Отключенные плагины - это дыры в безопасности - слух или реальность?

Я прочитал много статей в блоге по безопасности WordPress, в которых эксперты по безопасности рекомендуют предпринять особые шаги, чтобы позаботиться о безопасности своего сайта WordPress. Один из них является:

Советы по безопасности WordPress:
удалите ненужные плагины, которые не используются.

Плагин, имеющий дыры в безопасности, будь то по коду, структуре или соединениям БД, может быть фатальным для сайта, даже если он активирован на сайте. С другой стороны, хорошо структурированный, хорошо закодированный и надежно подключенный к БД плагин может не иметь дыры в безопасности, даже если он деактивирован. Так в чем же проблема?

У меня есть сайт, где есть несколько плагинов, которые я иногда использую. Я на самом деле не хочу их удалять, но когда они не нужны, я просто деактивирую их с сайта. Нужно ли удалять их, чтобы защитить мой сайт, и если да, то почему?

Плагин, имеющий дыры в безопасности, является проблемой, независимо от того, активирован он или нет. Так вот несколько причин, почему часто рекомендуется удалять плагины, которые вы не используете.

1. Если у вас есть плагины, которые вы не используете, вам часто не нужно постоянно обновлять их. В результате они не получат никаких обновлений безопасности, и это будет уязвимостью на вашем сайте. Люди часто думают, что неработающий плагин не может негативно повлиять на ваш сайт, но в случае безопасности злоумышленник может использовать дыру в безопасности в установленном плагине, даже если он не активирован.

2. Подумайте, почему плагин не работает в первую очередь. Если вы используете этот плагин регулярно и просто включаете и выключаете его по мере необходимости, это нормально. Тем не менее, это может быть плагин, который работает неправильно или больше не поддерживается. Эта вторая категория плагинов представляет особую проблему для безопасности, поскольку они часто являются источником дыр в безопасности.

Если ваши деактивированные плагины активно поддерживаются и обновляются, это не проблема. Но если у вас установлены плагины, которые не используются и не обновляются, лучше удалить их.

Я видел несколько довольно дрянных плагинов, некоторые из которых могут включать в себя автономные скрипты, которые могут быть векторами атаки, а не обновление или удаление тех из них могут оставить вас открытыми для атаки.

Отключенные плагины из сторонних репозиториев не будут получать уведомления об обновлениях, потому что их нужно активировать, чтобы запустить код проверки обновлений. Таким образом, если уязвимость обнаружена в плагине, который отключен, уведомление об обновлении не будет предоставлено - но хакеры будут знать, чтобы проверить его.

Я видел сайт, который несколько раз подвергался атакам с помощью SQL-атаки, выполняемой с помощью плагина шаблона галереи, который был удален с wordpress.org. Поскольку в репозитории не было более новой версии, он не генерировал никаких предупреждений о том, что плагин "устарел" / уязвим для атаки.

Лучше всего сохранять плагины, которые активны и постоянно обновляются. Также неплохо бы отслеживать уведомления об уязвимостях и матрицу плагинов, которые устанавливаются на каких сайтах, чтобы вы могли реагировать на угрозу до того, как она станет проблемой. Я смотрю этот канал RSS на наличие уязвимостей, связанных с WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

Если вы проверите журналы ошибок, вы увидите, что машины сканируют ваш сайт на наличие плагинов с дырами в безопасности - поэтому не имеет значения, активированы ли плагины или нет, поскольку они будут идти прямо к проблемным файлам, а не пытаться получить к ним доступ через Ваш WP установить как таковой.