wake-up-neo.com

Deaktivierte Plugins sind Sicherheitslücken - Gerücht oder Realität?

Ich habe viele WordPress Security-Blog-Artikel gelesen, in denen die Sicherheitsexperten einige besondere Schritte empfehlen, um vorsichtig zu sein, wenn jemand über die Sicherheit seiner WordPress-Site besorgt ist. Einer von ihnen ist:

WordPress-Sicherheitstipps:
Entfernen Sie nicht benötigte Plugins, die nicht verwendet werden.

Ein Plugin mit Sicherheitslücken, sei es durch Code, Struktur oder Datenbankverbindungen, kann für eine Site schwerwiegend sein, selbst wenn es auf einer Site aktiviert ist. Andererseits hat ein gut strukturiertes, gut codiertes und sicher mit der Datenbank verbundenes Plugin möglicherweise keine Sicherheitslücke, selbst wenn es deaktiviert ist. Wo genau liegt das Problem?

Ich habe eine Site, auf der es einige Plugins gibt, die ich gelegentlich verwende. Ich möchte sie eigentlich nicht löschen, aber wenn sie nicht benötigt werden, deaktiviere ich sie einfach von der Site. Muss ich sie löschen, um meine Website zu schützen, und wenn ja, warum?

10
Mayeenul Islam

Ein Plugin mit Sicherheitslücken ist ein Problem, unabhängig davon, ob es aktiviert ist oder nicht. Aus folgenden Gründen wird häufig empfohlen, nicht verwendete Plugins zu entfernen.

  1. Wenn Sie Plugins haben, die Sie nicht verwenden, ist es Ihnen oft egal, ob Sie diese auf dem neuesten Stand halten. Infolgedessen erhalten sie keine Sicherheitsupdates. Dies ist eine Sicherheitsanfälligkeit auf Ihrer Website. Die Leute denken oft, dass ein Plugin, das nicht ausgeführt wird, Ihre Site nicht negativ beeinflussen kann, aber im Falle der Sicherheit kann ein Angreifer eine Sicherheitslücke in einem installierten Plugin ausnutzen, auch wenn es nicht aktiviert ist.

  2. Überlegen Sie, warum das Plugin überhaupt nicht ausgeführt wird. Wenn es sich um ein Plugin handelt, das Sie regelmäßig verwenden und das Sie bei Bedarf ein- und ausschalten, ist das in Ordnung. Es könnte sich jedoch um ein Plugin handeln, das nicht richtig funktioniert oder nicht mehr gewartet wird. Diese zweite Kategorie von Plugins ist besonders für die Sicherheit ein Problem, da sie häufig die Quelle von Sicherheitslücken sind.

Wenn Ihre deaktivierten Plugins aktiv gepflegt und aktualisiert werden, sind sie kein Problem. Wenn Sie jedoch Plugins installiert haben, die nicht verwendet und nicht aktualisiert werden, sollten Sie diese entfernen.

13
Ben Miller

Ich habe einige ziemlich bescheuerte Plugins gesehen, einige können eigenständige Skripte enthalten, die Angriffsvektoren sein können, und wenn Sie diese nicht aktualisieren oder entfernen, können Sie angreifen.

Deaktivierte Plug-ins aus Repositorys von Drittanbietern erhalten keine Aktualisierungsbenachrichtigungen, da sie aktiviert werden müssen, damit der Aktualisierungsprüfcode ausgeführt werden kann. Wenn eine Schwachstelle in einem deaktivierten Plug-In entdeckt wird, wird keine Update-Benachrichtigung ausgegeben, aber Hacker können dies testen.

Ich habe eine Site gesehen, die mehrfach durch einen SQL-Injection-Angriff angegriffen wurde, der über ein Galerie-Template-Plugin ausgeführt wurde, das von wordpress.org entfernt wurde. Da es keine neuere Version im Repository gab, wurden keine Warnungen generiert, dass das Plugin "veraltet"/anfällig für Angriffe war.

Am besten lassen Sie nur Plugins aktiv und auf dem neuesten Stand. Es ist auch eine gute Idee, Schwachstellenmeldungen und eine Matrix von Plug-ins, die auf den Websites installiert sind, im Auge zu behalten, damit Sie auf eine Bedrohung reagieren können, bevor sie zu einem Problem wird. Ich schaue diesen RSS-Feed nach Sicherheitslücken im Zusammenhang mit WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

5
webaware

Wenn Sie Ihre Fehlerprotokolle überprüfen, sehen Sie, dass Computer Ihre Site nach Plugins mit Sicherheitslücken durchsuchen. Es spielt also keine Rolle, ob Plugins aktiviert sind oder nicht, da sie direkt zu den Problemdateien wechseln und nicht versuchen, über darauf zuzugreifen Ihre WP Installation per se.

2
dave fitch