WordPress plugin-audit - Så rensar du bort det som saktar ner din sajt
Tips & tricks
Fredrik Eriksson ·

WordPress plugin-audit - Så rensar du bort det som saktar ner din sajt

Varje WordPress-plugin du installerar lägger till kod som körs vid varje sidladdning. Vissa plugins motiverar sin plats utan diskussion, andra har blivit kvar sedan du testade dem för ett år sedan och sedan glömde. Den här guiden ger dig en konkret metod i fem steg för att identifiera vilka plugins som faktiskt kostar dig prestanda eller utgör en säkerhetsrisk, och vad du gör åt det.

Plugin-audit. En metod, inte ett städprojekt

Du installerade ett plugin för att lösa ett problem. Sedan ett till. Och ett till. Det är så det alltid börjar, ett plugin i taget, varje med en bra anledning i stunden. Problemet är att du sannolikt inte minns varför hälften av dem är installerade, och att sajten kanske känns seg utan att du vet vad som är orsaken.

Den här artikeln svarar inte på frågan om hur många plugins som är "för många". Det gör vår FAQ om hur många plugins du kan installera på WordPress. Vad vi gör här är att gå igenom en konkret metod för att avgöra vilka av dina plugins som faktiskt kostar dig prestanda eller utgör en säkerhetsrisk, och vad du ska göra åt det.

En första plugin-audit tar 30-60 minuter beroende på hur många plugins du har. Nästa granskning, om du sparar ett enkelt dokument, tar 15-20 minuter. Det är en investering som betalar sig.

Hela processen i fem steg:

  1. Exportera och kategorisera. Lista alla aktiva plugins och sortera dem i tre grupper: obligatoriska, valfria och överlappande. Avinstallera inaktiverade plugins direkt.
  2. Mät laddtid per plugin. Använd Query Monitor för att se vilka plugins som genererar flest databasförfrågningar och tar längst tid att köra vid varje sidladdning.
  3. Bedöm säkerhetsrisken. Kontrollera senaste uppdateringsdatum, antal aktiva installationer och betyg på WordPress.org för varje plugin.
  4. Besluta och agera. Ta bort direkt, konsolidera med ett befintligt plugin, eller ersätt med ett bättre alternativ. Avinstallera ett i taget och testa sajten emellan.
  5. Sätt en kvartalsvis rutin. Boka in 30 minuter per kvartal och spara din plugin-lista med motivering. Nästa granskning går tre gånger snabbare med en utgångspunkt.

Innan du börjar. Exportera din plugin-lista

Det är frestande att klicka sig igenom adminpanelen direkt och fatta beslut på stående fot. Gör inte det. En exporterad lista ger dig en ögonblicksbild att arbeta utifrån, utrymme att anteckna vid sidan av, och en referenspunkt att jämföra mot vid nästa kvartalsgranskning.

Gå till Plugins > Installerade plugins i WordPress-admin. Kopiera listan till ett kalkylblad med kolumnerna: Plugin-namn, Status (aktiv/inaktiv), Senast uppdaterad, Kategori och Beslut. Du fyller i de tre sista kolumnerna under granskningen.

Gör sedan en omedelbar åtgärd: avinstallera alla inaktiverade plugins innan du börjar. Inaktiverade plugins laddar visserligen inte kod vid sidvisning, men de kan fortfarande innehålla kända sårbarheter som kan utnyttjas. Avaktivering är inte detsamma som avinstallation. Det är en distinktion som gäller genomgående i den här metoden.

Under granskningen sorterar du varje aktivt plugin i en av tre kategorier. Obligatorisk betyder att en kärnfunktion på sajten slutar fungera utan det. Valfri betyder att det är en bekvämlighet eller nice-to-have. Överlappande betyder att det gör liknande saker som ett annat installerat plugin. De överlappande pluginsen är ofta de mest uppenbara kandidaterna för borttagning, vanligtvis rester från att du testade olika lösningar och glömde ta bort det gamla.

