Czytałem wiele artykułów na blogu WordPress Security, w których eksperci ds. Bezpieczeństwa zalecają specjalne kroki, aby zachować ostrożność, gdy ktoś jest zaniepokojony bezpieczeństwem swojej witryny WordPress. Jeden z nich jest:
Wskazówki dotyczące bezpieczeństwa WordPress:
Usuń niepotrzebne wtyczki, które nie są używane.
Wtyczka zawierająca luki w zabezpieczeniach, czy to przez kod, strukturę czy połączenia db, może mieć fatalne skutki dla witryny, nawet jeśli jest aktywowana w witrynie. Z drugiej strony dobrze ustrukturyzowana, dobrze zakodowana i bezpiecznie podłączona do bazy danych wtyczka może nie mieć dziury w zabezpieczeniach, nawet jeśli jest dezaktywowana. Więc gdzie dokładnie jest problem?
Mam witrynę, na której od czasu do czasu używam wtyczek. Właściwie nie chcę ich usuwać, ale kiedy nie są potrzebne, po prostu dezaktywuję je ze strony. Czy muszę je usunąć, aby zabezpieczyć moją witrynę, a jeśli tak, to dlaczego?
Odpowiedzi:
Wtyczka z lukami bezpieczeństwa stanowi problem, niezależnie od tego, czy jest aktywowana. Oto kilka powodów, dla których często zaleca się usuwanie wtyczek, których nie używasz.
Jeśli masz wtyczki, których nie używasz, często nie przejmujesz się ich aktualizacją. W rezultacie nie otrzymają żadnych aktualizacji zabezpieczeń, a to będzie usterka w Twojej witrynie. Ludzie często myślą, że wtyczka, która nie działa, nie może negatywnie wpłynąć na twoją witrynę, ale w przypadku bezpieczeństwa osoba atakująca może wykorzystać lukę w zabezpieczeniach zainstalowanej wtyczki, nawet jeśli nie jest aktywowana.
Zastanów się, dlaczego wtyczka nie działa. Jeśli jest to wtyczka, której używasz regularnie, a po prostu włączasz i wyłączasz w razie potrzeby, to jest w porządku. Może to być jednak wtyczka, która nie działała prawidłowo lub nie jest już obsługiwana. Ta druga kategoria wtyczek stanowi szczególny problem dla bezpieczeństwa, ponieważ często są źródłem luk bezpieczeństwa.
Jeśli dezaktywowane wtyczki są aktywnie utrzymywane i są aktualizowane, nie stanowią problemu. Ale jeśli masz zainstalowane wtyczki, które nie są używane i nie są aktualizowane, najlepiej je usunąć.
źródło
Widziałem kilka dość gównianych wtyczek, niektóre mogą zawierać samodzielne skrypty, które mogą być wektorami ataków, a ich brak aktualizacji lub usuwania może pozostawić cię otwartym na atak.
Wyłączone wtyczki z zewnętrznych repozytoriów nie będą otrzymywać powiadomień o aktualizacji, ponieważ należy je aktywować, aby kod sprawdzania aktualizacji mógł działać. W związku z tym, jeśli w wyłączonej wtyczce zostanie wykryta podatność, nie zostanie wyświetlone powiadomienie o aktualizacji - ale hakerzy będą wiedzieć, czy ją przetestować.
Widziałem witrynę, która była wielokrotnie atakowana przez atak wstrzyknięcia SQL przeprowadzony za pomocą wtyczki szablonu galerii, która została usunięta z wordpress.org. Ponieważ w repozytorium nie było nowszej wersji, nie wygenerowało żadnych ostrzeżeń, że wtyczka jest „nieaktualna” / podatna na atak.
Najlepiej, aby wtyczki były aktywne i aktualizowane. Również dobrym pomysłem jest śledzenie powiadomień o lukach w zabezpieczeniach oraz matryca wtyczek instalowanych na poszczególnych witrynach, aby można było reagować na zagrożenie, zanim stanie się ono problemem. Oglądam ten kanał RSS pod kątem luk związanych z WP:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
źródło
Jeśli sprawdzisz dzienniki błędów, zobaczysz maszyny skanujące Twoją witrynę w poszukiwaniu wtyczek z dziurami w zabezpieczeniach - więc nie ma znaczenia, czy wtyczki są aktywowane, czy nie, ponieważ przejdą bezpośrednio do plików z problemami i nie będą próbować uzyskać do nich dostępu Twoja instalacja WP per se.
źródło