Les plugins désactivés sont-ils des failles de sécurité - rumeur ou réalité?

10

J'ai lu de nombreux articles de blog sur la sécurité WordPress où les experts en sécurité recommandent des mesures spéciales à prendre en compte lorsque quelqu'un est préoccupé par la sécurité de leur site WordPress. L'un d'eux est:

Conseils de sécurité WordPress:
supprimez les plugins inutiles qui ne sont pas utilisés.

Un plugin qui comporte des failles de sécurité, que ce soit par le code, la structure ou les connexions db, peut être fatal pour un site même s'il est activé sur un site. D'un autre côté, un plugin bien structuré, bien codé et connecté en toute sécurité à la base de données peut ne pas avoir de trou de sécurité même lorsqu'il est désactivé. Alors, où est le problème exactement?

J'ai un site où il y a des plugins que j'utilise occasionnellement. En fait, je ne veux pas les supprimer mais quand ils ne sont pas nécessaires, je les désactive simplement du site. Dois-je les supprimer pour sécuriser mon site et si oui, pourquoi?

plugins  security 
Mayeenul Islam
source
2
C'est un peu comme demander "Qu'est-ce qui peut mal tourner avec un hélicoptère?" Eh bien, environ un million de choses différentes. Je suis sûr que je pourrais écrire un plugin qui serait dangereux même désactivé et il doit y avoir de nombreuses façons de le faire. Quelle est la solution? Eh bien, quel est le plugin? Retirez simplement ce que vous n'utilisez pas. Protégez vos paris.
s_ha_dum
1
Cela conduit très probablement à des réponses très avisées pour être une question valable, mais à mon avis, les plugins ne sont qu'un problème de sécurité s'ils sont mal programmés. Mais c'est fondamentalement le même que le mythe selon lequel les plugins sont généralement mauvais pour les performances.
Nicolai

Réponses:

15

Un plugin qui a des trous de sécurité est un problème, qu'il soit activé ou non. Voici donc quelques raisons pour lesquelles il est souvent recommandé de supprimer les plugins que vous n'utilisez pas.

  1. Si vous avez des plugins que vous n'utilisez pas, vous ne vous souciez souvent pas de les garder à jour. En conséquence, ils n'obtiendront aucune mise à jour de sécurité, et ce sera une vulnérabilité sur votre site. Les gens pensent souvent qu'un plugin qui ne fonctionne pas ne peut pas affecter négativement votre site, mais dans le cas de la sécurité, un attaquant peut exploiter une faille de sécurité dans un plugin installé, même s'il n'est pas activé.

  2. Réfléchissez à la raison pour laquelle le plugin ne fonctionne pas en premier lieu. Si c'est un plugin que vous utilisez régulièrement, et que vous l'activez et le désactivez au besoin, c'est bien. Cependant, il peut s'agir d'un plugin qui ne fonctionne pas correctement ou qui n'est plus maintenu. Cette deuxième catégorie de plugins est particulièrement problématique pour la sécurité, car ils sont souvent à l'origine de failles de sécurité.

Si vos plugins désactivés sont activement maintenus et sont mis à jour, ils ne sont pas un problème. Mais si vous avez installé des plugins qui ne sont pas utilisés et qui ne sont pas mis à jour, il est préférable de les supprimer.

Ben Miller - Souvenez-vous de Monica
source
6

J'ai vu des plugins assez merdiques, certains peuvent inclure des scripts autonomes qui peuvent être des vecteurs d'attaque et ne pas les mettre à jour ou les supprimer peuvent vous laisser ouverts à l'attaque.

Les plug-ins désactivés des référentiels tiers ne recevront pas de notifications de mise à jour car ils doivent être activés pour que leur code de vérification de mise à jour s'exécute. Ainsi, si une vulnérabilité est découverte dans un plugin désactivé, aucune notification de mise à jour ne sera donnée - mais les pirates sauront la tester.

J'ai vu un site qui avait été attaqué plusieurs fois lors d'une attaque par injection SQL effectuée via un plugin de modèle de galerie qui avait été supprimé de wordpress.org. Parce qu'il n'y avait pas de version plus récente dans le référentiel, il n'a généré aucun avertissement que le plugin était "obsolète" / vulnérable aux attaques.

Il est préférable de ne conserver que les plugins actifs et mis à jour. Aussi une bonne idée de garder une trace des avis de vulnérabilité et une matrice de plugins installés sur quels sites afin que vous puissiez réagir à une menace avant qu'elle ne devienne un problème. Je regarde ce flux RSS pour les vulnérabilités liées à WP:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

connaissance du Web
source
Vous avez dit: "Les plugins désactivés des référentiels tiers ne recevront pas de notifications de mise à jour car ils doivent être activés pour que leur code de vérification de mise à jour s'exécute." Je n'étais pas d'accord, car j'ai vu de nombreux plugins du référentiel WP, invitant à leurs mises à jour, bien qu'ils soient désactivés. Je ne sais pas comment ???
Mayeenul Islam
3
Les plugins désactivés de wordpress.org afficheront les mises à jour, mais les plugins des référentiels tiers (par exemple Gravity Forms, les plugins WooThemes, etc.) ne peuvent pas rechercher les mises à jour à moins qu'ils ne soient activés - ils se connectent à la vérification de mise à jour des plugins pour exécuter certains code pour interroger le référentiel distant et ne peut pas le faire s'ils sont désactivés.
Webaware
2

Si vous consultez vos journaux d'erreurs, vous verrez des machines balayer votre site à la recherche de plugins avec des failles de sécurité - donc peu importe si les plugins sont activés ou non, car ils iront directement aux fichiers de problème, et n'essaieront pas d'y accéder via votre installation WP en soi.

Dave Fitch
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.