Los complementos desactivados son agujeros de seguridad: ¿rumores o realidad?

10

He leído muchos artículos del blog de seguridad de WordPress donde los expertos en seguridad recomiendan algunos pasos especiales para tener cuidado cuando alguien está preocupado por la seguridad de su sitio de WordPress. Uno de ellos es:

Consejos de seguridad de WordPress:
elimine complementos innecesarios que no estén en uso.

Un complemento que tiene agujeros de seguridad, ya sea por código, estructura o conexiones db, puede ser fatal para un sitio incluso si está activado en un sitio. Por otro lado, un complemento bien estructurado, bien codificado y conectado de forma segura a db puede no tener un agujero de seguridad incluso cuando está desactivado. Entonces, ¿dónde está exactamente el problema?

Tengo un sitio donde hay algunos complementos que uso ocasionalmente. En realidad no quiero eliminarlos, pero cuando no son necesarios, simplemente los desactivo del sitio. ¿Debo eliminarlos para asegurar mi sitio? Si es así, ¿por qué?

plugins  security 
Mayeenul Islam
fuente
2
Esto es un poco como preguntar "¿Qué puede salir mal con un helicóptero?" Bueno, alrededor de un millón de cosas diferentes. Estoy seguro de que podría escribir un complemento que sería peligroso incluso desactivado y debe haber muchas formas diferentes de hacerlo. ¿Cual es el problema? Bueno, ¿qué es el complemento? Simplemente elimine lo que no está usando. Cobertura de sus apuestas.
s_ha_dum
1
Lo más probable es que esto lleve a respuestas lejanas a ser una pregunta válida, pero en mi opinión, los complementos son solo un problema de seguridad si están mal programados. Pero eso es básicamente lo mismo que el mito de que los complementos son generalmente malos para el rendimiento.
Nicolai

Respuestas:

15

Un complemento que tiene agujeros de seguridad es un problema, esté o no activado. Aquí hay algunas razones por las que a menudo se recomienda eliminar los complementos que no está utilizando.

  1. Si tiene complementos que no está utilizando, a menudo no le importa mantenerlos actualizados. Como resultado, no recibirán actualizaciones de seguridad, y eso será una vulnerabilidad en su sitio. La gente a menudo piensa que un complemento que no se está ejecutando no puede afectar negativamente a su sitio, pero en el caso de la seguridad, un atacante puede explotar un agujero de seguridad en un complemento que está instalado, incluso si no está activado.

  2. Piensa por qué el complemento no se está ejecutando en primer lugar. Si es un complemento que usa regularmente, y solo lo enciende y apaga según sea necesario, está bien. Sin embargo, podría ser un complemento que no funcionó correctamente o que ya no se mantiene. Esta segunda categoría de complementos es especialmente un problema para la seguridad, ya que a menudo son la fuente de agujeros de seguridad.

Si sus complementos desactivados se mantienen activamente y se mantienen actualizados, no son un problema. Pero si tiene complementos instalados que no se utilizan y no se actualizan, es mejor eliminarlos.

Ben Miller - Recuerda a Monica
fuente
6

He visto algunos complementos bastante malos, algunos pueden incluir scripts independientes que pueden ser vectores de ataque y no actualizarlos o eliminarlos pueden dejarlo abierto para atacar.

Los complementos deshabilitados de repositorios de terceros no recibirán notificaciones de actualización porque deben activarse para que se ejecute su código de verificación de actualización. Por lo tanto, si se descubre una vulnerabilidad en un complemento que está deshabilitado, no se enviará ninguna notificación de actualización, pero los hackers sabrán probarla.

He visto un sitio que había sido atacado varias veces a través de un ataque de inyección SQL realizado a través de un complemento de plantilla de galería que se había eliminado de wordpress.org. Debido a que no había una versión más nueva en el repositorio, no generó ninguna advertencia de que el complemento estaba "desactualizado" / vulnerable a los ataques.

Lo mejor es mantener solo los complementos que están activos y actualizados. También es una buena idea hacer un seguimiento de los avisos de vulnerabilidad y una matriz de complementos que están instalados en qué sitios para que pueda reaccionar ante una amenaza antes de que se convierta en un problema. Miro este feed RSS para vulnerabilidades relacionadas con WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
fuente
Usted dijo: "Los complementos deshabilitados de repositorios de terceros no recibirán notificaciones de actualización porque deben activarse para que se ejecute su código de verificación de actualización". No estoy de acuerdo, porque he visto muchos complementos del repositorio de WP, están solicitando sus actualizaciones, aunque están deshabilitados. No se como ???
Mayeenul Islam
3
Los complementos deshabilitados de wordpress.org mostrarán actualizaciones, pero los complementos de repositorios de terceros (por ejemplo, formularios de gravedad, complementos de WooThemes, etc.) no pueden buscar actualizaciones a menos que estén activadas; se conectan a la verificación de actualización de complementos para ejecutar algunas código para consultar el repositorio remoto y no puede hacerlo si están deshabilitados.
webaware
2

Si revisa sus registros de errores, verá máquinas que escanean su sitio en busca de complementos con agujeros de seguridad, por lo que no importa si los complementos están activados o no, ya que irán directamente a los archivos problemáticos y no intentarán acceder a ellos a través de su instalación de WP per se.

Dave Fitch
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.