WordPress va anunciar una proposta per adoptar un enfocament més proactiu cap als connectors de tercers per tal de millorar la seguretat i el rendiment del lloc.
El que s’està discutint és un verificador de connectors que s’assegurarà que els connectors segueixen les millors pràctiques.
Els connectors de tercers són una font important de vulnerabilitats de seguretat i colls d’ampolla en el rendiment del lloc web. La proposta descriu tres maneres d’abordar un verificador de connectors i sol·licita comentaris sobre la idea.
La proposta de WordPress va definir el problema:
“Tot i que hi ha menys requisits d’infraestructura per als connectors que els que hi ha per als temes, sens dubte hi ha alguns requisits que val la pena verificar i, en qualsevol cas, comprovar les millors pràctiques de seguretat i rendiment en els connectors seria tan essencial com en els temes.
Tanmateix, a dia d’avui, no hi ha cap verificador de connectors corresponent”.
Vulnerabilitats de WordPress i rendiment baix
La plataforma de publicació de WordPress ha rebut la reputació de ser vulnerable als pirates informàtics i de ser lenta.
Per tant, pot ser sorprenent saber que el nucli de WordPress en si és una plataforma altament segura.
La majoria de les vulnerabilitats que afecten la plataforma WordPress es deuen a complements de tercers.
Tot i que WordPress és raonablement segur, els complements de tercers han fet que WordPress es converteixi virtualment en sinònim de llocs piratejats.
També hi ha un problema similar pel que fa al rendiment del lloc de WordPress. Un equip de rendiment de WordPress treballa activament per millorar el rendiment del propi nucli de WordPress.
Però aquest esforç es pot veure soscavat per complements de tercers que carreguen JavaScript i CSS a pàgines on no són necessaris o no carreguen imatges mandrosos, cosa que acaba alentint el rendiment del lloc web.
Comprovador de connectors
WordPress ja produeix un verificador de temes que permet als desenvolupadors de temes comprovar el seu treball per a les millors pràctiques i seguretat. El mateix verificador de temes també s’utilitza al dipòsit oficial de temes de WordPress.
Així que ara volen explorar fent el mateix per als connectors.
Així és com es va definir l’objectiu del verificador de connectors proposat:
“Hi hauria d’haver una eina de verificació de connectors de WordPress que analitzés un determinat connector de WordPress i marqui qualsevol infracció de les millors pràctiques de desenvolupament de complements amb errors o advertències, amb un enfocament especial en la seguretat i el rendiment”.
La proposta enumera tres possibles enfocaments:
- A. Anàlisi estàtica
Així és com es comproven els temes, però hi ha limitacions, com ara no poder executar el codi. - B. Anàlisi del costat del servidor
Aquest mètode permet que el codi del connector s’executi i també es pot realitzar una anàlisi estàtica. - C. Anàlisi del costat del client
Això carrega un navegador sense cap (essencialment un bot que emula un navegador) i després prova el connector per detectar problemes que no necessàriament es poden detectar amb una solució del servidor. El document assenyala alguns reptes d’aquest enfocament, però també enumera maneres d’evitar-los.
La proposta inclou un gràfic amb columnes per als enfocaments A, B i C i files que corresponen a les qualificacions assignades a cada enfocament per problemes de seguretat i rendiment.
L’avaluació troba que l’anàlisi del costat del servidor pot ser l’enfocament òptim.
Bones pràctiques per a connectors
L’equip de rendiment de WordPress no es compromet a crear un verificador de connectors, això és només una proposta. Aquest és només el punt de partida.
No obstant això, comprovar les millors pràctiques de seguretat i rendiment dels connectors de tercers és una bona idea perquè beneficiarà els usuaris de WordPress i els visitants del lloc.
Citacions
Resum de la reunió de l’equip de rendiment amb enllaç a la proposta
Resum de la reunió de l’equip de rendiment de WordPress
Llegiu la proposta del verificador de connectors
Proposta: verificador de connectors de WordPress (Google Docs)
Imatge destacada: Mr.Exen/Shutterstock
