Các plugin bị vô hiệu hóa có phải là lỗ hổng bảo mật - tin đồn hay thực tế?

Tôi đã đọc nhiều bài viết trên blog về Bảo mật WordPress trong đó các Chuyên gia bảo mật đang đề xuất một số bước đặc biệt cần quan tâm khi ai đó quan tâm đến bảo mật trang web WordPress của họ. Một trong số đó là:

Mẹo bảo mật WordPress:
Loại bỏ các plugin không cần thiết, không được sử dụng.

Một plugin có lỗ hổng bảo mật, cho dù theo mã, cấu trúc hoặc kết nối db, có thể gây tử vong cho một trang web ngay cả khi nó được kích hoạt trên một trang web. Mặt khác, một plugin có kết nối db được cấu trúc tốt, được mã hóa tốt và an toàn có thể không có lỗ hổng bảo mật ngay cả khi nó bị vô hiệu hóa. Vậy vấn đề chính xác ở đâu?

Tôi có một trang web thỉnh thoảng có một số plugin tôi sử dụng. Tôi thực sự không muốn xóa chúng nhưng khi chúng không cần thiết, tôi chỉ cần tắt chúng khỏi trang web. Tôi có cần xóa chúng để bảo mật trang web của mình không và nếu có thì tại sao?

Một plugin có lỗ hổng bảo mật là một vấn đề, cho dù nó có được kích hoạt hay không. Vì vậy, đây là một số lý do tại sao nên loại bỏ các plugin mà bạn không sử dụng.

1. Nếu bạn có các plugin mà bạn không sử dụng, bạn thường không quan tâm đến việc cập nhật chúng. Do đó, họ sẽ không nhận được bất kỳ cập nhật bảo mật nào và đó sẽ là một lỗ hổng trên trang web của bạn. Mọi người thường nghĩ rằng một plugin không chạy không thể ảnh hưởng tiêu cực đến trang web của bạn, nhưng trong trường hợp bảo mật, kẻ tấn công có thể khai thác lỗ hổng bảo mật trong một plugin được cài đặt, ngay cả khi nó không được kích hoạt.

2. Hãy suy nghĩ về lý do tại sao plugin không chạy ở nơi đầu tiên. Nếu đó là một plugin mà bạn sử dụng thường xuyên, và bạn chỉ cần bật và tắt khi cần, điều đó là tốt. Tuy nhiên, nó có thể là một plugin không hoạt động đúng hoặc không còn được duy trì. Loại plugin thứ hai này đặc biệt là một vấn đề đối với bảo mật, vì chúng thường là nguồn gốc của các lỗ hổng bảo mật.

Nếu các plugin bị vô hiệu hóa của bạn được duy trì tích cực và được cập nhật, chúng không phải là vấn đề. Nhưng nếu bạn đã cài đặt các plugin không được sử dụng và không được cập nhật, tốt nhất là xóa chúng.

Tôi đã thấy một số plugin khá nhảm nhí, một số có thể bao gồm các tập lệnh độc lập có thể là các vectơ tấn công và không cập nhật hoặc loại bỏ các plugin có thể khiến bạn mở để tấn công.

Các plugin bị vô hiệu hóa từ kho lưu trữ của bên thứ 3 sẽ không nhận được thông báo cập nhật vì chúng cần được kích hoạt để mã kiểm tra cập nhật của chúng chạy. Do đó, nếu một lỗ hổng được phát hiện trong một plugin bị vô hiệu hóa, sẽ không có thông báo cập nhật nào được đưa ra - nhưng tin tặc sẽ biết để kiểm tra nó.

Tôi đã thấy một trang web đã bị tấn công nhiều lần thông qua một cuộc tấn công SQL SQL được thực hiện thông qua một plugin mẫu thư viện đã bị xóa khỏi wordpress.org. Do không có phiên bản mới hơn trong kho lưu trữ, nên nó không tạo ra bất kỳ cảnh báo nào cho thấy plugin đã "lỗi thời" / dễ bị tấn công.

Tốt nhất chỉ giữ các plugin đang hoạt động và được cập nhật. Ngoài ra, một ý tưởng tốt để theo dõi các thông báo về lỗ hổng và một ma trận các plugin được cài đặt trên các trang web nào để bạn có thể phản ứng với mối đe dọa trước khi nó trở thành vấn đề. Tôi xem nguồn cấp dữ liệu RSS này cho các lỗ hổng liên quan đến WP:

http://rss.pquetstormsecurity.com/search/files/?q=wordpress

Nếu bạn kiểm tra nhật ký lỗi của mình, bạn sẽ thấy các máy quét trang web của bạn có các lỗ hổng bảo mật - vì vậy không có vấn đề gì nếu plugin được kích hoạt hay không, vì chúng sẽ đi thẳng vào các tệp vấn đề và không thử và truy cập chúng qua cài đặt WP của bạn mỗi se.