Deaktivierte Plugins sind Sicherheitslücken - Gerücht oder Realität?

10

Ich habe viele WordPress Security-Blog-Artikel gelesen, in denen die Sicherheitsexperten einige spezielle Schritte empfehlen, um vorsichtig zu sein, wenn jemand über die Sicherheit seiner WordPress-Site besorgt ist. Einer von ihnen ist:

WordPress-Sicherheitstipps:
Entfernen Sie unnötige Plugins, die nicht verwendet werden.

Ein Plugin mit Sicherheitslücken, sei es durch Code, Struktur oder Datenbankverbindungen, kann für eine Site schwerwiegend sein, selbst wenn es auf einer Site aktiviert ist. Andererseits weist ein gut strukturiertes, gut codiertes und sicher mit der Datenbank verbundenes Plugin möglicherweise keine Sicherheitslücke auf, selbst wenn es deaktiviert ist. Wo genau liegt das Problem?

Ich habe eine Seite, auf der es einige Plugins gibt, die ich gelegentlich benutze. Ich möchte sie eigentlich nicht löschen, aber wenn sie nicht benötigt werden, deaktiviere ich sie einfach von der Site. Muss ich sie löschen, um meine Website zu sichern, und wenn ja, warum?

Mayeenul Islam
quelle
2
Dies ist ein bisschen wie die Frage "Was kann mit einem Hubschrauber schief gehen?" Nun, ungefähr eine Million verschiedene Dinge. Ich bin sicher, ich könnte ein Plugin schreiben, das selbst bei Deaktivierung gefährlich wäre, und es muss viele verschiedene Möglichkeiten geben, dies zu tun. Was ist das Problem? Nun, was ist das Plugin? Entfernen Sie einfach, was Sie nicht verwenden. Sichern Sie Ihre Wetten ab.
s_ha_dum
1
Dies führt höchstwahrscheinlich dazu, dass weit gefasste Meinungen eine gültige Frage sind, aber meiner Meinung nach sind Plugins nur ein Sicherheitsproblem, wenn sie schlecht programmiert sind. Aber das ist im Grunde das gleiche wie der Mythos, dass Plugins im Allgemeinen schlecht für die Leistung sind.
Nicolai

Antworten:

15

Ein Plugin mit Sicherheitslücken ist ein Problem, unabhängig davon, ob es aktiviert ist oder nicht. Hier sind einige Gründe, warum es oft empfohlen wird, Plugins zu entfernen, die Sie nicht verwenden.

  1. Wenn Sie Plugins haben, die Sie nicht verwenden, ist es Ihnen oft egal, ob Sie sie auf dem neuesten Stand halten. Infolgedessen erhalten sie keine Sicherheitsupdates, und dies ist eine Sicherheitslücke auf Ihrer Website. Die Leute denken oft, dass ein Plugin, das nicht ausgeführt wird, Ihre Site nicht negativ beeinflussen kann. Im Falle der Sicherheit kann ein Angreifer eine Sicherheitslücke in einem installierten Plugin ausnutzen, selbst wenn es nicht aktiviert ist.

  2. Überlegen Sie, warum das Plugin überhaupt nicht ausgeführt wird. Wenn es sich um ein Plugin handelt, das Sie regelmäßig verwenden und das Sie bei Bedarf ein- und ausschalten, ist das in Ordnung. Es könnte sich jedoch um ein Plugin handeln, das nicht richtig funktioniert hat oder nicht mehr gewartet wird. Diese zweite Kategorie von Plugins ist insbesondere ein Sicherheitsproblem, da sie häufig die Ursache für Sicherheitslücken sind.

Wenn Ihre deaktivierten Plugins aktiv gepflegt und aktualisiert werden, sind sie kein Problem. Wenn Sie jedoch Plugins installiert haben, die nicht verwendet und nicht aktualisiert werden, entfernen Sie sie am besten.

Ben Miller - Erinnere dich an Monica
quelle
6

Ich habe einige ziemlich beschissene Plugins gesehen, einige können eigenständige Skripte enthalten, die Angriffsvektoren sein können, und wenn Sie diese nicht aktualisieren oder entfernen, können Sie für Angriffe offen bleiben.

Deaktivierte Plugins aus Repositorys von Drittanbietern erhalten keine Update-Benachrichtigungen, da sie aktiviert werden müssen, damit der Update-Prüfcode ausgeführt werden kann. Wenn also eine Sicherheitsanfälligkeit in einem deaktivierten Plugin entdeckt wird, wird keine Update-Benachrichtigung ausgegeben - aber Hacker müssen darauf testen.

Ich habe eine Site gesehen, die mehrfach durch einen SQL-Injection-Angriff angegriffen wurde, der über ein Galerie-Vorlagen-Plugin ausgeführt wurde, das von wordpress.org entfernt wurde. Da es keine neuere Version im Repository gab, wurden keine Warnungen generiert, dass das Plugin "veraltet" / anfällig für Angriffe war.

Am besten halten Sie nur Plugins, die aktiv sind und auf dem neuesten Stand gehalten werden. Es ist auch eine gute Idee, Schwachstellenhinweise und eine Matrix von Plugins zu verfolgen, die auf welchen Websites installiert sind, damit Sie auf eine Bedrohung reagieren können, bevor sie zu einem Problem wird. Ich schaue mir diesen RSS-Feed für WP-bezogene Schwachstellen an:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
quelle
Sie sagten: "Deaktivierte Plugins aus Repositorys von Drittanbietern erhalten keine Update-Benachrichtigungen, da sie aktiviert werden müssen, damit der Update-Prüfcode ausgeführt werden kann." Ich war anderer Meinung, da ich viele Plugins aus dem WP-Repository gesehen habe, die nach ihren Updates fragen, obwohl sie deaktiviert sind. Ich weiß nicht wie ???
Mayeenul Islam
3
Deaktivierte Plugins von wordpress.org zeigen Updates an, aber Plugins von Repositorys von Drittanbietern (z. B. Gravity Forms, WooThemes-Plugins usw.) können nur dann nach Updates suchen, wenn sie aktiviert sind. Sie schließen sich der Plugin-Update-Prüfung an, um einige auszuführen Code zum Abfragen des Remote-Repositorys und kann dies nicht tun, wenn sie deaktiviert sind.
Webaware
2

Wenn Sie Ihre Fehlerprotokolle überprüfen, sehen Sie Computer, die Ihre Site nach Plugins mit Sicherheitslücken durchsuchen. Es spielt also keine Rolle, ob Plugins aktiviert sind oder nicht, da sie direkt zu den Problemdateien gehen und nicht versuchen, über diese zuzugreifen Ihre WP-Installation per se.

Dave Fitch
quelle