Отключенные плагины - они дыры в системе безопасности - слух или действительность?

Я прочитал много статей блога безопасности WordPress, где Специалисты по безопасности рекомендуют некоторым специальным шагам заботиться, когда кто-то обеспокоен их безопасностью сайта WordPress. Один из них:

Рекомендации по безопасности WordPress:
Удалите ненужные плагины, которые не используются.

Плагин, который имеет дыры в системе безопасности, может ли кодом, структурой или соединениями дб, быть фатальным для сайта, даже если он активируется на сайте. С другой стороны, хорошо структурированный, хорошо кодированный, и надежно соединенный с дб плагин не может иметь дыры в системе безопасности, даже когда он деактивируется. Таким образом, где проблема точно?

У меня есть сайт, где существуют некоторые плагины, которые я иногда использую. Я на самом деле не хочу удалять их, но когда они не нужны, я просто деактивирую их от сайта. Я должен удалить их для обеспечения моего сайта и если так, почему?

10
17.09.2018, 11:49
3 ответа

Плагин, который имеет дыры в системе безопасности, является проблемой, активируется ли он. Таким образом, вот некоторые причины, почему часто рекомендуется удалить плагины, которые Вы не используете.

  1. Если у Вас есть плагины, которые Вы не используете, Вы часто не заботитесь о держании в курсе их. В результате они не получат обновлений системы защиты, и это будет уязвимостью на Вашем сайте. Люди часто думают, что плагин, который не работает, не может негативно влиять на Ваш сайт, но в случае безопасности, взломщик может использовать дыру в системе безопасности в плагине, который установлен, даже если это не активируется.

  2. Думайте о том, почему плагин не работает во-первых. Если это - плагин, который Вы регулярно используете, и Вы просто включаете и выключаете по мере необходимости, который прекрасен. Однако это мог быть плагин, который не работал правильно или больше не сохраняется. Эта вторая категория плагинов является особенно проблемой для безопасности, как они часто - источник дыр в системе безопасности.

Если Ваши деактивированные плагины активно сохраняются и держатся в курсе, они не проблема. Но если Вам установили плагины, которые не используются и не обновляются, лучше удалять их.

15
19.02.2020, 22:00

Я видел некоторые довольно дрянные плагины, некоторые могут включать автономные сценарии, которые могут быть векторами атаки и не обновлением, или удаление их может оставить Вас открытыми для нападения.

Отключенные плагины из сторонних репозиториев не получат уведомления об обновлении, потому что они должны быть активированы, чтобы их контрольный код обновления работал. Таким образом, если уязвимость будет обнаружена в плагине, который отключен, то никакое уведомление об обновлении не будет дано - но хакеры будут знать для тестирования на нее.

Я обратился на сайт, который подвергся нападению многократно посредством атаки с использованием кода на SQL, выполненной через шаблонный плагин галереи, который был удален из wordpress.org. Поскольку не было никакой более новой версии в репозитории, это не генерировало предупреждений, что плагин был "устаревший" / уязвимый для нападения.

Лучше всего, чтобы только сохранить плагины, которые активны и держатся в курсе. Также хорошая идея отслеживать уведомления уязвимости и матрицу плагинов, которые установлены, на которых сайтах так, чтобы можно было реагировать на угрозу, прежде чем это станет проблемой. Я наблюдаю этот канал RSS за уязвимостями WP-related:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

5
19.02.2020, 22:00
  • 1
    Вы сказали: "Отключенные плагины из сторонних репозиториев не получат уведомления об обновлении, потому что они должны быть активированы, чтобы их контрольный код обновления работал". Я не согласился, потому что я видел много плагинов из репозитория WP, запрашивают их обновления, хотя они отключены. Я не знаю как??? –  Mayeenul Islam 28.12.2013, 03:13
  • 2
    Отключенные плагины из wordpress.org покажут обновления, но плагины из сторонних репозиториев (например, Формы Силы тяжести, плагины WooThemes, и т.д.) не могут проверить на обновления, если они не активируются - они сцепляются в сменную проверку обновления для выполнения некоторого кода для запросов удаленного репозитория и не могут сделать этого, если они отключены. –  webaware 28.12.2013, 09:06

При проверке журналов ошибок, Вы будете видеть, что машины сканируют Ваш сайт для плагинов с дырами в системе безопасности - таким образом, не будет иметь значения, если плагины активируются или нет, поскольку они перейдут прямо к проблемным файлам и не попытаются получить доступ к ним через Вашу установку WP по сути.

2
19.02.2020, 22:00

Теги

Похожие вопросы