WordPress 停用外掛是安全漏洞 – 謠言還是現實？

問題描述

我已經閱讀了許多 WordPress Security 部落格文章，其中安全專家建議採取一些特殊的步驟，當有人擔心他/她的 WordPress 網站的安全性時要小心。其中之一是：

WordPress 安全提示：刪除不使用的不必要的外掛。

具有安全漏洞的外掛 (無論是透過程式碼，結構或資料庫連線) 對於網站而言都是致命的，即使它在網站上被啟用。另一方面，一個結構良好，編碼良好且安全的 db-connected 外掛即使在停用時也可能沒有安全漏洞。那麼問題究竟在哪裡呢？

我有一個網站，有一些我偶爾使用的外掛。我實際上不想刪除它們，但是當它們不需要時，我只是從網站停用它們。我需要刪除它們來保護我的網站嗎？為什麼？

具有安全漏洞的外掛是一個問題，無論它是否被啟用。所以這裡有一些原因，通常建議您刪除您沒有使用的外掛。

如果您沒有使用外掛，您通常不會關心更新它們。因此，他們不會得到任何安全更新，這將是您網站上的一個漏洞。人們經常認為，不執行的外掛不會對您的網站產生負面影響，但在安全的情況下，攻擊者可以利用安裝的外掛中的安全漏洞，即使沒有啟用。
想想為什麼外掛首先沒有執行。如果它是一個你經常使用的外掛，你只需要根據需要開啟和關閉，這是很好的。但是，它可能是一個沒有正常工作的外掛，或者不再被維護。第二類外掛尤其是安全問題，因為它們通常是安全漏洞的源頭。

如果您的停用外掛被主動維護並且被更新，那麼它們不是問題。但是如果您安裝的外掛沒有被使用並且沒有被更新，最好將其刪除。

我看到一些非常糟糕的外掛，有些可以包括 stand-alone 指令碼，可以是攻擊向量，而不是更新或刪除那些可以讓你開放的攻擊。

3rd-party 儲存庫中的已停用外掛將不會收到更新通知，因為需要啟用其更新檢查程式碼才能執行。因此，如果在停用的外掛中發現漏洞，則不會給出更新通知 – 但是駭客將會知道要測試。

我已經看到一個網站被多次攻擊透過一個已經從 wordpress.org 中刪除的相簿模板外掛進行的 SQL 隱碼攻擊。因為在儲存庫中沒有更新的版本，它沒有產生任何警告，外掛是「過期的」/容易受到攻擊。

最好只保留活動和不斷更新的外掛。跟蹤漏洞通知的好主意，以及安裝在哪些站點上的外掛矩陣，以便您可以在遇到問題之前對威脅作出反應。我看這個 RSS 源為 WP-related 漏洞：

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。