Cách kiểm tra hiệu suất và độ an toàn của plugin WordPress

Không thể phủ nhận rằng plugin mang lại vô số tiện ích cho website WordPress của bạn. Tuy nhiên, việc lựa chọn và cài đặt chúng cần được cân nhắc kỹ càng bởi plugin có thể chứa virus, mã độc, hoặc ảnh hưởng đến tốc độ tải trang. Để kiểm tra xem plugin có làm chậm trang web hay chứa mã độc hay không, nhất là một plugin mới tạo và chưa được kiểm chứng rộng rãi, bạn có thể sử dụng các công cụ và làm theo các cách dưới đây.

Nhưng trước tiên, đừng vội cài plugin vào trang web nhé. Hãy cài thử nó vào một trang test và chúng ta sẽ thử tốc độ và độ an toàn của plugin trên trang đó.

Kiểm tra độ an toàn của plugin WordPress

Dùng các công cụ online

WPSec là một công cụ đắc lực để quét trang web WordPress xem nó có được bảo vệ khỏi những mối nguy hiểm hay không.

Trước hết, bạn truy cập vào đây, sau đó nhập địa chỉ trang web và click Start Scan. Nhớ là bạn phải tick vào phần Term of use nữa nhé.

WPSec là một công cụ đắc lực để quét trang web WordPress xem nó có được bảo vệ khỏi những mối nguy hiểm hay không.

Sau khi quét xong, công cụ này sẽ trả về kết quả xem trang của bạn có an toàn không, có bao nhiêu yếu tố gây nguy hiểm. Ví dụ như trang của mình rất an toàn. Để nhận thông báo chi tiết về vấn đề an toàn của trang web, bạn có thể đăng ký tài khoản (miễn phí) trên WPSec.

Bạn có thể đăng ký một tài khoản WPSec miễn phí để thường xuyên nhận được thông báo về các cảnh báo bảo mật trang web.

Như vậy bạn có thể thường xuyên kiểm tra xem các vấn đề về website và các plugin bạn dùng có ảnh hưởng gì đến website không.

Dashboard của WPSec cho bạn biết các vấn đề của trang web của bạn, đâu là plugin không được bảo mật.

Dùng một plugin khác để kiểm tra

Dùng một plugin để kiểm tra một plugin khác nghe tưởng chừng vô lý nhưng lại khá thuyết phục.

Bạn nên chọn các plugin uy tín như Wordfence Security và Log HTTP Requests.

Wordfence Security khá nổi tiếng và là một trong các plugin được yêu thích trong việc thanh tẩy, phát hiện mã độc trên website WordPress. Bạn chỉ cần cài đặt và kích hoạt Wordfence Security miễn phí từ Dashboard. Sau khi kích hoạt plugin, truy cập vào menu Wordfence mới xuất hiện. Trong giao diện của Wordfence Security như dưới đây, click Start New Scan.

Wordfence Security khá nổi tiếng và là một trong các plugin được yêu thích trong việc thanh tẩy, phát hiện mã độc trên website WordPress.

Sau khi quét xong, plugin Wordfence Security liệt kê các vấn đề có trên trang web của bạn như dưới đây, bao gồm vấn đề với các plugin trên trang. Hãy click vào hình kính lúp để biết chi tiết về lỗi bảo mật hoặc các vấn đề với plugin mà bạn cần kiểm tra nhé.

Wordfence Security sẽ quét và liệt kê các vấn đề về bảo mật về website bao gồm các vấn đề từ plugin.

Ví dụ như Meta Box không có vấn đề gì về bảo mật hay mã độc cả và bạn chỉ cần update nó thôi. Nếu có vấn đề khác thì Wordfence Security sẽ báo cho bạn biết để bạn cân nhắc về việc sử dụng plugin đó hay không.

Wordfence Security cho phép xem chi thông tin chi tiết của từng vấn đề bảo mật mà nó tìm thấy.

Tiếp theo, nếu dùng plugin Log HTTP Requests, bạn có thể xem tất cả các request HTTP, AJAX request, những data nào của trang web đang được gửi đi, …

Log HTTP Requests cho phép xem   tất cả các request HTTP, AJAX request, những data nào của trang web đang được gửi đi, …

Khi cài xong, plugin sẽ log dữ liệu các request, bạn vào Tools > Log HTTP Request để xem các dữ liệu này:

Plugin Log HTTP Requests sẽ log dữ liệu các request.

Từ đây, bạn có thể biết được plugin bạn đang sử dụng sẽ truyền đi hoặc lấy về những loại dữ liệu gì, có đảm bảo an toàn cho các dữ liệu quan trọng trên website của bạn hay không.

