Плагіни для інвалідів - це отвори в безпеці - слух чи реальність?

Я прочитав багато статей у блозі WordPress Security, де фахівці з питань безпеки рекомендують виконати деякі спеціальні кроки, щоб бути обережними, коли когось турбує безпека сайту WordPress. Один з них:

Поради щодо безпеки WordPress:
видаліть непотрібні плагіни, які не використовуються.

Плагін, який має отвори в захисті, чи за кодом, за структурою чи за DB, може бути фатальним для сайту, навіть якщо він активований на сайті. З іншого боку, добре структурований, добре кодований та надійно підключений до db плагін може не мати отвору у захисті, навіть коли його вимкнено. То де саме питання?

У мене є сайт, де є деякі плагіни, якими я час від часу користуюся. Я фактично не хочу їх видаляти, але коли вони не потрібні, я просто деактивую їх із сайту. Чи потрібно їх видалити, щоб захистити свій сайт, і якщо так, то чому?

Плагін із отворами в безпеці - це проблема, незалежно від того, активована вона чи ні. Ось кілька причин, чому часто рекомендується видаляти плагіни, якими ви не користуєтесь.

1. Якщо у вас є плагіни, якими ви не користуєтесь, вам часто не цікаво їх оновлювати. Як результат, вони не отримають оновлень безпеки, і це стане вразливим для вашого сайту. Люди часто думають, що плагін, який не працює, не може негативно вплинути на ваш сайт, але у випадку безпеки зловмисник може використати отвір для безпеки у встановленому плагіні, навіть якщо він не активований.

2. Подумайте, чому плагін не працює в першу чергу. Якщо це плагін, яким ви користуєтесь регулярно, і ви просто включаєте та вимикаєте за потребою, це добре. Однак це може бути плагін, який не працює належним чином або більше не підтримується. Ця друга категорія плагінів є особливо проблемою для безпеки, оскільки вони часто є джерелом пробілів у безпеці.

Якщо ваші відключені плагіни активно підтримуються та постійно оновлюються, це не є проблемою. Але якщо у вас встановлені плагіни, які не використовуються та не оновлюються, найкраще видалити їх.

Я бачив деякі досить хитрі плагіни, деякі можуть включати окремі сценарії, які можуть бути векторами атаки, а не оновлення або видалення може залишати вас відкритими для атаки.

Відключені плагіни із сторонніх сховищ не отримуватимуть сповіщень про оновлення, оскільки їх потрібно активувати для запуску перевірочного коду оновлення. Таким чином, якщо в плагіні, який вимкнено, виявлено вразливість, повідомлення про оновлення не надсилатиметься - але хакери знають перевірити його.

Я бачив сайт, який кілька разів піддавався атаці через атаку ін'єкцій SQL, виконану через плагін шаблону галереї, який був видалений з wordpress.org. Оскільки в сховищі не було нової версії, він не генерував жодних попереджень про те, що плагін "застарів" / вразливий для атаки.

Краще лише підтримувати активні плагіни та постійно оновлюватись. Також хороша ідея слідкувати за повідомленнями про вразливість та матрицею плагінів, які встановлюються на яких сайтах, щоб ви могли реагувати на загрозу, перш ніж це стане проблемою. Я переглядаю цей RSS-канал на предмет вразливості WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

Якщо ви перевіряєте свої журнали помилок, ви побачите машини, які сканують ваш сайт на додатки з отворами для безпеки - тому не має значення, активовані чи ні плагіни, оскільки вони перейдуть прямо до проблемних файлів, а не намагаються отримати доступ до них через ваш WP встановити сам по собі.