда, соответственно, писать абузу? А то тут у меня тоже завелся один такой деятель… Тоже тырит контент почем зря.
merlin, хостер ищется через WHOIS. Вводим там адрес сайта-вора и по NS-серверам (либо по IP-адресу сайта) можно выйти на хостера. Затем заходим на сайт хостера и пишем абузу через обратную связь.
Неплохие плагинчики, я постоянно использую Anti-XSS attack и для бэкапа базы
Dimox, я не очень разбираюсь в версиях wordpress. Сейчас возникла необходимость создать блог на этом движке. Какую версию вы бы посоветовали, чтобы были и русские темы, и переводы плагинов и т.д.? В то же время не “сырую”.
В первую очередь это зависит от возможностей вашего хостинга. На данный момент выбирать можно из двух версий: 2.3.3 или 2.6.1. Младшая версия требует поменьше ресурсов хостинга. А в остальном - уже по вашему вкусу, т.е. какая админка больше понравится. С темами и плагинами ни в том, ни в другом случае недостатка нет.
Dimox, спасибо, раньше просто советовали 2.5, мотивируя тем, что 2.6 ещё не обкатана, но и вы и Иван с mywordpress вполне нормально отзываетесь о 6.1, так что буду начинать с неё.
На всех новых блогах стал использовать 2.6.1 версию + GoogleGears. В админке есть кнопочка “Ускорить”, нажмешь - закешируются почти все статические элементы. И реально быстро начинает работать. (Но не для серфера конечно)
Есть какой-нибудь плагин для установки капчи при добавлении комментов ?
Артём, Гугл в помощь.
Dimox,приветствую.
Насколько обязателен MaxBlogPress Ping Optimizer или все же если я внес список пинг сервисов то без этого плагина могу попасть в бан?
Аlex, я думаю, что стоит ориентироваться на то, как часто нажимается кнопка “Сохранить” применительно к конкретной записи. Если запись пересохраняется очень часто за короткий период времени, то стоит воспользоваться плагином. Для себя я решил, что все-таки он не обязателен. Буду его удалять из списка.
За короткий период времени - это сколько?
и вообще,Dimox опиши плз при каком раскладе (пинга)можно попасть в бан.
Аlex, не могу сказать ничего конкретного, не встречался со случаями бана.
Большое спс) как раз начал заниматся в блогосфере и искал анти спам хороший) Ещ2 бы найти статью где после коментариев можно было подписатся по rss, негде не могу найти.
Эта ставится вручную, вот такой код:
Подскажите, пожалуйста, что за плагин вы используете для задания форматирования текста в комментариях? Я установил MCEComments, но у него какие-то странности с цифрами и он нехорошо себя ведёт при нажатии на Backspace.
Плагин “jQuery Comment Preview”
Из всего вышеперечисленного полезен разве что Anti-XSS attack. Нет смысла перегружать блог бесполезными плагинами (что касается бэкапа - эти функции выполняет хороший хостер).