WordPress 禁用插件是安全漏洞 – 谣言还是现实？

问题描述

我已经阅读了许多 WordPress Security 博客文章，其中安全专家建议采取一些特殊的步骤，当有人担心他/她的 WordPress 网站的安全性时要小心。其中之一是：

WordPress 安全提示：删除不使用的不必要的插件。

具有安全漏洞的插件 (无论是通过代码，结构或数据库连接) 对于网站而言都是致命的，即使它在网站上被激活。另一方面，一个结构良好，编码良好且安全的 db-connected 插件即使在停用时也可能没有安全漏洞。那么问题究竟在哪里呢？

我有一个网站，有一些我偶尔使用的插件。我实际上不想删除它们，但是当它们不需要时，我只是从网站停用它们。我需要删除它们来保护我的网站吗？为什么？

具有安全漏洞的插件是一个问题，无论它是否被激活。所以这里有一些原因，通常建议您删除您没有使用的插件。

如果您没有使用插件，您通常不会关心更新它们。因此，他们不会得到任何安全更新，这将是您网站上的一个漏洞。人们经常认为，不运行的插件不会对您的网站产生负面影响，但在安全的情况下，攻击者可以利用安装的插件中的安全漏洞，即使没有激活。
想想为什么插件首先没有运行。如果它是一个你经常使用的插件，你只需要根据需要打开和关闭，这是很好的。但是，它可能是一个没有正常工作的插件，或者不再被维护。第二类插件尤其是安全问题，因为它们通常是安全漏洞的源头。

如果您的停用插件被主动维护并且被更新，那么它们不是问题。但是如果您安装的插件没有被使用并且没有被更新，最好将其删除。

我看到一些非常糟糕的插件，有些可以包括 stand-alone 脚本，可以是攻击向量，而不是更新或删除那些可以让你开放的攻击。

3rd-party 存储库中的已禁用插件将不会收到更新通知，因为需要激活其更新检查代码才能运行。因此，如果在禁用的插件中发现漏洞，则不会给出更新通知 – 但是黑客将会知道要测试。

我已经看到一个网站被多次攻击通过一个已经从 wordpress.org 中删除的图库模板插件进行的 SQL 注入攻击。因为在存储库中没有更新的版本，它没有产生任何警告，插件是 “过期的”/容易受到攻击。

最好只保留活动和不断更新的插件。跟踪漏洞通知的好主意，以及安装在哪些站点上的插件矩阵，以便您可以在遇到问题之前对威胁作出反应。我看这个 RSS 源为 WP-related 漏洞：

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。