我读过许多WordPress安全博客文章,其中安全专家建议在有人担心WordPress网站安全时采取一些特殊措施。其中之一是:
WordPress安全提示:
Remove unnecessary plugins, that are not in use.
无论是通过代码、结构还是数据库连接,一个有安全漏洞的插件对于一个站点来说都是致命的,即使它是在一个站点上激活的。另一方面,一个结构良好、编码良好、安全连接db的插件即使停用,也可能没有安全漏洞。那么问题到底在哪里?
我有一个网站,里面有一些我偶尔使用的插件。我其实不想删除它们,但当它们不需要时,我只是从网站上停用它们。我是否需要删除它们来保护我的网站?如果需要,为什么?
最合适的回答,由SO网友:Ben Miller - Remember Monica 整理而成
无论是否激活,有安全漏洞的插件都是一个问题。所以这里有一些原因,为什么经常建议删除您不使用的插件。
如果你有不使用的插件,你通常不关心它们的更新。因此,他们将无法获得任何安全更新,这将是您网站上的一个漏洞。人们通常认为,未运行的插件不会对您的网站产生负面影响,但在安全方面,攻击者可以利用已安装插件中的安全漏洞进行攻击,即使该插件未激活。
想想为什么插件没有运行。如果这是一个你经常使用的插件,你只需要根据需要打开和关闭它,那就好了。然而,它可能是一个工作不正常的插件,或者不再被维护。第二类插件尤其是安全问题,因为它们常常是安全漏洞的来源。
如果停用的插件得到了积极维护并不断更新,那么它们就不是问题。但是,如果您安装了没有被使用和更新的插件,最好将其删除。
SO网友:webaware
我见过一些相当糟糕的插件,有些插件可能包含独立脚本,这些脚本可能是攻击向量,不更新或删除这些脚本可能会让您面临攻击。
来自第三方存储库的禁用插件将不会收到更新通知,因为需要激活它们才能运行更新检查代码。因此,如果在禁用的插件中发现漏洞,则不会发出更新通知,但黑客会知道如何测试该漏洞。
我见过一个网站多次受到SQL注入攻击,该攻击是通过从wordpress中删除的库模板插件执行的。组织。因为存储库中没有更新的版本,所以它没有生成插件“过期”/易受攻击的任何警告。
最好只保留处于活动状态并保持更新的插件。跟踪漏洞通知和安装在哪些站点上的插件矩阵也是一个好主意,这样您就可以在威胁成为问题之前做出反应。我观看此RSS提要以查找与WP相关的漏洞:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
