Wyłączone wtyczki to dziury w zabezpieczeniach - plotki czy rzeczywistość?

10

Czytałem wiele artykułów na blogu WordPress Security, w których eksperci ds. Bezpieczeństwa zalecają specjalne kroki, aby zachować ostrożność, gdy ktoś jest zaniepokojony bezpieczeństwem swojej witryny WordPress. Jeden z nich jest:

Wskazówki dotyczące bezpieczeństwa WordPress:
Usuń niepotrzebne wtyczki, które nie są używane.

Wtyczka zawierająca luki w zabezpieczeniach, czy to przez kod, strukturę czy połączenia db, może mieć fatalne skutki dla witryny, nawet jeśli jest aktywowana w witrynie. Z drugiej strony dobrze ustrukturyzowana, dobrze zakodowana i bezpiecznie podłączona do bazy danych wtyczka może nie mieć dziury w zabezpieczeniach, nawet jeśli jest dezaktywowana. Więc gdzie dokładnie jest problem?

Mam witrynę, na której od czasu do czasu używam wtyczek. Właściwie nie chcę ich usuwać, ale kiedy nie są potrzebne, po prostu dezaktywuję je ze strony. Czy muszę je usunąć, aby zabezpieczyć moją witrynę, a jeśli tak, to dlaczego?

plugins  security 
Mayeenul Islam
źródło
2
To trochę jak pytanie „co może pójść nie tak z helikopterem?” Cóż, około miliona różnych rzeczy. Jestem pewien, że mógłbym napisać wtyczkę, która byłaby niebezpieczna, nawet dezaktywowana i musi istnieć wiele różnych sposobów, aby to zrobić. Jaki jest problem? Czym jest wtyczka? Po prostu usuń to, czego nie używasz. Zabezpiecz swoje zakłady.
s_ha_dum,
1
Najprawdopodobniej prowadzi to do daleko posuniętych odpowiedzi, które są ważnym pytaniem, ale moim zdaniem wtyczki są tylko problemem bezpieczeństwa, jeśli są źle zaprogramowane. Ale to w zasadzie to samo, co mit, że wtyczki są generalnie złe dla wydajności.
Nicolai

Odpowiedzi:

15

Wtyczka z lukami bezpieczeństwa stanowi problem, niezależnie od tego, czy jest aktywowana. Oto kilka powodów, dla których często zaleca się usuwanie wtyczek, których nie używasz.

  1. Jeśli masz wtyczki, których nie używasz, często nie przejmujesz się ich aktualizacją. W rezultacie nie otrzymają żadnych aktualizacji zabezpieczeń, a to będzie usterka w Twojej witrynie. Ludzie często myślą, że wtyczka, która nie działa, nie może negatywnie wpłynąć na twoją witrynę, ale w przypadku bezpieczeństwa osoba atakująca może wykorzystać lukę w zabezpieczeniach zainstalowanej wtyczki, nawet jeśli nie jest aktywowana.

  2. Zastanów się, dlaczego wtyczka nie działa. Jeśli jest to wtyczka, której używasz regularnie, a po prostu włączasz i wyłączasz w razie potrzeby, to jest w porządku. Może to być jednak wtyczka, która nie działała prawidłowo lub nie jest już obsługiwana. Ta druga kategoria wtyczek stanowi szczególny problem dla bezpieczeństwa, ponieważ często są źródłem luk bezpieczeństwa.

Jeśli dezaktywowane wtyczki są aktywnie utrzymywane i są aktualizowane, nie stanowią problemu. Ale jeśli masz zainstalowane wtyczki, które nie są używane i nie są aktualizowane, najlepiej je usunąć.

Ben Miller - Pamiętaj Monikę
źródło
6

Widziałem kilka dość gównianych wtyczek, niektóre mogą zawierać samodzielne skrypty, które mogą być wektorami ataków, a ich brak aktualizacji lub usuwania może pozostawić cię otwartym na atak.

Wyłączone wtyczki z zewnętrznych repozytoriów nie będą otrzymywać powiadomień o aktualizacji, ponieważ należy je aktywować, aby kod sprawdzania aktualizacji mógł działać. W związku z tym, jeśli w wyłączonej wtyczce zostanie wykryta podatność, nie zostanie wyświetlone powiadomienie o aktualizacji - ale hakerzy będą wiedzieć, czy ją przetestować.

Widziałem witrynę, która była wielokrotnie atakowana przez atak wstrzyknięcia SQL przeprowadzony za pomocą wtyczki szablonu galerii, która została usunięta z wordpress.org. Ponieważ w repozytorium nie było nowszej wersji, nie wygenerowało żadnych ostrzeżeń, że wtyczka jest „nieaktualna” / podatna na atak.

Najlepiej, aby wtyczki były aktywne i aktualizowane. Również dobrym pomysłem jest śledzenie powiadomień o lukach w zabezpieczeniach oraz matryca wtyczek instalowanych na poszczególnych witrynach, aby można było reagować na zagrożenie, zanim stanie się ono problemem. Oglądam ten kanał RSS pod kątem luk związanych z WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
źródło
Powiedziałeś: „Wyłączone wtyczki z repozytoriów firm trzecich nie będą otrzymywać powiadomień o aktualizacji, ponieważ należy je aktywować, aby działał ich kod sprawdzania aktualizacji”. Nie zgodziłem się, ponieważ widziałem wiele wtyczek z repozytorium WP, monitujących o ich aktualizacje, chociaż są one wyłączone. Nie wiem jak ???
Mayeenul Islam,
3
Wyłączone wtyczki z wordpress.org będą wyświetlać aktualizacje, ale wtyczki z zewnętrznych repozytoriów (np. Formularze Gravity, wtyczki WooThemes itp.) Nie mogą sprawdzać aktualizacji, chyba że zostaną aktywowane - podłączają się do sprawdzania aktualizacji wtyczek, aby uruchomić niektóre kod do zapytania do zdalnego repozytorium i nie może tego zrobić, jeśli są wyłączone.
oprogramowanie internetowe
2

Jeśli sprawdzisz dzienniki błędów, zobaczysz maszyny skanujące Twoją witrynę w poszukiwaniu wtyczek z dziurami w zabezpieczeniach - więc nie ma znaczenia, czy wtyczki są aktywowane, czy nie, ponieważ przejdą bezpośrednio do plików z problemami i nie będą próbować uzyskać do nich dostępu Twoja instalacja WP per se.

Dave Fitch
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.