Plugins repository på wordpress.org

Vær kritisk overfor WordPress plugins

WordPress plugins er de byggesten, der udvider din WordPress fra en simpel blog til meget avancerede webtjenester, fuld af automatik og brugerinteraktion. Men er de sikre?

WordPress er et relativt sikkert CMS – jo, det er!

Problemet er, at hver gang vi tilføjer nye elementer (plugins, temaer), så stiger kompleksiteten eksponentielt og risikoen for huller i sikkerheden meget større. Derfor er det vigtigt, at være kritisk inden man installerer nye plugins. Uanset om de er gratis eller Premium (betalingsplugins).

Heldigvis giver WordPress repository (online biblioteket) en del fingerpeg om, hvad der er skidt og kanel.

Det blå stempel repository

Søgning på mailchimp blandt plugins i WordPress repository

Det, at et plugin er optaget i WordPress repository er ingen garanti, men der dog visse ting, du kan være sikker på. Der bliver nemlig stillet nogle krav der skal opfyldes, før et plugin bliver optaget.

  1. Licens
    Alle plugins i WordPress repository SKAL være kompatible med GNU General Public License, en fælles open source standard.
  2. Udvikleren er ansvarlig for indholdet
    Det er udviklers ansvar, at ALLE filer i pluginet (også tilføjede standardbiblioteker) overholder reglerne for repository
  3. Stabil version skal kunne hentes fra repository
    Du slipper for at skulle jagte seneste opdateringer
  4. Koden skal være læsbar
    Det skal være nemt at gennemse kildekoden
  5. Ingen Trialware
    Du risikerer ikke at gå i gang – og så pludseligt ikke kunne bruge plugin’et mere
  6. Plugins må gerne benytte eksterne tjenester
  7. Plugins må ikke overvåge brug uden accept
  8. Plugins må ikke sende executable kode via tredjepart
  9. Udvikler og deres plugins må ikke gøre noget “ulovligt, uærligt eller moralsk forkasteligt”
  10. Plugins må ikke inkludere links eller kreditering uden godkendelse
  11. Plugins bør ikke ‘overtage’ kontrolpanelet
  12. Offentlige dokumenter på WordPress.org må ikke være spam
  13. Plugins skal benytte WordPress standard biblioteker
  14. Plugins skal holde opdateringer på et minimum
  15. Plugins versionnumre skal stige inkrementalt
  16. Plugins skal være komplette ved aflevering (ikke beta)
  17. Plugins skal overholde varemærker og copyrights

Tjek tilgængelige informationer

Alle plugins i WordPress repository får automatisk en række informationer koblet på. I ovenstående eksempel fra en søgning på “mailchimp” kan du fx se, en vurdering (stjerner), udvikler, antal downloads og seneste kompatible WP version.

Klikker du dig videre ind til selve plugin’et dukker der flere informationer op.

Reviews på WordPress plugins

Reviews – hvad siger de andre?

Stjernerne er et ranking-system baseret på brugernes anmeldelser. Der kan gives en til fem stjerner og der vises samlet resultat i halve stjerner.

Som alle andre steder med brugeranbefalinger skal man være kritisk. I hvert fald med de første 100 anmeldelser kan en udvikler sørge for at venner og bekendte giver udelukkende positive anmeldelser. Derover begynder at være sandsynligt, at det er reelle brugere, der giver input. Og negative input KAN også være uærlige konkurrenter…

I eksemplet her har 1100 givet det fem stjerner – men det er uinteressant. Det er fint, at der er så mange positive, men det betyder faktisk kun at det lever op til deres forventninger, intet andet. Men dog nok til at vi fortsat tror på det som en relevant kandidat til vores værdifulde websted.

Det vi er interesseret i er, om det lever op til VORES krav til den funktion, vi skal have dækket. Og her giver det langt mere mening at kigge på de utilfredse. I tilfældet her fandt jeg blandt andet følgende overskrifter blandt de utilfredse:

  • Crashed my site
  • Unstable API connection without warning
  • Disturbed WooCommerce 3.2.5
  • Doesn’t work with Contact Form 7
  • NOT multilingual

Så hvis jeg skal bruge det sammen med WooCommerce, Contact Form 7 eller på et flersproget websted, så skal jeg nok lige teste det grundigt først.

OBS: Enkelte plugins lukker op for flere funktioner, hvis man giver dem en femstjernet anmeldelse. Gå LANGT uden om den slags plugins! Dels er de ude i en gråzone rent etisk, dels overtræder de reglerne for brug af repository og risikere at blive smidt ud – hvorefter du ikke længere kan opdatere dit plugin…

Udvikler – hvem står bag?

Udviklerne af WordPress plugins kan være alt fra store virksomheder som Automattic eller Yoast – men det kan også være en enkelt person, der bare har lavet et godt redskab.

Store organisationer eller firmaer bliver som regel bedømt meget hårdere i reviews end enkeltpersoner, der bare udvikler for sjov.

Aktive installationer – bliver det brugt?

Enkelte plugins har flere millioner aktive installationer (installationer, der har opdateret til de seneste versioner af plugin’et), andre har under 100. Dem med mange brugere giver mest sikkerhed for fortsat udvikling og sikkerhed, men tænk også på størrelse af de potentielle brugere. Hvis det er en meget nichepræget funktion, så er 100 aktive brugere måske fint nok.

Kompatibilitet – bliver det opdateret?

Alle dine plugins skal helst være kompatible med den seneste version af WP – eller i hvert fald næst-seneste, hvis der er kommet en ny fornyligt.

At der ikke er angivet kompatibilitet med seneste versioner af WP er ikke ensbetydende med at det ikke fungerer. Det betyder bare, at der ikke er brugerne nok, der har testet og meldt ind, at det fungerer.

Her kan det også svare sig at kigge på, hvornår seneste opdatering er udgivet. Er der gået mere end to år – eller mere end tre hovedversioner af WP – siden sidste opdatering, så giver repository dig endda en advarsel på plugin-siden.

Spørg om råd

Det er nok den bedste måde at vurdere et WordPress plugin på. Sørg for at have nogen i dit netværk, du kan spørge til råds om deres erfaringer med specifikke udfordringer eller plugins. De har ikke nødvendigvis ret, for der jo forskelle i behov og krav, men de kan give dig et fingerpeg om det er godt eller skidt.

Et af de bedste steder at udvide netværket med WordPress-personer er de mange Meetups, der sker rundt omkring i landet.

Hvis du ikke har mulighed for at køre til nogen af dem, så er der masser af brugbare fora på Facebook. Selv har jeg stor glæde af disse: