I plugin disabilitati sono falle di sicurezza - voci o realtà?

10

Ho letto molti articoli del blog sulla sicurezza di WordPress in cui gli esperti di sicurezza raccomandano alcuni passaggi speciali per prendersi cura di qualcuno che si preoccupa della sicurezza del proprio sito WordPress. Uno di loro è:

Suggerimenti per la sicurezza di WordPress:
rimuovere plug-in non necessari, che non sono in uso.

Un plug-in che presenta falle di sicurezza, per codice, struttura o connessioni db, può essere fatale per un sito anche se è attivato su un sito. D'altra parte, un plug-in ben strutturato, ben codificato e collegato in modo sicuro potrebbe non avere un buco di sicurezza anche quando è disattivato. Allora, dov'è esattamente il problema?

Ho un sito in cui ci sono alcuni plugin che uso di tanto in tanto. In realtà non voglio eliminarli, ma quando non sono necessari li disattivo dal sito. Devo eliminarli per proteggere il mio sito e, in tal caso, perché?

plugins  security 
Mayeenul Islam
fonte
2
È un po 'come chiedere "Cosa può andare storto con un elicottero?" Bene, circa un milione di cose diverse. Sono sicuro di poter scrivere un plugin che sarebbe pericoloso anche disattivato e ci devono essere molti modi diversi per farlo. Qual'è il problema? Bene, qual è il plugin? Rimuovi ciò che non stai utilizzando. Proteggi le tue scommesse.
s_ha_dum,
1
Questo molto probabilmente porta a risposte molto lontane a essere una domanda valida, ma a mio avviso i plugin sono solo un problema di sicurezza se programmati male. Ma questo è fondamentalmente lo stesso del mito secondo cui i plugin sono generalmente dannosi per le prestazioni.
Nicolai,

Risposte:

15

Un plug-in che presenta falle di sicurezza è un problema, indipendentemente dal fatto che sia attivato o meno. Quindi, ecco alcuni motivi per cui si consiglia spesso di rimuovere plugin che non si stanno utilizzando.

  1. Se disponi di plugin che non stai utilizzando, spesso non ti interessa tenerli aggiornati. Di conseguenza, non riceveranno alcun aggiornamento di sicurezza e questa sarà una vulnerabilità sul tuo sito. Le persone spesso pensano che un plug-in che non è in esecuzione non possa influire negativamente sul tuo sito, ma in caso di sicurezza, un utente malintenzionato può sfruttare un buco di sicurezza in un plug-in installato, anche se non è attivato.

  2. Pensa al motivo per cui il plug-in non è in esecuzione in primo luogo. Se si tratta di un plug-in che si utilizza regolarmente e si accende e si spegne solo se necessario, va bene. Tuttavia, potrebbe essere un plug-in che non ha funzionato correttamente o che non viene più gestito. Questa seconda categoria di plugin è particolarmente problematica per la sicurezza, in quanto spesso è la fonte di falle nella sicurezza.

Se i plug-in disattivati ​​vengono mantenuti attivamente e mantenuti aggiornati, non rappresentano un problema. Ma se hai plugin installati che non vengono utilizzati e non vengono aggiornati, è meglio rimuoverli.

Ben Miller - Ricorda Monica
fonte
6

Ho visto alcuni plugin piuttosto scadenti, alcuni possono includere script autonomi che possono essere vettori di attacco e non aggiornarli o rimuoverli può lasciarti aperto agli attacchi.

I plug-in disabilitati dai repository di terze parti non riceveranno notifiche di aggiornamento perché devono essere attivati ​​per l'esecuzione del loro codice di controllo degli aggiornamenti. Pertanto, se viene rilevata una vulnerabilità in un plug-in disabilitato, non verrà fornita alcuna notifica di aggiornamento, ma gli hacker sapranno provarlo.

Ho visto un sito che era stato attaccato più volte attraverso un attacco di iniezione SQL eseguito tramite un plug-in modello di galleria che era stato rimosso da wordpress.org. Poiché non vi era una versione più recente nel repository, non ha generato alcun avviso che il plug-in fosse "obsoleto" / vulnerabile agli attacchi.

Meglio mantenere solo i plugin che sono attivi e mantenuti aggiornati. Inoltre, è consigliabile tenere traccia delle notifiche di vulnerabilità e una matrice di plug-in installati su quali siti in modo da poter reagire a una minaccia prima che diventi un problema. Guardo questo feed RSS per le vulnerabilità legate al WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
fonte
Hai detto: "I plug-in disabilitati dai repository di terze parti non riceveranno notifiche di aggiornamento perché devono essere attivati ​​per l'esecuzione del loro codice di controllo degli aggiornamenti". Non sono d'accordo, perché ho visto molti plugin dal repository WP, stanno richiedendo i loro aggiornamenti, sebbene siano disabilitati. Non so come ???
Mayeenul Islam,
3
I plug-in disabilitati di wordpress.org mostreranno gli aggiornamenti, ma i plug-in dai repository di terze parti (ad esempio Gravity Forms, plug-in di WooThemes, ecc.) Non possono controllare gli aggiornamenti a meno che non siano attivati, si agganciano al controllo degli aggiornamenti dei plug-in per eseguire alcuni codice per interrogare il repository remoto e non può farlo se sono disabilitati.
webaware il
2

Se controlli i log degli errori, vedrai le macchine che eseguono la scansione del tuo sito alla ricerca di plug-in con falle di sicurezza, quindi non importa se i plug-in sono attivati ​​o meno, in quanto andranno direttamente ai file del problema e non tenteranno di accedervi tramite la tua installazione WP di per sé.

Dave Fitch
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.