Forældede plugins er en tikkende bombe

Forældede plugins er en tikkende bombe

Mængden af plugins til WordPress er enorm, fordi der sidder så mange udviklere og laver fantastiske løsninger i deres fritid. Desværre får nogle af dem mindre fritid og plugin’et bliver ikke vedligeholdt. Det kan give dig store problemer.

Fællesskab og Open source

Jeg er overhovedet ikke i tvivl om, at en af de aller vigtigste årsager til at WordPress er så godt og så udbredt, er alle de mange udviklere, der bruger deres fritid på at lave plugins og temaer. Mængden af plugins i WordPress biblioteket er ufatteligt, og der er en løsning på næsten alt. For hvis en enkelt har oplevet et problem og fundet en løsning, så bliver denne løsning ofte til et lille plugin, som andre så kan have glæde af.

Men som med alt andet frivilligt arbejde, så er der også en risiko ved det. For hvad kan man forlange af et plugin, der er gratis, og hvor udvikleren intet får for at holde det vedlige?

Langt de fleste plugins skal nok holde dig ude af problemer og der er som regel ingen risiko overhovedet Men ind imellem så forsvinder interessen fra en udvikler og plugin’et bliver ladt alene tilbage. Det er ikke et problem med det samme, men i takt med at resten af WordPress udvikles og der findes (og lukkes) sikkerhedshuller, så bliver det plugin et større og større problem.

Inkompatible plugins og temaer

WordPress er under konstant udvikling og der kommer nye funktioner og metoder til flere gange om året. Koden bliver optimeret og tilpasset de vilkår, som tiden og teknikken giver os.

De gamle plugins bruger en metode defineret af WordPress til at håndtere data, men denne metode er lavet om og der er kommet en anden – og bedre/mere sikker – måde at gøre det på. Derfor skal disse plugins skrives om, så funktionerne igen kan fungere. Der er som regel masser af tid til at lave disse ændringer, da de meldes ud i god tid og gamle funktioner endda understøttes i en længere periode efter den nye metode er lanceret.

Selvom der gøres et stort stykke arbejde for fastholde bagudkompatibilitet – altså med plugins udviklet tidligere – så er de nødt til ind imellem at lave så fundamentale ændringer, at gamle plugins ikke længere fungerer. Det er blandt andet derfor, at du altid skal opdatere plugins før du opdaterer din WordPress.

Usikre løsninger

WordPress er på trods af sin baggrund som fællesudviklet opensource faktisk rimelig sikker. Det er fordi, der bruges megen tid på at sikre procedure og rette de steder, hvor der kan være huller.

Ingen er interesseret i at lave software med huller, men som oftest skyldes disse huller, at hackere bruger systemet på en helt anden måde, end udviklerne havde tænkt sig.

Derfor vil der næsten altid være sikkerhedshuller i software ved lanceringen. Og efterhånden som man blive opmærksom på fejl og huller, så bliver der lavet fejlrettelser og der sættes propper i hullerne.

I mange tilfælde kræver det også, at temaer og plugins omskriver deres funktioner til at bruge den nye og mere sikker måde at løse opgaverne på.

Så hvis der går for længe mellem at et plugin bliver opdateret, så er der en stigende risiko for, at plugin’et enten udløser en fejl eller åbner en ladeport for forbipasserende crackere.

Af samme grund, så gør WordPress faktisk opmærksom på denne risiko i pluginbiblioteket, hvis du finder plugins, der ikke er blevet vedligeholdt i lang tid. Hvis et plugin ikke er blevet opdateret i mere end 2 år, så får det automatisk tilføjet en advarsel i toppen af siden, der gør opmærksom på dette problem.

Det er ikke nødvendigvis et problem, da visse plugins fungerer fint længe efter de 2 år er gået – men der er en risiko, og den skal du være opmærksom på.

Hvis der går endnu længere tid eller plugin’et viser sig decideret at være skadeligt, så bliver det ganske enkelt fjernet fra plugin-biblioteket. Men det kan du ikke se i din WordPress backend. Da der findes masser af fantastiske plugins, der aldrig når omkring WordPress.org, kan man ikke bare angive den manglende kontakt som en fejl. 

Hvordan kan jeg sikre mig

Først og fremmest, så skal du holde plugins, tema og WordPress opdateret til seneste version. Det er den bedste metode til at undgå fejl og huller.

Dernæst skal du holde øje med de installerede plugins. Faktisk skal du helst få nogen andre til det, enten via en service som vores WP Pro Service eller et plugin som WordFence Security.

På den måde bliver du gjort opmærksom på, at der er en risiko og kan så selv tage stilling til, hvad der skal gøres ved det.

Der er desværre ikke nogen nem måde til fuldstændig at undgå at bruge et plugin, der på et senere tidspunkt bliver problematisk. Man kan gå efter de sikre med gode anmeldelser og mange downloads og på den måde mindske risikoen – men der er ingen garanti for at undgå problemerne på den måde.