Plugins desativados são buracos de segurança - boato ou realidade?

10

Li muitos artigos do blog WordPress Security, nos quais os especialistas em segurança recomendam algumas etapas especiais para tomar cuidado quando alguém estiver preocupado com a segurança do site WordPress. Um deles é:

  

Dicas de segurança do WordPress:
Remova plug-ins desnecessários, que não estão em uso.

Um plug-in que tenha falhas de segurança, seja por código, estrutura ou conexões de banco de dados, pode ser fatal para um site, mesmo se estiver ativado em um site. Por outro lado, um plugin bem estruturado, bem codificado e seguramente conectado via db pode não ter uma falha de segurança mesmo quando está desativado. Então, onde está o problema exatamente?

Eu tenho um site onde há alguns plugins que eu uso ocasionalmente. Na verdade, não quero excluí-los, mas quando eles não são necessários, basta desativá-los do site. Preciso excluí-los para proteger meu site e, em caso afirmativo, por quê?

    
por Mayeenul Islam 05.12.2013 / 15:46

3 respostas

13

Um plugin com falhas de segurança é um problema, esteja ou não ativado. Então, aqui estão algumas razões pelas quais muitas vezes é recomendado remover plugins que você não está usando.

  1. Se você tiver plug-ins que não está usando, muitas vezes você não se preocupa em mantê-los atualizados. Como resultado, eles não receberão atualizações de segurança, e isso será uma vulnerabilidade em seu site. As pessoas geralmente pensam que um plug-in que não está em execução não afeta negativamente seu site, mas, no caso de segurança, um invasor pode explorar uma falha de segurança em um plug-in instalado, mesmo que não esteja ativado.

  2. Pense no motivo pelo qual o plug-in não está sendo executado. Se é um plugin que você usa regularmente, e você apenas liga e desliga conforme necessário, tudo bem. No entanto, pode ser um plug-in que não funcionou corretamente ou não está mais sendo mantido. Esta segunda categoria de plugins é especialmente um problema para a segurança, pois eles são muitas vezes a fonte de falhas de segurança.

Se seus plug-ins desativados forem ativamente mantidos e mantidos atualizados, eles não serão um problema. Mas se você tiver plugins instalados que não estão sendo usados e não estão sendo atualizados, é melhor removê-los.

    
por Ben Miller 05.12.2013 / 15:58
5

Eu vi alguns plugins muito ruins, alguns podem incluir scripts independentes que podem ser vetores de ataque e não atualizar ou remover esses podem deixá-lo aberto ao ataque.

Os plug-ins desativados de repositórios de terceiros não receberão notificações de atualização porque precisam ser ativados para que seu código de verificação de atualização seja executado. Assim, se uma vulnerabilidade for descoberta em um plug-in desabilitado, nenhuma notificação de atualização será fornecida, mas os hackers saberão como testar isso.

Eu vi um site que havia sido atacado várias vezes por meio de um ataque de injeção de SQL realizado por meio de um plug-in de modelo de galeria que havia sido removido do wordpress.org. Como não havia uma versão mais recente no repositório, ele não gerou nenhum aviso de que o plug-in estava "desatualizado" / vulnerável a ataques.

Melhor manter apenas os plug-ins ativos e atualizados. Também é uma boa ideia controlar os avisos de vulnerabilidade e uma matriz de plugins instalados em quais sites, para que você possa reagir a uma ameaça antes que ela se torne um problema. Eu vejo este feed RSS para vulnerabilidades relacionadas ao WP:

enlace

    
por webaware 28.12.2013 / 01:34
2

Se você verificar seus registros de erros, verá máquinas verificando seu site em busca de plugins com falhas de segurança - portanto, não importa se os plug-ins estão ativados ou não, pois eles irão diretamente para os arquivos problemáticos e não tentarão acessá-los através de sua instalação WP per se.

    
por dave fitch 11.01.2014 / 12:23