Steg 1. Kategorisera varje plugin

Med din lista framför dig börjar du kategorisera varje plugin. Det är inte ett beslut om borttagning ännu, utan ett underlag för de steg som följer. En bra fråga att ställa sig per plugin: "Om jag avinstallerade det här imorgon, vad slutar fungera på min sajt?" Om svaret är "ingenting alls" är det en stark kandidat för borttagning.

Obligatoriska plugins hanterar kärnfunktioner. Några typiska exempel: Yoast SEO som styr titlar och meta-beskrivningar, ett cachningsplugin som WP Super Cache, ett backupplugin som UpdraftPlus, eller ett formulärplugin som är enda kontaktvägen. Dessa ifrågasätts inte i det här steget, men notera dem i listan för att kunna kontrollera dem i säkerhetssteget senare.

Valfria plugins är den kategorin du bör vara mest generös med borttagning i. Social delning, räknare, widgets som sällan används, plugins installerade "för att testa" men aldrig avinstallerade. Klassiska exempel på sådana som brukar dröja kvar är Hello Dolly (medföljer alla nya WordPress-installationer och gör i princip ingenting användbart) och inaktiva page builders som lämnades kvar när du bytte tema. Dessa bör motivera sin existens, och "det kanske kan vara användbart" räcker inte.

Överlappande plugins är alltid en röd flagga. Två cachningsplugins som körs parallellt är inte bara redundant, det riskerar aktiva konflikter. Samma sak gäller ett bildoptimeringsplugin vid sidan av inbyggd bildoptimering i cachningspluginets paket, eller ett plugin för Open Graph-taggar utöver ett SEO-plugin som redan hanterar det. Välj ett och avinstallera det andra. En annan vanlig typ är dubblerade bildoptimeringsplugins, särskilt när man byter till ett nytt cachningsplugin och glömmer att ta bort det gamla.

Märk att "obligatorisk" inte är synonymt med "välkodad" eller "underhållen". Ett plugin kan vara nödvändigt för sajten och ändå vara en säkerhetsrisk. Det är anledningen till att steg 3 finns.

Steg 2. Mät vilka plugins som kostar faktisk laddtid

Det är lätt att gissa sig till vilka plugins som påverkar prestanda. Gissningar är sällan rätt. Det som ser tungt ut kan vara väloptimerat, och det lilla smidiga pluginet du knappt tänker på kan visa sig generera förvånansvärt många databasförfrågningar. Mät istället.

Query Monitor är ett gratis WordPress-plugin tillgängligt på WordPress.org som visar detaljerad information om varje sidladdning direkt i adminfältet. Det visar antal databasförfrågningar, PHP-exekveringstid och vilka plugins som genererar mest arbete per sidvisning. Installera det, genomför granskningen, och avinstallera det sedan. Det är ett diagnostikverktyg, inte ett driftsplugin. Att låta det ligga kvar permanent på en produktionssajt är onödig overhead.

I Query Monitor tittar du på fliken "Queries" sorterad efter tid eller antal förfrågningar. Ett plugin som genererar ovanligt många förfrågningar per sidladdning, eller som har hög exekveringstid, är en kandidat för närmre granskning. Ta inte siffrorna rakt av, dock. En sökfunktion som frågar databasen extensivt är förväntad och motiverad. En enkel delningsknapp som genererar tio databasförfrågningar är ett tecken på dålig kod.

Komplettera Query Monitor med ett sidhastighetstest via Google PageSpeed Insights. Kör testet innan du börjar ta bort plugins och spara resultatet. Kör det sedan igen efter varje borttaget plugin. Det ger dig bekräftelse på att åtgärden faktiskt hjälpte och avslöjar eventuell frontendpåverkan (JavaScript och CSS) som Query Monitor inte ser.

För en bredare genomgång av prestandaoptimering utanför plugin-kontexten, se vår guide om hur du optimerar WordPress för bästa laddtid.

