Plugins desativados são brechas de segurança - boatos ou realidade?

10

Eu li muitos artigos do blog WordPress Security, em que os especialistas em segurança recomendam algumas etapas especiais para cuidar quando alguém se preocupa com a segurança do site WordPress. Uma delas é:

Dicas de segurança do WordPress:
remova plugins desnecessários que não estão em uso.

Um plug-in que possui falhas de segurança, seja por código, estrutura ou conexões db, pode ser fatal para um site, mesmo que esteja ativado em um site. Por outro lado, um plug-in conectado ao banco de dados bem estruturado, bem codificado e com segurança pode não ter uma falha de segurança, mesmo quando desativado. Então, onde está exatamente o problema?

Eu tenho um site onde existem alguns plugins que uso ocasionalmente. Na verdade, não quero excluí-los, mas quando eles não são necessários, apenas os desativei do site. Preciso excluí-los para proteger meu site e, em caso afirmativo, por quê?

plugins security Mayeenul Islam
fonte
2
É um pouco como perguntar "O que pode dar errado com um helicóptero?" Bem, cerca de um milhão de coisas diferentes. Tenho certeza de que poderia escrever um plugin que seria perigoso, mesmo desativado, e que deve haver muitas maneiras diferentes de fazer isso. Qual é o problema? Bem, qual é o plugin? Basta remover o que você não está usando. Proteja suas apostas.
s_ha_dum
11
Provavelmente, isso leva a respostas muito opinativas a serem uma pergunta válida, mas, na minha opinião, os plugins são apenas um problema de segurança se estiverem mal programados. Mas isso é basicamente o mesmo que o mito de que os plugins geralmente são ruins para o desempenho.
Nicolai

Respostas:

15

Um plug-in com falhas de segurança é um problema, esteja ele ativado ou não. Então, aqui estão algumas razões pelas quais é recomendável remover plugins que você não está usando.

  1. Se você possui plug-ins que não está usando, geralmente não se preocupa em mantê-los atualizados. Como resultado, eles não receberão nenhuma atualização de segurança e isso será uma vulnerabilidade no seu site. As pessoas geralmente pensam que um plug-in que não está sendo executado não pode afetar negativamente o site, mas, no caso de segurança, um invasor pode explorar uma falha de segurança em um plug-in instalado, mesmo que não esteja ativado.

  2. Pense por que o plug-in não está sendo executado em primeiro lugar. Se for um plug-in que você usa regularmente, e você apenas liga e desliga conforme necessário, tudo bem. No entanto, pode ser um plug-in que não funcionou corretamente ou não está mais sendo mantido. Essa segunda categoria de plug-ins é especialmente um problema de segurança, pois geralmente é a fonte de falhas de segurança.

Se seus plugins desativados são mantidos ativamente e são atualizados, eles não são um problema. Mas se você possui plug-ins instalados que não estão sendo usados ​​e não estão sendo atualizados, é melhor removê-los.

Ben Miller - Lembre-se de Monica
fonte
6

Eu já vi alguns plugins ruins, alguns podem incluir scripts independentes que podem ser vetores de ataque e não atualizar ou removê-los pode deixá-lo aberto ao ataque.

Os plug-ins desabilitados de repositórios de terceiros não receberão notificações de atualização porque precisam ser ativados para que o código de verificação de atualização seja executado. Portanto, se uma vulnerabilidade for descoberta em um plug-in desativado, nenhuma notificação de atualização será fornecida - mas os hackers saberão testá-la.

Eu vi um site que foi atacado várias vezes através de um ataque de injeção de SQL realizado através de um plugin de modelo de galeria que foi removido do wordpress.org. Como não havia uma versão mais recente no repositório, ele não gerou nenhum aviso de que o plug-in estava "desatualizado" / vulnerável a ataques.

É melhor manter apenas os plug-ins ativos e atualizados. Também é uma boa ideia acompanhar os avisos de vulnerabilidade e uma matriz de plug-ins instalados nos sites para que você possa reagir a uma ameaça antes que ela se torne um problema. Eu assisto este feed RSS para vulnerabilidades relacionadas ao WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
fonte
Você disse: "Plugins desabilitados de repositórios de terceiros não receberão notificações de atualização porque precisam ser ativados para que o código de verificação de atualização seja executado". Eu discordei, porque eu vi muitos plugins do repositório WP, estão solicitando suas atualizações, embora estejam desativados. Não sei como ???
Mayeenul Islam
3
Os plug-ins desativados do wordpress.org mostrarão atualizações, mas os plug-ins de repositórios de terceiros (por exemplo, Gravity Forms, plug-ins WooThemes etc.) não podem procurar atualizações a menos que estejam ativados - eles se conectam à verificação de atualização do plug-in para executar alguns código para consultar o repositório remoto e não pode fazer isso se eles estiverem desativados.
Webaware
2

Se você verificar seus logs de erros, verá máquinas examinando seu site em busca de plug-ins com brechas de segurança - portanto, não importa se os plug-ins estão ativados ou não, pois eles vão direto para os arquivos com problemas e não tentam acessá-los via seu WP instala por si só.

Dave Fitch
fonte