ปลั๊กอินที่ใช้งานไม่ได้พวกเขากำลังรักษาความปลอดภัยรู - ข่าวลือหรือความจริง?

ฉันได้อ่านบทความบล็อก WordPress Security หลายฉบับที่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำขั้นตอนพิเศษบางอย่างที่ต้องระวังเมื่อมีคนกังวลเรื่องความปลอดภัยของเว็บไซต์ WordPress หนึ่งในนั้นคือ:

เคล็ดลับความปลอดภัยของ WordPress:
ลบปลั๊กอินที่ไม่จำเป็นออกซึ่งไม่ได้ใช้งานอยู่

ปลั๊กอินที่มีช่องโหว่ด้านความปลอดภัยไม่ว่าจะด้วยรหัสโครงสร้างหรือการเชื่อมต่อฐานข้อมูลอาจเป็นอันตรายถึงชีวิตสำหรับไซต์แม้ว่าจะเปิดใช้งานบนไซต์ก็ตาม ในทางตรงกันข้ามปลั๊กอินที่เชื่อมต่อฐานข้อมูลที่มีโครงสร้างดีและเข้ารหัสอย่างดีอาจไม่มีช่องโหว่ด้านความปลอดภัยแม้ว่าจะปิดใช้งานแล้วก็ตาม ดังนั้นปัญหาอยู่ที่ไหน

ฉันมีเว็บไซต์ที่มีปลั๊กอินที่ฉันใช้เป็นครั้งคราว ฉันไม่ต้องการลบ แต่เมื่อพวกเขาไม่ต้องการฉันเพียงแค่ปิดการใช้งานพวกเขาจากเว็บไซต์ ฉันต้องลบออกเพื่อความปลอดภัยของเว็บไซต์หรือไม่และถ้าเป็นเช่นนั้นทำไม

ปลั๊กอินที่มีช่องโหว่ด้านความปลอดภัยเป็นปัญหาไม่ว่าจะเปิดใช้งานหรือไม่ก็ตาม ดังนั้นนี่คือเหตุผลบางประการที่แนะนำให้เอาปลั๊กอินที่คุณไม่ได้ใช้ออก

1. หากคุณมีปลั๊กอินที่ไม่ได้ใช้งานคุณมักจะไม่สนใจที่จะปรับปรุงให้ทันสมัยอยู่เสมอ ดังนั้นพวกเขาจะไม่ได้รับการอัปเดตความปลอดภัยและนั่นจะเป็นจุดอ่อนในเว็บไซต์ของคุณ ผู้คนมักคิดว่าปลั๊กอินที่ไม่ทำงานไม่สามารถส่งผลเสียต่อไซต์ของคุณ แต่ในกรณีของการรักษาความปลอดภัยผู้โจมตีสามารถใช้ช่องโหว่ด้านความปลอดภัยในปลั๊กอินที่ติดตั้งแม้ว่าจะไม่ได้เปิดใช้งานก็ตาม

2. ลองคิดดูว่าทำไมปลั๊กอินไม่ทำงานตั้งแต่แรก หากเป็นปลั๊กอินที่คุณใช้เป็นประจำและคุณเพียงเปิดและปิดได้ตามต้องการก็ถือว่าใช้ได้ อย่างไรก็ตามอาจเป็นปลั๊กอินที่ใช้งานไม่ได้หรือไม่ได้รับการดูแลรักษาอีกต่อไป ปลั๊กอินประเภทที่สองนี้มีปัญหาด้านความปลอดภัยเป็นพิเศษเนื่องจากมักเป็นช่องโหว่ของความปลอดภัย

หากปลั๊กอินที่ปิดใช้งานของคุณได้รับการบำรุงรักษาอย่างแข็งขันและได้รับการอัปเดตแล้วจะไม่มีปัญหา แต่ถ้าคุณติดตั้งปลั๊กอินที่ไม่ได้ใช้งานและไม่ได้รับการอัปเดตควรทำการลบออก

ฉันเคยเห็นปลั๊กอินเส็งเคร็งสวย ๆ บางตัวอาจรวมถึงสคริปต์แบบสแตนด์อโลนที่สามารถโจมตีเวกเตอร์และไม่อัปเดตหรือลบสิ่งเหล่านั้นออกอาจทำให้คุณเปิดการโจมตีได้

ปลั๊กอินที่ถูกปิดใช้งานจากที่เก็บข้อมูลบุคคลที่สามจะไม่ได้รับการแจ้งเตือนการอัปเดตเนื่องจากจะต้องเปิดใช้งานเพื่อให้รหัสตรวจสอบการอัปเดตของพวกเขาทำงาน ดังนั้นหากพบช่องโหว่ในปลั๊กอินที่ปิดใช้งานจะไม่มีการแจ้งเตือนการอัปเดต - แต่แฮกเกอร์จะรู้ว่าต้องทำการทดสอบ

ฉันเคยเห็นไซต์ที่ถูกโจมตีหลายครั้งผ่านการโจมตีการฉีด SQL ที่ดำเนินการผ่านปลั๊กอินเทมเพลตแกลเลอรี่ที่ถูกลบออกจาก wordpress.org เนื่องจากไม่มีรุ่นที่ใหม่กว่าในที่เก็บจึงไม่ได้สร้างคำเตือนใด ๆ ว่าปลั๊กอินนั้นเป็น "ล้าสมัย" / เสี่ยงต่อการถูกโจมตี

ที่ดีที่สุดคือให้ปลั๊กอินที่ใช้งานอยู่และปรับปรุงอยู่เสมอ นอกจากนี้ยังเป็นความคิดที่ดีในการติดตามการแจ้งเตือนช่องโหว่และเมทริกซ์ของปลั๊กอินที่ติดตั้งบนไซต์ที่คุณสามารถตอบโต้การคุกคามก่อนที่จะกลายเป็นปัญหา ฉันดูฟีด RSS นี้สำหรับช่องโหว่ที่เกี่ยวข้องกับ WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

หากคุณตรวจสอบบันทึกข้อผิดพลาดของคุณคุณจะเห็นเครื่องสแกนไซต์ของคุณเพื่อหาปลั๊กอินที่มีช่องโหว่ด้านความปลอดภัย - ดังนั้นจึงไม่สำคัญว่าปลั๊กอินจะเปิดใช้งานหรือไม่เพราะจะไปที่ไฟล์ปัญหาโดยตรงและไม่ลองและเข้าถึงผ่านทาง WP ของคุณติดตั้งต่อ