问题描述
我已经阅读了许多 WordPress Security 博客文章,其中安全专家建议采取一些特殊的步骤,当有人担心他/她的 WordPress 网站的安全性时要小心。其中之一是:
WordPress 安全提示:删除不使用的不必要的插件。
具有安全漏洞的插件 (无论是通过代码,结构或数据库连接) 对于网站而言都是致命的,即使它在网站上被激活。另一方面,一个结构良好,编码良好且安全的 db-connected 插件即使在停用时也可能没有安全漏洞。那么问题究竟在哪里呢?
我有一个网站,有一些我偶尔使用的插件。我实际上不想删除它们,但是当它们不需要时,我只是从网站停用它们。我需要删除它们来保护我的网站吗?为什么?
最佳解决方案
具有安全漏洞的插件是一个问题,无论它是否被激活。所以这里有一些原因,通常建议您删除您没有使用的插件。
-
如果您没有使用插件,您通常不会关心更新它们。因此,他们不会得到任何安全更新,这将是您网站上的一个漏洞。人们经常认为,不运行的插件不会对您的网站产生负面影响,但在安全的情况下,攻击者可以利用安装的插件中的安全漏洞,即使没有激活。
-
想想为什么插件首先没有运行。如果它是一个你经常使用的插件,你只需要根据需要打开和关闭,这是很好的。但是,它可能是一个没有正常工作的插件,或者不再被维护。第二类插件尤其是安全问题,因为它们通常是安全漏洞的源头。
如果您的停用插件被主动维护并且被更新,那么它们不是问题。但是如果您安装的插件没有被使用并且没有被更新,最好将其删除。
次佳解决方案
我看到一些非常糟糕的插件,有些可以包括 stand-alone 脚本,可以是攻击向量,而不是更新或删除那些可以让你开放的攻击。
3rd-party 存储库中的已禁用插件将不会收到更新通知,因为需要激活其更新检查代码才能运行。因此,如果在禁用的插件中发现漏洞,则不会给出更新通知 – 但是黑客将会知道要测试。
我已经看到一个网站被多次攻击通过一个已经从 wordpress.org 中删除的图库模板插件进行的 SQL 注入攻击。因为在存储库中没有更新的版本,它没有产生任何警告,插件是 「过期的」/容易受到攻击。
最好只保留活动和不断更新的插件。跟踪漏洞通知的好主意,以及安装在哪些站点上的插件矩阵,以便您可以在遇到问题之前对威胁作出反应。我看这个 RSS 源为 WP-related 漏洞:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。