web-dev-qa-db-ja.com

非アクティブな脆弱性Wordpressプラグインはまだ安全ではありませんか?

プラグインをWordPressにインストールするときに、プラグインをアクティブにするか非アクティブにするかを選択できます。

たとえば、最新バージョンがXSSに対して脆弱なプラグインがあり、セキュリティ修正がリリースされるのを待っているとします。プラグインを無効にするか、アンインストールする必要がありますか?何がお勧めですか?

プラグインはPHP(およびその他の)ファイルの束であり、インストールされると、Webサーバー上のディレクトリにあるため、外部から攻撃者によって関数が呼び出された場合、プラグインが「アクティブ」かどうかに関係なく実行されます。WAFからの緩和策またはアクセスを拒否するhtaccessルールを使用して、新しい(安全な)バージョンに更新されるまで、脆弱なファイルへのアクセスをブロックできます。

プラグインをアンインストールし、すべてのファイルを削除することをお勧めします。ただし、Webサイトが変更されすぎて一部の機能をあきらめたくない場合は、削除できません。

5
Fabio

プラグインによって異なりますが、PHPスクリプトを直接呼び出すことができる場合があります(wordpressコードに依存していないか、またはwordpress必要なライブラリ)をロードするステートメント。

Htaccess/server構成を介してファイルへの直接アクセスを効果的にブロックしようとすることができますが、それを回避する方法があります。それを完全に削除することは、一般に、存在しないファイルを実行できないため、一般により良い方法です。

最終的には、脆弱性とそのスクリプトに依存します。

6
ewanm89