悪意のあるコードのためにプラグインをチェックする方法?
私たちの新しいホスティング会社が私たちのインストールでセキュリティチェックを実行し、私たちが購入したプレミアムプラグイン(Easy Media Gallery Pro)が悪意のあるコードを含んでいたことを聞いて非常に驚きました。
(偶然の一致かもしれませんが、そのプラグインのProバージョンにアップグレードした頃に私たちのサイトがハッキングされました。)
とにかく、プラグインの信頼性の高い、独立したセキュリティチェックを実行できるよりも信頼性の高いユーティリティがあるかどうかを知りたいのですが 前に 私のサイトにインストールしますか。
それにはいくつかのオプション/プラグインがありますが、100%セキュリティを提供できるものはありません。良い習慣に従って、毎日/毎週のバックアップと良いコード習慣に従うテーマ/プラグインを使うことは通常あなたがトラブルから逃れるのを助けるでしょう。しかし、何もあなたに100%のセキュリティを与えることはありません。プラグインに関しては、いくつか試してみることができます。
私が使うほとんどのプラグインは公式のWPリポジトリから来ているので、私は主にWordfence Securityを使って作業しています。/pluginsは、潜在的な問題についてコードをレポおよびスキャンします。
しかし、これも100%解決策ではありません。
現時点では事実上、WordPress.orgリポジトリには空ではない約30,000以上のプラグインがあります。これらのプラグインは収録のために送信され、リポジトリで公開する前にボランティアによって手動でレビューされます。リポジトリにプラグインとテーマを含めることは、それらがセキュリティの脆弱性から解放されているという保証ではありません。
現時点でいくつかのプラグインは安全であるかもしれませんが、新しいプラグインの更新はセキュリティ問題をもたらすかもしれないという事実を覚えておいてください。
読むための一つの素晴らしいリソースは以下のとおりです。 https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
プラグインの動的な性質のため(読んでください:それらは更新されます)、毎日プラグインをチェックするように心に留めておいてください。
静的プラグインのソースコード監査を実行するために、以下のツールを使用することができます。
_ rips _ :PHPスクリプトの脆弱性に対する静的なソースコードアナライザ
PHP-sat :PHPの静的解析
Yasca :それは "glorified grep script"と他のオープンソースツールの集まりとして表現されるのが最も良いでしょう。
そしてLinuxのgrepコマンドに基づいた他のツール。
OWASP文書で読むことができるように動的に(ランタイムに)働くツールもあります、そしてこれもまた重要です。
単にいくつかの "悪い"プラグインが動的に悪いPHPコード命令に変換することができる隠されたデータを持つ画像を含むかもしれないと言いましょう。