Siite
Ponuda
Web

Pluginovi koje treba izbaciti s WordPressa (sigurnost)

Audit hrvatskih WordPress stranica — koji pluginovi su rizik, što izbaciti, što zamijeniti. Praktičan vodič za 2026.

Nicklas Dyrmose Autor: Nicklas Dyrmose 16. lipnja 2026. 9 min čitanja

WordPress je u 2026. praktički zaštićen u core-u. 97% napada dolazi kroz pluginove i theme. Pluginovi koji nisu ažurirani 2+ godine su tehnički abandonirani — Google ih označava kao rizik, hakeri ih targetiraju, AZOP ih može tretirati kao GDPR prekršaj.

Iz audita 100+ hrvatskih WordPress stranica: prosječan site ima 47 aktivnih pluginova, od kojih je 12–15 abandonirano ili rizik. Ovaj članak je realan playbook — koji pluginovi su problem, što izbaciti, što zamijeniti.

1. Najjača zabluda — “deaktiviran je dovoljno”

Deaktivirani plugin ostavlja datoteke na serveru. Ako su one vulnerable, automatski boti ih i dalje mogu napasti.

Pravilo: plugin koji ne koristite — brisani, ne samo deaktivirani.

Iznimka: pluginovi koje koristite sezonski (npr. promotion plugin za Božić) — ostavi deaktiviran, ali provjeri da je ažuriran.

2. Kategorije pluginova za izbacivanje

Kategorija 1: Abandonirani

Plugin koji nije ažuriran 24+ mjeseca. Najveći rizik.

Provjera:

  • WordPress.org plugin stranica → “Last updated”
  • Ako je 2+ godine — abandonirani

Često abandonirani pluginovi u HR auditima:

  • Stari SEO pluginovi (All In One SEO Pack starije verzije — prešli su na novi koji je OK)
  • Stari contact form pluginovi (Contact Form 7 OK, neki drugi nisu)
  • Stari slider pluginovi (Layer Slider stari verzije)
  • Stari image gallery pluginovi
  • Stari cache pluginovi (W3 Total Cache je dilemma — često stabilan ali zna biti zapostavljen)
  • Pluginovi za “social share” iz 2018–2020. — gotovo svi abandonirani

Što napraviti: Audit alat: WPScan, Patchstack, Wordfence Premium scan. Identifikacija + zamjena.

Kategorija 2: Bloated multi-purpose

Pluginovi koji rade 20 stvari, ali vam treba samo jedno.

Primjeri:

  • Jetpack — radi sve, ali većinu ne koristite. Ako koristite samo backup ili statistiku → koristite specifičan plugin.
  • Yoast SEO Premium — odličan, ali ako vam ne treba video XML sitemap i premium funkcionalnosti → ostavite Free.
  • WPBakery / Visual Composer — ako koristite samo 5 elemenata → migrate na Gutenberg blokove.

Pravilo: koristite 80% plugina ili ga zamijenite specifičnijim.

Kategorija 3: Performance killeri

Pluginovi koji su pisani prije 5+ godina i utovare 200KB+ JS na svaki page load.

Klasici performance ubojica:

  • Slider Revolution — 800KB+ JS, čak i kad slider nije na stranici
  • WPBakery (svuda na stranici, ne lazy)
  • Disqus Comments — 600KB+ third-party JS
  • Social warfare stara verzija
  • Constant Contact / Mailchimp legacy widgeti

Zamjene:

  • Slider Revolution → native Swiper.js ili Splide
  • WPBakery → Gutenberg blokovi
  • Disqus → vlastiti komentari ili oduzimanje komentara
  • Social share → vlastiti HTML/CSS gumbi
  • Email signup → Fluent Forms ili Brevo native

Kategorija 4: Sigurnosni rizici

Pluginovi s poznatim CVE-jevima koji nisu patched.

Provjera:

  • WPScan baza CVE-jeva
  • Patchstack monitoring (besplatan tier)
  • Wordfence skener

Tipovi koji su povijesno problematični:

  • File manager pluginovi (rizik od arbitrary file upload)
  • Database manager pluginovi (rizik od SQL injection)
  • Backup pluginovi sa public download endpoint-ima
  • Pluginovi koji rade s upload-om (paziti na permissions)

3. Koje pluginove zadržati — i koristiti

Sigurnost (1)

Wordfence Free ili Solid Security (formerly iThemes). Jedan, ne oba.

Caching (1)

WP Rocket (49 USD/god) ili LiteSpeed Cache (besplatan ako server podržava). Jedan.

SEO (1)

Yoast SEO Free ili RankMath Free. Jedan.

Image optimization (1)

ShortPixel ili Imagify. Jedan.

Backup (1)

UpdraftPlus ili BlogVault. Jedan. (Plus, hosting bi trebao imati backup.)

