wake-up-neo.com

Wie prüfe ich Plugins auf bösartigen Code?

Unsere neue Hosting-Firma hat unsere Installation einer Sicherheitskontrolle unterzogen und ich war sehr überrascht, dass ein Premium-Plugin, das wir gekauft hatten (Easy Media Gallery Pro), bösartigen Code enthielt.

(Es mag nur ein Zufall sein, aber unsere Seite wurde gehackt, als wir auf die Pro-Version dieses Plugins upgegradet haben.)

Wie auch immer, ich würde gerne wissen, ob es zuverlässige Dienstprogramme gibt, die eine zuverlässige, unabhängige Sicherheitsprüfung für ein Plugin durchführen können bevor ich es auf meiner Site installiere?

3

Es gibt verschiedene Optionen/Plugins, aber nichts kann Ihnen 100% ige Sicherheit bieten. Das Befolgen bewährter Methoden, tägliche/wöchentliche Sicherungen und das Verwenden von Designs/Plugins, die den bewährten Code-Methoden entsprechen, helfen Ihnen normalerweise dabei, Probleme zu vermeiden. Aber auch hier gibt Ihnen nichts 100% Sicherheit. Bei Plugins können Sie verschiedene ausprobieren, die Ihnen ein wenig Ruhe geben:

Ich habe hauptsächlich mit Wordfence Security gearbeitet, da die meisten von mir verwendeten Plugins aus dem offiziellen Repository WP stammen und einige nützliche Einstellungen enthalten, mit denen Sie den Code Ihres Themes/Ihrer Plugins mit Änderungen direkt mit dem des Themes vergleichen können/Plugins 'Repo und scannen Sie den Code für mögliche Probleme.

Aber auch dies ist keine 100% ige Lösung.

3
denis.stoyanov

Im Moment befinden sich mehr als 30.000 Plugins, die nicht leer sind, im WordPress.org-Repository. Diese Plugins werden zur Aufnahme eingereicht und von Freiwilligen manuell überprüft, bevor sie im Repository verfügbar gemacht werden. Die Aufnahme von Plugins und Themes in das Repository ist keine Garantie dafür, dass sie frei von Sicherheitslücken sind.

Beachten Sie, dass die neuen Plug-in-Updates möglicherweise Sicherheitsprobleme verursachen, auch wenn einige Plug-ins derzeit möglicherweise sicher sind.

Eine großartige Ressource zum Lesen ist: https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline

Wegen der dynamischen Natur der Plugins (lesen Sie: sie werden aktualisiert), denken Sie daran, die Plugins täglich zu überprüfen.

Um eine Prüfung des statischen Plugin-Quellcodes durchzuführen, können die folgenden Tools verwendet werden:

  • RIPS : Ein statischer Quellcode-Analysator für Sicherheitslücken in PHP Skripten

  • PHP-sat : Statische Analyse für PHP

  • Yasca : Es könnte am besten als "verherrlichtes Grep-Skript" plus eine Zusammenstellung anderer Open-Source-Tools beschrieben werden.

Und andere Tools, die auf dem Linux-Befehl grep basieren.

Es gibt auch Tools, die dynamisch (zur Laufzeit) arbeiten, wie Sie möglicherweise im OWASP-Dokument lesen. Dies ist auch wichtig.

Angenommen, einige "fehlerhafte" Plugins enthalten möglicherweise Bilder mit versteckten Daten, die dynamisch in fehlerhafte PHP Codeanweisungen konvertiert werden können.

4
prosti