비활성화 된 플러그인은 보안 허점입니까-소문 또는 현실입니까? 권장하는 WordPress 보안

보안 전문가가 WordPress 사이트의 보안에 대해 걱정할 때주의해야 할 몇 가지 특별한 단계를 권장하는 WordPress 보안 블로그 기사를 많이 읽었습니다. 그들 중 하나는 :

WordPress 보안 팁 :
사용하지 않는 불필요한 플러그인을 제거하십시오.

코드, 구조 또는 DB 연결에 의해 보안 취약점이있는 플러그인은 사이트에서 활성화되어 있어도 사이트에 치명적일 수 있습니다. 다른 한편으로, 잘 구조화되고, 코드화되고, 안전하게 db-connected 플러그인은 비활성화 되어도 보안 허점이 없을 수 있습니다. 그렇다면 문제는 정확히 어디에 있습니까?

가끔 사용하는 플러그인이있는 사이트가 있습니다. 실제로 삭제하고 싶지 않지만 필요하지 않은 경우 사이트에서 비활성화합니다. 내 사이트를 보호하기 위해 삭제해야합니까? 그렇다면 왜 그렇습니까?



답변

보안 허점이있는 플러그인은 활성화 여부에 관계없이 문제가됩니다. 사용하지 않는 플러그인을 제거하는 것이 권장되는 이유는 다음과 같습니다.

  1. 사용하지 않는 플러그인이있는 경우 종종 업데이트 된 상태를 유지하지 않아도됩니다. 결과적으로 보안 업데이트를받지 못하므로 사이트에 취약점이 될 수 있습니다. 사람들은 종종 실행되고 있지 않은 플러그인이 사이트에 부정적인 영향을 미치지 않는다고 생각하지만 보안의 경우 공격자는 플러그인이 활성화되어 있지 않아도 설치된 플러그인의 보안 허점을 악용 할 수 있습니다.

  2. 플러그인이 왜 처음에 실행되지 않는지 생각해보십시오. 정기적으로 사용하는 플러그인이고 필요에 따라 켜고 끄는 것이 좋습니다. 그러나 제대로 작동하지 않거나 더 이상 유지 관리되지 않는 플러그인 일 수 있습니다. 이 두 번째 범주의 플러그인은 종종 보안 허점의 원인이되기 때문에 보안에 문제가됩니다.

비활성화 된 플러그인이 활발하게 유지 관리되고 업데이트 된 경우 문제가되지 않습니다. 그러나 사용되지 않고 업데이트되지 않는 플러그인이 설치되어 있으면 제거하는 것이 가장 좋습니다.


답변

나는 꽤 엉뚱한 플러그인을 보았습니다. 일부에는 공격 벡터가 될 수있는 독립형 스크립트가 포함될 수 있으며 업데이트하거나 제거하지 않으면 공격에 노출 될 수 있습니다.

타사 리포지토리에서 비활성화 된 플러그인은 업데이트 확인 코드를 실행하기 위해 활성화해야하므로 업데이트 알림을받지 않습니다. 따라서 비활성화 된 플러그인에서 취약점이 발견되면 업데이트 알림이 제공되지 않지만 해커는이를 테스트해야합니다.

wordpress.org에서 제거 된 갤러리 템플릿 플러그인을 통해 수행 된 SQL 주입 공격을 통해 여러 번 공격을받은 사이트를 보았습니다. 리포지토리에 최신 버전이 없으므로 플러그인이 “오래되었다”거나 공격에 취약하다는 경고를 생성하지 않았습니다.

활성화되어 있고 업데이트 된 플러그인 만 유지하는 것이 가장 좋습니다. 또한 취약성 통지 및 문제점이 발생하기 전에 위협에 대응할 수 있도록 어떤 사이트에 설치된 플러그인 매트릭스를 추적하는 것이 좋습니다. WP 관련 취약점에 대한이 RSS 피드를 봅니다.

http://rss.packetstormsecurity.com/search/files/?q=wordpress


답변

오류 로그를 확인하면 사이트에 보안 취약점이있는 플러그인이 있는지 검사하는 기계가 표시됩니다. 따라서 플러그인이 문제 파일로 바로 이동하여이를 통해 액세스하지 않기 때문에 플러그인의 활성화 여부는 중요하지 않습니다. WP 설치 자체.