Steg 3. Bedöm om pluginet är en säkerhetsrisk

Plugins är tredjepartskod som körs med hög behörighet i WordPress. En känd sårbarhet i ett plugin kan utnyttjas automatiskt av bottar som systematiskt skannar internet efter sårbara sajter. Det kräver ingen riktad attack mot just dig. Det räcker att pluginet är installerat och sårbart.

Tre konkreta kriterier att kontrollera för varje plugin på WordPress.org:

  1. Senaste uppdateringsdatum. Ett plugin som inte uppdaterats på 12 månader eller mer är en potentiell säkerhetsrisk. Känslighetsgränsen är inte exakt. Ett enkelt plugin med begränsad funktionalitet kan vara stabilt utan täta uppdateringar, medan ett plugin med bred behörighet (formulär, betalning, säkerhet) behöver aktivt underhåll. Använd 12 månader som en röd flagga för vidare granskning, inte som ett automatiskt avinstallationsbeslut.
  2. Antal aktiva installationer. Under 1 000 aktiva installationer kan vara ett nischat verktyg, men i kombination med ett gammalt uppdateringsdatum är det en starkare varningssignal. Hög installationsbas innebär fler ögon på koden och snabbare rapportering av problem.
  3. Betyg och recensioner. Tittar du bara på medelvärdet missar du det viktigaste. Läs de nyaste recensionerna och se om det finns återkommande rapporter om säkerhetsproblem, kompatibilitetsproblem eller utebliven support från utvecklaren.

Värt att notera är att gratis plugins inte är sämre ur säkerhetssynpunkt än betalda. Många av de mest välunderhållna WordPress-pluginsen är gratis och öppen källkod, med ett aktivt community som granskar koden kontinuerligt. Priset är inget mått på säkerhet.

För premiumplugins som inte finns på WordPress.org är tillverkarens changelog och supportforum de primära källorna att kontrollera. Frånvaro av uppdateringar under lång tid gäller som varningssignal även där.

Vill du läsa om generella säkerhetsåtgärder utanför plugin-kontexten, lösenord, tvåfaktorsautentisering och brandväggar, finns det i vår guide om att skydda din WordPress-sajt från hackning.

Steg 4. Besluta och agera. Ersätt, konsolidera eller ta bort

Nu har du ett underlag. Varje flaggat plugin behöver ett beslut. Det finns tre vägar:

  1. Ta bort direkt om pluginet är valfritt, saknar tydlig motivering och inte kan ersättas med något bättre. Avinstallera. Avaktivering räcker inte.
  2. Konsolidera om funktionen redan täcks av ett annat installerat plugin. Avinstallera det överflödiga och verifiera att det kvarvarande faktiskt hanterar uppgiften korrekt.
  3. Ersätt med ett bättre alternativ om pluginet är obligatoriskt men flaggat för säkerhet eller prestanda. Sök ett alternativ med bättre uppdateringshistorik och fler aktiva installationer. Testa ersättaren i en stagingmiljö om du har tillgång till en. Det låter dig kontrollera att bytet inte bryter något på sajten innan ändringen når dina besökare.

Följ en viktig ordning: avinstallera ett plugin i taget och testa sajten efter varje borttagning. Tar du bort fyra plugins på en gång och något slutar fungera vet du inte vilket av dem som var orsaken. Det är ett onödigt besvär att undvika.

Ta en säkerhetskopia innan du börjar. Om ditt webbhotell erbjuder en enklicksbackup, använd den. Om inte, ta en manuell backup via ditt backupplugin. Det är det enda säkerhetsnätet som faktiskt skyddar dig om något går fel.

En detalj som sällan nämns: vissa plugins lämnar kvar tabeller och inställningar i WordPress-databasen efter avinstallation. Det är sällan ett akut problem men ackumuleras med tiden. En databasrensning efter en grundlig plugin-audit är god praxis.