Kiểm tra các đoạn mã lạ trong plugin

Cuối cùng, hãy tìm cách kiểm tra xem có các ký tự lạ nào trong plugin, hoặc các đoạn code có kết nối đến các site khác không. 

Ví dụ, nếu plugin của bạn chứa các mã như ảnh sau thì bạn nên xem xét nhé:

Kiểm tra phần code của plugin xem xem có các ký tự lạ nào hay các đoạn code có kết nối đến các site khác không.

Dùng công cụ RIPS

Bạn có thể dùng công cụ RIPS. Công cụ này cho phép bạn kiểm tra xem plugin bạn dùng có phải là bản lậu (null) hay không và có chứa mã độc không. RIPS sẽ scan và check các file PHP xem có nguy hại gì không và sau đó sẽ thông báo cho bạn biết. Sau đây là các bước sử dụng RIPS để scan plugin:

Bước 1: download tool tại đây.

Bước 2: Giải nén vào thư mục gốc của web

Bước 3: Vào domain/rips để quét.

Kiểm tra plugin có làm chậm trang web hay không

Để xem plugin có làm chậm trang web không, công cụ GTmetrix và Pingdom sẽ giúp bạn. Nhưng lưu ý là các tool này không liệt kê ra plugin nào gây ra vấn đề về hiệu suất trang đâu. Vậy nên, bạn cũng cần kết hợp với cả việc truy xuất cụ thể đến các file CSS/JS của plugin để kiểm tra xem vấn đề có thực sự là do plugin đó hay không nữa nhé.

Dùng GTmetrix

Truy cập GTmetrix tại đây và nhập tên trang test của bạn vào, sau đó click Test Your Site và chờ một lúc để công cụ này quét.

Sử dụng GTmetrix để kiểm tra tốc độ website

Sau khi quét xong, kéo xuống dưới phần Top Issues, bạn sẽ thấy các vấn đề được liệt kê từ High (ảnh hưởng lớn đến tốc độ trang), Med-Low (ảnh hưởng trung bình đến tốc độ trang), và Low (ít ảnh hưởng trung bình đến tốc độ trang). Hãy xem trong số những vấn đề ảnh hướng lớn đến tốc độ tải trang có bao gồm các file thuộc plugin bạn đang dùng không nhé. Để hiểu kĩ hơn về chi tiết của vấn đề, bạn có thể click vào mũi tên bên cạnh.

GTmetrix liệt kê tất cả các vấn đề khiến trang web của bạn có tốc độ / hiệu suất thấp

Dùng Pingdom

Sử dụng Pingdom để kiểm tra tốc độ / hiệu suất trang web của bạn và cách các plugin ảnh hưởng đến nó.

Nhập tên website lên Pingdom để quét. Khi có kết quả thì bạn kéo xuống dưới phần Improve page performance, tool sẽ đánh giá và cho điểm tốc độ trang web từ 0 đến 100. Sau đó, bạn hãy click vào biểu tượng mũi tên bên cạnh phần có điểm thấp, ví dụ như điểm F ở dưới đây, để tìm hiểu xem vấn đề nằm ở đâu nhé.

Pingdom cung cấp danh sách các sự cố khiến trang web của bạn có tốc độ / hiệu suất thấp.

Kiểm tra các tệp css/js không dùng đến

Ngoài hai công cụ trên, hãy tận dụng console của trình duyệt để xem resource (các file CSS/JS) của plugin để kiểm tra nhé.

Bạn bật tool coverage ở Chrome Dev tools > chọn nút ba chấm > More tools > Coverage và xem có nhiều file css/jss không dùng đến hay không.

Mình đã có bài hướng dẫn xóa các file css/js không dùng đến, bạn đọc ở đây nhé.

Tìm các tệp css / js không sử dụng và xóa để cải thiện tốc độ và hiệu suất trang web

Các cách khác 

Nếu như bạn thuê một developer tạo plugin cho bạn và plugin này chưa được tải lên wordpress.org, bạn có thể thử tải lên. Các tester của wordpress.org sẽ review plugin này xem có mã độc hay virus không.

Ngoài ra, có thể thử join vào các group cộng đồng để nhờ các developer nhiều kinh nghiệm kiểm tra thử xem.

Kết luận

Có khá nhiều cách để kiểm tra liệu một plugin có ảnh hưởng đến tốc độ website WordPress hay có an toàn để sử dụng hay không. Hãy check thật kỹ trước khi sử dụng plugin nhé. Đặc biệt, hãy sử dụng plugin được phát triển bởi các công ty, developer uy tín, và update plugin thường xuyên để nhận được phiên bản tốt nhất, bảo mật nhất từ nhà sản xuất.

Để lại bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *