Plugin yang dinonaktifkan apakah itu lubang keamanan - rumor atau kenyataan?

10

Saya telah membaca banyak artikel blog WordPress Security di mana Pakar Keamanan merekomendasikan beberapa langkah khusus untuk berhati-hati ketika seseorang khawatir tentang keamanan situs WordPress mereka. Salah satunya adalah:

Kiat Keamanan WordPress:
Hapus plugin yang tidak perlu, yang tidak digunakan.

Sebuah plugin yang memiliki lubang keamanan, baik dengan kode, struktur atau koneksi db, dapat berakibat fatal bagi sebuah situs walaupun itu diaktifkan di sebuah situs. Di sisi lain, sebuah plugin yang terstruktur dengan baik, berkode baik, dan aman-db mungkin tidak memiliki celah keamanan bahkan ketika itu dinonaktifkan. Jadi, di mana masalahnya?

Saya memiliki situs di mana ada beberapa plugin yang saya gunakan sesekali. Saya sebenarnya tidak ingin menghapusnya tetapi ketika tidak diperlukan saya hanya menonaktifkannya dari situs. Apakah saya perlu menghapusnya untuk mengamankan situs saya dan jika ya, mengapa?

plugins security Mayeenul Islam
sumber
2
Ini seperti bertanya, "Apa yang salah dengan helikopter?" Ya, sekitar sejuta hal yang berbeda. Saya yakin saya bisa menulis sebuah plugin yang akan berbahaya bahkan dinonaktifkan dan harus ada banyak cara untuk melakukannya. Apa masalahnya? Nah, apa itu plugin? Hapus saja apa yang tidak Anda gunakan. Hedge taruhan Anda.
s_ha_dum
1
Ini kemungkinan besar mengarah ke jauh ke jawaban yang dikemukakan untuk menjadi pertanyaan yang valid, tetapi dalam pendapat saya plugin hanya masalah keamanan jika mereka diprogram dengan buruk. Tapi itu pada dasarnya sama dengan mitos bahwa plugin umumnya buruk untuk kinerja.
Nicolai

Jawaban:

15

Plugin yang memiliki lubang keamanan adalah masalah, apakah itu diaktifkan atau tidak. Jadi, inilah beberapa alasan mengapa sering disarankan untuk menghapus plugin yang tidak Anda gunakan.

  1. Jika Anda memiliki plugin yang tidak Anda gunakan, Anda sering tidak peduli untuk memperbaruinya. Akibatnya, mereka tidak akan mendapatkan pembaruan keamanan apa pun, dan itu akan menjadi kerentanan di situs Anda. Orang-orang sering berpikir bahwa plugin yang tidak berjalan tidak dapat memengaruhi situs Anda secara negatif, tetapi dalam hal keamanan, penyerang dapat mengeksploitasi lubang keamanan di plugin yang diinstal, bahkan jika itu tidak diaktifkan.

  2. Pikirkan mengapa plugin tidak berjalan di tempat pertama. Jika itu adalah plugin yang Anda gunakan secara teratur, dan Anda cukup hidupkan dan matikan sesuai kebutuhan, itu bagus. Namun, itu bisa menjadi plugin yang tidak berfungsi dengan benar, atau tidak lagi dipertahankan. Kategori kedua plugin ini secara khusus merupakan masalah keamanan, karena seringkali merupakan sumber lubang keamanan.

Jika plugin yang dinonaktifkan dinonaktifkan secara aktif dan terus diperbarui, mereka tidak masalah. Tetapi jika Anda memiliki plugin yang terpasang yang tidak digunakan dan tidak diperbarui, yang terbaik adalah menghapusnya.

Ben Miller - Ingat Monica
sumber
6

Saya telah melihat beberapa plugin yang jelek, beberapa dapat menyertakan skrip yang berdiri sendiri yang dapat menjadi vektor serangan dan tidak memperbarui atau menghapusnya dapat membuat Anda terbuka untuk menyerang.

Plugin yang dinonaktifkan dari repositori pihak ke-3 tidak akan menerima pemberitahuan pembaruan karena harus diaktifkan agar kode pemeriksaan pembaruannya dapat berjalan. Dengan demikian, jika kerentanan ditemukan dalam plugin yang dinonaktifkan, tidak ada pemberitahuan pembaruan yang akan diberikan - tetapi peretas akan tahu untuk mengujinya.

Saya telah melihat situs yang telah diserang beberapa kali melalui serangan injeksi SQL yang dilakukan melalui plugin template galeri yang telah dihapus dari wordpress.org. Karena tidak ada versi yang lebih baru di repositori, itu tidak menghasilkan peringatan bahwa plugin itu "ketinggalan zaman" / rentan terhadap serangan.

Yang terbaik hanya menyimpan plugin yang aktif dan terus diperbarui. Juga ide yang baik untuk melacak pemberitahuan kerentanan, dan matriks plugin yang dipasang di situs mana sehingga Anda dapat bereaksi terhadap ancaman sebelum menjadi masalah. Saya menonton umpan RSS ini untuk kerentanan terkait WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

sadar web
sumber
Anda berkata: "Plugin yang dinonaktifkan dari repositori pihak ke-3 tidak akan menerima notifikasi pembaruan karena mereka perlu diaktifkan agar kode pemeriksaan pembaruannya dapat dijalankan." Saya tidak setuju, karena saya telah melihat banyak plugin dari repositori WP, meminta pembaruan mereka, meskipun mereka dinonaktifkan. Saya tidak tahu bagaimana ???
Mayeenul Islam
3
Plugin yang dinonaktifkan dari wordpress.org akan menampilkan pembaruan, tetapi plugin dari repositori pihak ketiga (mis. Formulir Gravity, plugin WooThemes, dll.) Tidak dapat memeriksa pembaruan kecuali jika diaktifkan - mereka terhubung ke pembaruan plugin untuk memeriksa beberapa kode untuk meminta repositori jarak jauh dan tidak dapat melakukannya jika dinonaktifkan.
webaware
2

Jika Anda memeriksa log kesalahan Anda, Anda akan melihat mesin memindai plugin Anda dengan lubang keamanan - jadi tidak masalah jika plugin diaktifkan atau tidak, karena mereka akan langsung menuju ke file masalah, dan tidak mencoba dan mengaksesnya melalui instal WP Anda sendiri.

dave fitch
sumber