Har du inte tillgång till en stagingmiljö i dag är det värt att veta att WordPress-hosting med inbyggd stagingmiljö gör den här typen av testning märkbart säkrare och snabbare.

Steg 5. Sätt en kvartalsvis plugin-granskning som rutin

Plugin-audit är inte ett projekt du gör en gång och sedan är klar med. WordPress-ekosystemet förändras kontinuerligt. Plugins upphör att underhållas, nya sårbarheter rapporteras, och din sajts behov förändras. En sajt som var välgranskad i januari kan ha nya riskfaktorer i april.

En kvartalsvis rutingranskning kräver inte mer än 15-20 minuter om du sparade din plugin-lista med motivering från förra granskningen. Du börjar med en validerad baseline istället för från noll, och ser direkt om något förändrats sedan sist.

En enkel rutin att följa per kvartal:

  • Uppdatera listan och notera eventuella nya plugins sedan förra granskningen.
  • Kontrollera om plugins som flaggades som "övervaka" har fått uppdateringar.
  • Kör Query Monitor på startsidan och minst en innehållssida för att kontrollera att inga nya prestandaproblem dykt upp.
  • Kontrollera betyg och uppdateringshistorik för plugins med hög behörighet.
  • Ta ett beslut per flaggat plugin: behåll, ersätt eller avinstallera.

Sedan WordPress 5.5 finns inbyggd möjlighet att aktivera automatisk uppdatering per plugin, direkt från plugin-listan i admin. Det är ett bra säkerhetsnät för att hålla nere antalet föråldrade plugins, men det fråntar dig inte ansvaret för att kontrollera kompatibilitet. En stor uppdatering kan ibland bryta funktionalitet på sajten, så det är klokt att ha en stagingmiljö att testa i även om auto-update är aktivt. Aktivera det för plugins med hög säkerhetsbehörighet och kör kvartalsgranskning som ett komplement.

WordPress inbyggda Site Health-verktyg (under Verktyg > Site Health) ger en snabb indikation på plugins med kända problem och kan användas som ett första filter innan du gör en fullständig granskning. Det tar en minut att köra och är en bra startpunkt varje kvartal.

Avsätt 30-45 minuter om plugin-listan har vuxit sedan förra granskningen, eller om det är länge sedan du senast gick igenom den. En välskött lista håller granskningstiden nere.

När plugin-listan är ren men sajten fortfarande är seg

En välgranskad plugin-lista är ett av flera lager i WordPress-prestanda. Om sajten fortfarande är seg efter att pluginsen är optimerade kan flaskhalsen ligga på hostingnivå. Serverhastighet, cachingarkitektur, PHP-version och tillgängliga serverresurser är faktorer du inte kan påverka med plugin-hantering. De styrs av ditt webbhotell.

Skillnaden syns tydligast i jämförelse med ett webbhotell som erbjuder serversidecaching och LiteSpeed-teknik. Oderland är ett bra exempel på ett svenskt webbhotell med serversidecaching inbyggt i standardpaketen. Inleed kör LiteSpeed-servrar med LSCache, vilket kan ge märkbar prestandaförbättring utan att du behöver göra något extra på plugin-nivå. Vill du ha en managed WordPress-lösning med inbyggd stagingmiljö och automatiska uppdateringar är Templ ett alternativ att titta på.

Plugin-audit och hostingoptimering är kompletterande åtgärder. En välgranskad plugin-lista multiplicerar effekten av ett snabbt webbhotell, och ett bra webbhotell gör att varje kvarvarande plugin arbetar effektivare. Börja med plugin-listan, och om sajten fortfarande känns seg efter det, titta på vad ditt webbhotell faktiskt erbjuder i jämförelse med WordPress-optimerade alternativ.

Vill du ta nästa steg i prestandaoptimering utanför plugin-kontexten, bilder, caching, tema och databas, finns det i vår guide om hur du optimerar WordPress för bästa laddtid.