Ставишь плагин для контактной формы на сайт. Работает. Проходит год - работает. Ещё год - всё ок. А потом в один прекрасный день твой сайт взламывают, вставляют спам-ссылки и Google отправляет тебя в бан. Проверяешь логи - уязвимость в том самом плагине, который ты поставил три года назад и забыл. А его разработчик забросил проект ещё раньше. Добро пожаловать в мир брошенных плагинов WordPress.
По данным официального каталога WordPress.org, там лежит больше 60 000 плагинов. Звучит круто, правда? Но вот статистика, которая отрезвляет: почти 40% из них не получали обновлений больше двух лет. Это не просто забытые проекты - это потенциальные дыры в безопасности твоего сайта.
Почему брошенные плагины - это проблема
WordPress обновляется постоянно. PHP обновляется. Хакеры находят новые уязвимости. А плагин, который последний раз трогали в 2021 году, живёт в той эпохе, когда эти дыры ещё не закрыли.
Представь: разработчик написал плагин, выложил его в каталог, получил пару положительных отзывов и... переключился на другой проект. Или нашёл работу. Или просто забил. Плагин остался в каталоге, люди продолжают его скачивать, а он уже потенциально опасен.
Хакеры это знают. Они специально ищут популярные, но заброшенные плагины. Находят уязвимость, пишут эксплоит, сканируют интернет на наличие сайтов с этим плагином - и вперёд. Массовый взлом по одной дыре.
Как понять, что плагин мёртв
Открываешь страницу плагина в WordPress.org - и смотришь на несколько признаков:
Дата последнего обновления. Если там стоит 2022 год или раньше - это тревожный знак. За два года WordPress обновился несколько раз, PHP тоже. Плагин уже не тестировался с новыми версиями.
Совместимость с WordPress. Если плагин тестировался с версией 5.8, а сейчас уже 6.5 - это красный флаг. Может работать, а может сломаться в любой момент.
Активные установки. Парадокс: бывают популярные мёртвые плагины. Миллион установок, но последнее обновление три года назад. Люди ставят, потому что рейтинг высокий, но не проверяют даты.
Поддержка на форуме. Заходишь в раздел поддержки - а там десятки вопросов без ответов. Автор исчез. Это верный признак, что плагин брошен.
Самые опасные категории плагинов
Не все заброшенные плагины одинаково опасны. Есть категории, где риски критичны:
Плагины безопасности. Ирония в том, что плагины для защиты сайта часто сами становятся дырами. Firewall, anti-spam, защита от брутфорса - если они не обновляются, они бесполезны против новых угроз.
Плагины для форм. Контактные формы, формы заказа, регистрации - через них хакеры любят вбрасывать вредоносный код. Старый плагин с необработанными данными - прямой путь к взлому.
SEO-плагины. Они имеют доступ к генерации контента, мета-тегам, файлам sitemap. Через заброшенный SEO-плагин можно незаметно вставить спам-ссылки или редирект на фишинг.
Плагины для социальных сетей. Кнопки шеринга, виджеты лайков - кажется, что они безобидны. Но если плагин тянет скрипты с внешних серверов, а разработчик забросил проект, эти скрипты могут быть скомпрометированы.
Реальные случаи
В 2022 году обнаружили уязвимость в плагине OptinMonster - популярный инструмент для сбора email. Плагин установлен на миллионах сайтов. Дыра позволяла получить доступ к админке WordPress. Разработчики быстро исправили, но сколько сайтов до сих пор сидят на старой версии?
Плагин ThemeREX Addons - почти 100 000 установок. Обнаружили уязвимость, через которую можно было загрузить вредоносный файл. Патч вышел, но многие владельцы сайтов даже не знают, что у них стоит этот плагин (он часто идёт в комплекте с темами).
Плагин File Manager - удобный файловый менеджер прямо в админке WordPress. В 2020 году нашли критическую дыру, через которую можно было залить shell и получить полный контроль над сервером. Взломали сотни тысяч сайтов. И это был активно поддерживаемый плагин. Представляете, что с брошенными?
Что делать
Проверяй плагины перед установкой. Открыл страницу - глянул дату обновления, почитал отзывы, посмотрел на активность разработчика. Две минуты, которые могут спасти сайт.
Регулярно обновляй установленные плагины. WordPress показывает уведомления - не игнорируй их. Да, иногда обновление ломает вёрстку. Но это лучше, чем взлом.
Удаляй неиспользуемые плагины. Не деактивируй - удаляй. Деактивированный плагин всё равно лежит на сервере, и если в нём есть дыра, хакер её найдёт.
Используй плагины для мониторинга безопасности. Wordfence, Sucuri, iThemes Security - они сканируют сайт на известные уязвимости и предупреждают, если какой-то плагин опасен.
Почему разработчики бросают плагины
Часто это бесплатные проекты. Человек написал плагин для себя, выложил в каталог. Получил пару тысяч скачиваний, обрадовался. А потом понял: поддержка отнимает время, вопросы сыплются, а денег это не приносит. И забросил.
Иногда разработчик просто не может больше поддерживать. Нашёл работу, переехал, сменил сферу деятельности. Плагин остался в каталоге, потому что удалять его никто не заставляет.
Бывает, плагин перестал быть актуальным. Функция, которую он делал, встроили в WordPress. Или появился более удобный аналог. Но старый плагин висит, и люди его скачивают.
WordPress.org не удаляет плагины автоматически. Только если обнаружена критическая уязвимость или поступила жалоба. Так что каталог полон цифровых призраков.
Заключение
40% заброшенных плагинов - это не просто цифра. Это миллионы сайтов, которые сидят на потенциально опасном коде. Большинство владельцев сайтов даже не подозревают, что их плагин уже три года не обновлялся.
Проверяй то, что устанавливаешь. Обновляй то, что используешь. Удаляй то, что не нужно. Три простых правила, которые сильно снижают риск взлома.
А если видишь плагин с датой последнего обновления 2020 год - лучше поищи альтернативу. Даже если он пока работает.