Wtyczki WordPress, które instalujemy u klientów agencji
Które wtyczki WordPress warto mieć, a których unikać? Lista rozwiązań, które agencja Devance instaluje u klientów — SEO, bezpieczeństwo, szybkość, e-commerce.
Na każdym WordPressie, który trafia pod naszą opiekę, robimy ten sam pierwszy ruch: audyt listy wtyczek. W 80% przypadków wyłącza się połowę. Czasem 70%. Nieużywane formularze, trzy różne wtyczki SEO naraz, stary slider, który nie jest podpięty pod żaden post, plugin do śledzenia ruchu, który ostatni raz zaktualizowano w 2021. Każda z nich to osobny punkt, w którym strona może się wywrócić.
Poniżej lista wtyczek, które instalujemy u klientów domyślnie, warunkowo, albo których odmawiamy — z krótkim uzasadnieniem dla każdej.
Domyślna baza — wszędzie
Rank Math (SEO)
Wybieramy Rank Math zamiast Yoasta nie z fanaberii, tylko dla sensownych schemy. Rank Math domyślnie generuje poprawne Article, Product, FAQPage, LocalBusiness, BreadcrumbList — Yoast w bezpłatnej wersji daje fragment tego, a pełne rich results schowane są w Yoast SEO Premium. Konfiguracja zajmuje godzinę, audyt schema w Search Console wygląda dobrze, wsparcie dla Polski (hreflang, wpis do GSC) jest czytelne.
Jedno „ale”: Rank Math trzyma sporo danych w wp_options (sitemap, konfiguracja 301). Przy dużych sklepach (10 000+ URL) warto co jakiś czas uruchomić narzędzie „Database Tools → Clean up”. Widzieliśmy bazy spuchnięte do 500 MB właśnie z tego powodu.
WP Rocket (cache)
Płacimy — 59 $/rok za jedną licencję wieloprojektową (Infinite, 249 $/rok) rozkłada się szybciej niż roboczogodzina spędzona na walce z darmowym cache’em. W standardzie: cache stron, lazy loading obrazów i iframe’ów, delay JavaScript (crucial dla Core Web Vitals, zwłaszcza INP), minifikacja. Integracja z Cloudflare działa poprawnie.
Nie używamy WP Rocket na hostingach LiteSpeed — tam prosty LiteSpeed Cache (darmowy) wygrywa, bo operuje na poziomie serwera i czyści cache poprawnie po aktualizacji produktów WooCommerce.
Wordfence (WAF i skaner malware)
Darmowa wersja Wordfence wystarcza na większość wdrożeń — firewall, skanowanie plików, 2FA, ograniczenie prób logowania. Premium bierzemy tylko dla sklepów z obrotem > 500 tys. zł/rok — głównie za real-time firewall rules (inaczej dostajesz reguły z 30-dniowym opóźnieniem).
Zwykle dopina się do niego kilka rzeczy z wp-config.php: DISALLOW_FILE_EDIT = true (żeby nie dało się edytować kodu z panelu) i WP_AUTO_UPDATE_CORE = 'minor' (automatyczne drobne aktualizacje rdzenia).
UpdraftPlus (backup — tylko jeśli hosting nie robi dziennych)
UpdraftPlus jest OK jako backup “na wszelki wypadek”, ale nie polegamy wyłącznie na wtyczce. Podstawowy backup to hosting. UpdraftPlus wysyła kopię na zewnętrzny storage (S3 / Backblaze B2 / Google Drive) — to jest druga kopia. Reguła 3-2-1: 3 kopie, na 2 różnych nośnikach, 1 poza lokalizacją.
Jeśli hosting nie ma backupu dziennego i off-site’u — zmieniamy hosting. Serio.
Redirection
Banalna, ale niezastąpiona. Obsługa 301/302/307, logowanie 404 i export do CSV. Przy każdej migracji (zmiana slugów, konsolidacja artykułów, porządek w URL) Redirection robi robotę w 15 minut.
Alternatywa: Rank Math też ma moduł przekierowań. Na małych stronach używamy tego modułu, na większych (> 1000 URL) Redirection osobno — szybciej reaguje i nie zatyka panelu admina.
Warunkowo — w zależności od typu strony
WooCommerce + pakiet integracji płatności
Dla sklepów: WooCommerce, Przelewy24 (oficjalna wtyczka), ewentualnie PayU. Stripe dodajemy przy sprzedaży B2B zagranicznej. Szczegółowo wtyczki e-commerce opisujemy w artykule optymalizacja sklepu WooCommerce.
Do logistyki: Furgonetka albo BaseLinker — zależnie od wolumenu. Powyżej 100 zamówień dziennie BaseLinker ma sens; poniżej — direct Furgonetka.
WPForms Lite albo Fluent Forms (formularze)
Nie używamy Contact Form 7 nowych wdrożeniach. Dlaczego: ładuje jQuery na każdą stronę, brak ochrony antyspamowej w standardzie, edycja w HTML zamiast w UI. WPForms Lite (darmowy) lub Fluent Forms — oba mają drag-and-drop, honeypot + Turnstile, i nie dociągają bibliotek na stronach bez formularza.
Jak zabezpieczyć formularz przed spamem opisaliśmy w osobnym artykule.