Contact form (1)

Contact Form 7 ili Fluent Forms (jači). Jedan.

Analytics (1)

Site Kit by Google ili MonsterInsights. Jedan.

Ukupno realno: 7–12 aktivnih pluginova za prosječnu MSP stranicu. Ne 35.

4. Audit proces — kako čistiti

Korak 1: Inventura

Lista svih pluginova:

  • Aktivnih
  • Deaktiviranih
  • Datum zadnjeg ažuriranja
  • Aktivni install broj
  • Vulnerabilities (WPScan)

Excel ili Notion sheet.

Korak 2: Klasifikacija

Za svaki plugin:

  • Keep — koristi se aktivno, ažuriran
  • Replace — funkcionalnost ostaje, ali bolji alternative
  • Remove — ne koristi se
  • Investigate — nepoznata svrha

Korak 3: Staging test

Ne brišite na produkciji. Staging environment:

  • Deaktivirajte plugin
  • Test sve glavne funkcionalnosti
  • Ako sve OK — obrišite na produkciji

Korak 4: Brisanje + DB cleanup

Mnoga pluginovi ostavljaju tablice u bazi:

  • Advanced Database Cleaner pokazuje “orphaned tables”
  • Brišite samo nakon backupa

Korak 5: Monitoring

  • Watch Search Console za 404 ili ranking pad
  • Watch error log za 7 dana
  • Watch analytics za conversion changes

5. Šablona — što izbaciti odmah

Po našim auditima, prosječno 8–12 pluginova se može izbaciti odmah:

  1. Stari SEO plugin (prije nego što je Yoast/RankMath dominirao)
  2. Više caching pluginova istovremeno (samo jedan može raditi)
  3. Više security pluginova (konfliktuju)
  4. “Hello Dolly” (default WordPress, beskoristan)
  5. Akismet (ako nemate komentare)
  6. Stari sidebars widgets (replaced by blocks)
  7. Stari gallery pluginovi (Gutenberg gallery block radi)
  8. Social share legacy
  9. Stari analytics pluginovi (Site Kit by Google je standard)
  10. “Maintenance mode” plugin (ne treba uvijek aktivan)

6. Što s pluginovima koji ne smiju biti izbačeni

WooCommerce ekosistem

  • Core WooCommerce — keep
  • Pažljiv audit svih addon-a
  • Migrate s zastarjelih payment gateway-a na podržane (Stripe, Mollie, CorvusPay)

Multilingual

  • WPML i Polylang su standard
  • Migrate s starije verzije ako koristite outdated

Forms

  • Contact Form 7 je OK, ali stari
  • Fluent Forms ili WPForms — modernija opcija
  • Ako koristite custom forme → Gravity Forms za napredne use cases

7. Anti-bloat principi

”Manje je više”

Pravilo: dodajte plugin samo ako:

  1. Funkcionalnost se ne može napraviti u kodu/temi
  2. Plugin ima 100k+ aktivnih instalacija
  3. Ažuriran je u zadnjih 6 mjeseci
  4. Ima 4+ zvjezdice prosjek

Custom code umjesto pluginova

Za jednostavne stvari:

  • Add to functions.php (ako tema podržava child theme)
  • Mu-plugins folder za site-specific kod
  • Code snippets plugin (kontrolirano)

Primjeri što ne treba plugin za:

  • Promijeniti login URL
  • Disable XML-RPC
  • Add custom shortcode
  • Remove emoji scripts
  • Limit revisions

8. Što izbjegavati

  1. Nulled pluginovi — krekirane verzije s backdoor-om. NIKAD.
  2. Pluginovi s lažnim recenzijama — provjerite real install count vs reviews
  3. Premium pluginovi bez aktivnog razvijatelja — provjeri changelog, support forum
  4. Pluginovi koji traže excessive permissions — read-only treba samo read
  5. Trial pluginovi koji ne dezinstaliraju čisto — testirajte uninstall proces

Kratak zaključak

Hrvatska WordPress stranica koja redovno audit-a pluginove tipično vidi:

  • 30–50% manje aktivnih pluginova
  • 20–40% bolji Core Web Vitals
  • Smanjeni sigurnosni rizik
  • Lakše održavanje za developera

Kvartalni audit je standard. Tjedna ažuriranja također.

Ako želite audit vaših WordPress pluginova — 60-min sesija s prijedlogom konkretnih izmjena. Tipično se može izbaciti 8–15 pluginova s vaše stranice.

Neobvezujući razgovor

Spremni za rast vašeg poslovanja?

Dogovorimo kratki razgovor. Pregledat ćemo vašu web stranicu, oglase, SEO i recenzije te vam poslati pisani plan — bez obzira angažirate li nas ili ne.

Zatražite ponuduili nazovite 099 7707 829