web-dev-qa-db-ja.com

無効化されたプラグインはセキュリティホールです - 噂か現実か?

私は多くのWordPressセキュリティブログ記事を読みました。そこでは、誰かが彼らのWordPressサイトのセキュリティについて心配しているときに、セキュリティ専門家が注意を払うためのいくつかの特別なステップを推奨しています。そのうちの一つは:

WordPressのセキュリティのヒント:
使用されていない不要なプラグインを削除します。

セキュリティホールのあるプラグインは、コード、構造体、db接続のいずれであろうと、サイト上でアクティブ化されていてもサイトにとって致命的なものになる可能性があります。一方、構造化され、コード化され、安全にデータベースに接続されたプラグインは、非アクティブ化してもセキュリティホールがない可能性があります。それで問題はまさにどこにありますか?

時々使うプラグインがあるサイトがあります。私は実際にはそれらを削除したくありませんが、それらが必要とされないとき私はただサイトからそれらを無効にします。私のサイトを保護するためにそれらを削除する必要がありますか?もしそうなら、なぜですか?

10
Mayeenul Islam

セキュリティホールを持つプラグインは、それがアクティブになっているかどうかにかかわらず問題です。だからここにあなたが使っていないプラグインを削除することがしばしば推奨されるいくつかの理由があります。

  1. 使用していないプラグインがある場合は、それらを常に最新の状態に維持することを気にする必要はありません。結果として、それらはセキュリティの更新を取得することはなく、それはあなたのサイトの脆弱性となるでしょう。実行されていないプラグインがサイトに悪影響を与えることはないと人々はよく考えますが、セキュリティの場合、攻撃者はインストールされているプラ​​グインのセキュリティホールを悪用することができます。

  2. なぜプラグインがそもそも実行されていないのかを考えてください。それがあなたが定期的に使用するプラグインであり、あなたが必要に応じて単にオンとオフを切り替えるなら、それは問題ありません。ただし、正しく機能しなかったプラグイン、または保守されなくなったプラグインの可能性があります。これら2つ目のカテゴリのプラグインは、セキュリティホールの原因となることが多いため、特にセキュリティ上の問題があります。

あなたの無効化されたプラグインが積極的に維持されていて更新され続けているならば、それらは問題ではありません。しかし、使用されておらず更新されていないプラグインがインストールされている場合は、それらを削除するのが最善です。

13
Ben Miller

私はいくつかの非常に厄介なプラグインを見ました、いくつかは攻撃ベクトルであることができるスタンドアロンスクリプトを含むことができて、それらを更新または削除しないことはあなたが攻撃に対してオープンにしておくことができます。

サードパーティのリポジトリから無効化されたプラグインは、アップデートチェックコードを実行するためにアクティブ化する必要があるため、アップデート通知を受け取りません。したがって、無効になっているプラ​​グインで脆弱性が発見された場合、更新通知は表示されません - しかしハッカーはそれをテストすることを知っているでしょう。

私はwordpress.orgから削除されたギャラリーテンプレートプラグインを通して実行されたSQLインジェクション攻撃を通して何度も攻撃されたサイトを見ました。リポジトリには新しいバージョンがなかったため、プラグインが「期限切れ」であったり、攻撃に対して脆弱であるという警告が表示されませんでした。

アクティブで最新の状態に保たれているプラ​​グインのみを保存するのが最善です。また、脆弱性の通知、および問題になる前に脅威に対処できるようにどのサイトにインストールされているプラ​​グインのマトリックスを追跡することをお勧めします。私はWP関連の脆弱性についてこのRSSフィードを見ます。

http://rss.packetstormsecurity.com/search/files/?q=wordpress

5
webaware

エラーログを確認すると、セキュリティホールのあるプラグインをあなたのサイトでスキャンしているマシンが見えるでしょう - 問題のあるファイルに直接アクセスし、それらを経由してアクセスしようとしないのでプラグインが有効かどうかは関係ありません。あなた自身のWPインストール。

2
dave fitch