WP Mail SMTP
Bezwzględnie na każdym serwisie, który wysyła maile transakcyjne lub powiadomienia. Natywna funkcja wp_mail() w PHP trafia do SPAM-u u 40% odbiorców (brak SPF/DKIM, wysyłka z [email protected]). WP Mail SMTP + konto SendGrid/Postmark/Mailgun z poprawnie ustawionym SPF, DKIM, DMARC — i deliverability rośnie z 60% do 98%.
Advanced Custom Fields (ACF)
Używamy przy każdym custom development. Pro (też jednoprojektowa licencja 49 $/rok) daje Repeater i Flexible Content, dzięki którym content edytor w CMS-ie przypomina strukturalny JSON a nie WYSIWYG wild west.
Kiedy ACF: strona docelowa z sekcjami (nagłówek, opis funkcji, FAQ, wezwanie do działania), własny typ wpisu „Projekt realizacji”, strony usługowe z wieloma modułami.
Imagify / ShortPixel (optymalizacja obrazów)
WP 6.4+ ma natywne generowanie WebP — to pokrywa większość potrzeb. Imagify dodajemy gdy klient wrzuca setki zdjęć miesięcznie (fotograf, e-commerce) i trzeba to zautomatyzować + wymusić WebP/AVIF. Na małych stronach (blog firmowy, 20 obrazów) wystarczy ręczna kompresja przed uploadem i natywna funkcja WP.
Czego nie instalujemy (i dlaczego)
Żadnej „All-in-One WP Security / Migration / Backup / SEO”
Klasyczna pułapka: jedna wtyczka, która „robi wszystko”. W praktyce każdy moduł jest gorszy niż dedykowane rozwiązanie, i wyłączenie jednej funkcji często psuje pozostałe. Dodatkowo — gdy wtyczka „wszystko w jednym” zostanie porzucona przez autora (stało się w 2024 z kilkoma), tracisz naraz SEO, backup i bezpieczeństwo. Nie warte oszczędności 50 $ rocznie.
Jetpack (pełny)
Jetpack to właściwie 30 wtyczek w jednej od Automattic. Ma przyzwoite części (backup VaultPress), ale ładuje ogromną ilość JS na front, nawet jeśli nie używasz większości modułów. Jetpack VaultPress Backup jako osobny plugin — OK, jeśli klient już płaci za Jetpacka. Cały Jetpack — nie.
Elementor (na nowych wdrożeniach)
Do istniejących projektów z Elementorem zostajemy na Elementorze. Do nowych — kierujemy na Gutenberg z ACF / FSE (Full Site Editing). Dlaczego szczegółowo: Gutenberg vs Elementor. W skrócie: Elementor dokłada 200–400 KB JS + CSS na każdą stronę, słabo działa z React-owymi integracjami, i trudno z niego zmigrować później.
Revolution Slider, Slider Revolution, LayerSlider
Wszystkie trzy mają historię krytycznych CVE (Slider Revolution miał RCE w 2014, które latami siało). Jeśli potrzebujesz slidera — Swiper JS zainlinowany jako pół-prosty blok Gutenberga waży 20 KB i nie wymaga update’ów co miesiąc.
Any plugin z „Ocena 3.5/5” albo „ostatnia aktualizacja > 12 miesięcy temu”
Sygnał, że autor stracił zainteresowanie. W WP ekosystemie to kwestia czasu, kiedy coś się zepsuje przy kolejnym update rdzenia.
Co zastępujemy kodem zamiast wtyczek
Im mniej wtyczek, tym lepiej. Wiele rzeczy, które robi typowa wtyczka-jednozadaniowiec, da się zrobić w 20 linijkach w functions.php albo mu-plugin. Kilka typowych:
- „Disable Comments” plugin → 6 linii w
functions.php, filtrujemycomments_openi usuwamy menu z admina. - „Cookie Consent” plugin → custom banner (HTML + CSS + 40 linijek JS) zamiast ciężkiej wtyczki ładującej React. Dodatkowo mamy kontrolę nad tym, co ładuje się przed zgodą (GTM nie pali się, zanim user nie kliknie „Akceptuję”).
- „Login Lockdown” →
wp-config.php+ fail2ban na hostingu. - „Hide WP version” → usunięcie meta z
functions.php, nie plugin.
Sanity check przed każdym deployem
Przed wrzuceniem aktualizacji na produkcję, oprócz standardowego stagingu, sprawdzamy:
- Czy wszystkie aktywne wtyczki były aktualizowane w ciągu 6 miesięcy (WP admin → Plugins filter „updated”).
- Czy żadna wtyczka nie ma CVE w patchstack.com (agregator vuln-ów dla ekosystemu WP).
- Czy
Query Monitorw trybie dev pokazuje < 50 zapytań na stronie głównej i < 100 ms PHP execution.
Query Monitor zresztą polecam każdemu, kto zarządza własnym WP — nie jest to plugin do produkcji, ale na stagingu pokazuje dokładnie, która wtyczka generuje 47 zapytań do bazy na jedno żądanie.
Jeśli na Twojej stronie aktywnych jest > 25 wtyczek, jest co najmniej 40% szans, że część z nich można wyłączyć bez straty funkcjonalności. Przy okazji audytu WordPress robimy taki przegląd zawsze — za darmo, w ramach konsultacji.
Doświadczony WordPress Developer z ponad 14-letnim stażem w tworzeniu zaawansowanych stron i sklepów internetowych. Specjalizuje się w WordPressie, dedykowanych wtyczkach i motywach.
Więcej o autorze
