問題描述
我已經閲讀了許多 WordPress Security 博客文章,其中安全專家建議採取一些特殊的步驟,當有人擔心他/她的 WordPress 網站的安全性時要小心。其中之一是:
WordPress 安全提示:刪除不使用的不必要的插件。
具有安全漏洞的插件 (無論是通過代碼,結構或數據庫連接) 對於網站而言都是致命的,即使它在網站上被激活。另一方面,一個結構良好,編碼良好且安全的 db-connected 插件即使在停用時也可能沒有安全漏洞。那麼問題究竟在哪裏呢?
我有一個網站,有一些我偶爾使用的插件。我實際上不想刪除它們,但是當它們不需要時,我只是從網站停用它們。我需要刪除它們來保護我的網站嗎?為什麼?
最佳解決方案
具有安全漏洞的插件是一個問題,無論它是否被激活。所以這裏有一些原因,通常建議您刪除您沒有使用的插件。
-
如果您沒有使用插件,您通常不會關心更新它們。因此,他們不會得到任何安全更新,這將是您網站上的一個漏洞。人們經常認為,不運行的插件不會對您的網站產生負面影響,但在安全的情況下,攻擊者可以利用安裝的插件中的安全漏洞,即使沒有激活。
-
想想為什麼插件首先沒有運行。如果它是一個你經常使用的插件,你只需要根據需要打開和關閉,這是很好的。但是,它可能是一個沒有正常工作的插件,或者不再被維護。第二類插件尤其是安全問題,因為它們通常是安全漏洞的源頭。
如果您的停用插件被主動維護並且被更新,那麼它們不是問題。但是如果您安裝的插件沒有被使用並且沒有被更新,最好將其刪除。
次佳解決方案
我看到一些非常糟糕的插件,有些可以包括 stand-alone 腳本,可以是攻擊向量,而不是更新或刪除那些可以讓你開放的攻擊。
3rd-party 存儲庫中的已禁用插件將不會收到更新通知,因為需要激活其更新檢查代碼才能運行。因此,如果在禁用的插件中發現漏洞,則不會給出更新通知 – 但是黑客將會知道要測試。
我已經看到一個網站被多次攻擊通過一個已經從 wordpress.org 中刪除的圖庫模板插件進行的 SQL 注入攻擊。因為在存儲庫中沒有更新的版本,它沒有產生任何警告,插件是 「過期的」/容易受到攻擊。
最好只保留活動和不斷更新的插件。跟蹤漏洞通知的好主意,以及安裝在哪些站點上的插件矩陣,以便您可以在遇到問題之前對威脅作出反應。我看這個 RSS 源為 WP-related 漏洞:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
參考文獻
注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。