비활성화 된 플러그인은 보안 허점입니까-소문 또는 현실입니까?

보안 전문가가 WordPress 사이트의 보안에 대해 걱정할 때주의해야 할 몇 가지 특별한 단계를 권장하는 WordPress 보안 블로그 기사를 많이 읽었습니다. 그들 중 하나는 :

WordPress 보안 팁 :
사용하지 않는 불필요한 플러그인을 제거하십시오.

코드, 구조 또는 DB 연결에 의해 보안 취약점이있는 플러그인은 사이트에서 활성화되어 있어도 사이트에 치명적일 수 있습니다. 다른 한편으로, 잘 구조화되고, 코드화되고, 안전하게 db-connected 플러그인은 비활성화 되어도 보안 허점이 없을 수 있습니다. 그렇다면 문제는 정확히 어디에 있습니까?

가끔 사용하는 플러그인이있는 사이트가 있습니다. 실제로 삭제하고 싶지 않지만 필요하지 않은 경우 사이트에서 비활성화합니다. 내 사이트를 보호하기 위해 삭제해야합니까? 그렇다면 왜 그렇습니까?

보안 허점이있는 플러그인은 활성화 여부에 관계없이 문제가됩니다. 사용하지 않는 플러그인을 제거하는 것이 권장되는 이유는 다음과 같습니다.

1. 사용하지 않는 플러그인이있는 경우 종종 업데이트 된 상태를 유지하지 않아도됩니다. 결과적으로 보안 업데이트를받지 못하므로 사이트에 취약점이 될 수 있습니다. 사람들은 종종 실행되고 있지 않은 플러그인이 사이트에 부정적인 영향을 미치지 않는다고 생각하지만 보안의 경우 공격자는 플러그인이 활성화되어 있지 않아도 설치된 플러그인의 보안 허점을 악용 할 수 있습니다.

2. 플러그인이 왜 처음에 실행되지 않는지 생각해보십시오. 정기적으로 사용하는 플러그인이고 필요에 따라 켜고 끄는 것이 좋습니다. 그러나 제대로 작동하지 않거나 더 이상 유지 관리되지 않는 플러그인 일 수 있습니다. 이 두 번째 범주의 플러그인은 종종 보안 허점의 원인이되기 때문에 보안에 문제가됩니다.

비활성화 된 플러그인이 활발하게 유지 관리되고 업데이트 된 경우 문제가되지 않습니다. 그러나 사용되지 않고 업데이트되지 않는 플러그인이 설치되어 있으면 제거하는 것이 가장 좋습니다.

나는 꽤 엉뚱한 플러그인을 보았습니다. 일부에는 공격 벡터가 될 수있는 독립형 스크립트가 포함될 수 있으며 업데이트하거나 제거하지 않으면 공격에 노출 될 수 있습니다.

타사 리포지토리에서 비활성화 된 플러그인은 업데이트 확인 코드를 실행하기 위해 활성화해야하므로 업데이트 알림을받지 않습니다. 따라서 비활성화 된 플러그인에서 취약점이 발견되면 업데이트 알림이 제공되지 않지만 해커는이를 테스트해야합니다.

wordpress.org에서 제거 된 갤러리 템플릿 플러그인을 통해 수행 된 SQL 주입 공격을 통해 여러 번 공격을받은 사이트를 보았습니다. 리포지토리에 최신 버전이 없으므로 플러그인이 "오래되었다"거나 공격에 취약하다는 경고를 생성하지 않았습니다.

활성화되어 있고 업데이트 된 플러그인 만 유지하는 것이 가장 좋습니다. 또한 취약성 통지 및 문제점이 발생하기 전에 위협에 대응할 수 있도록 어떤 사이트에 설치된 플러그인 매트릭스를 추적하는 것이 좋습니다. WP 관련 취약점에 대한이 RSS 피드를 봅니다.

http://rss.packetstormsecurity.com/search/files/?q=wordpress

오류 로그를 확인하면 사이트에 보안 취약점이있는 플러그인이 있는지 검사하는 기계가 표시됩니다. 따라서 플러그인이 문제 파일로 바로 이동하여이를 통해 액세스하지 않기 때문에 플러그인의 활성화 여부는 중요하지 않습니다. WP 설치 자체.