禁用插件是安全漏洞-谣言还是现实？

Question

我读过许多WordPress安全博客文章，在这些文章中，安全专家建议了一些特别的步骤，以便在有人关心他们WordPress站点的安全性时加以注意。其中之一是：

WordPress安全提示: 删除没有使用的不必要的插件。

具有安全漏洞的插件，无论是通过代码、结构还是数据库连接，即使在站点上激活，也可能对站点造成致命的影响。另一方面，一个结构良好、编码良好、数据库连接安全的插件即使在停用时也可能没有安全漏洞。那么问题到底在哪里呢？

我有一个网站，其中有一些插件，我偶尔使用。我其实不想删除他们，但当他们不需要，我只是停用他们从网站。我是否需要删除他们来保护我的网站，如果需要，为什么？

Answer 1

有安全漏洞的插件是一个问题，不管它是否被激活。因此，这里有一些原因，为什么它经常被建议删除插件，你没有使用。

1. 如果你有你没有使用的插件，你通常不关心它们的更新。因此，他们将不会得到任何安全更新，这将是您的网站上的一个漏洞。人们通常认为没有运行的插件不会对您的站点产生负面影响，但在安全性方面，攻击者可以利用已安装的插件中的安全漏洞进行攻击，即使它未被激活。
2. 想想为什么插件一开始就没有运行。如果它是一个插件，你经常使用，你只是打开和关闭的需要，这是很好的。然而，它可能是一个不能正常工作的插件，或者不再被维护。第二类插件尤其是安全性问题，因为它们经常是安全漏洞的来源。

如果您的停用插件是积极维护和保持更新，他们不是一个问题。但是，如果你安装的插件没有被使用，也没有被更新，最好将它们删除。

Answer 2

我已经看到了一些非常糟糕的插件，有些可以包含独立脚本，这些脚本可以是攻击向量，而不更新或删除这些插件可能会让您随时受到攻击。

来自第三方存储库的禁用插件不会接收更新通知，因为它们需要激活才能运行更新检查代码。因此，如果在禁用的插件中发现漏洞，则不会发出更新通知--但黑客将知道如何测试。

我见过一个站点通过从wordpress.org中删除的库模板插件执行的SQL注入攻击，多次受到攻击。因为存储库中没有更新版本，所以它没有生成任何关于插件“过时”/易受攻击的警告。

最好只保持插件是活动的，并不断更新。另外一个好主意是跟踪漏洞通知，以及安装在哪个站点上的插件矩阵，这样您就可以在威胁成为问题之前对其做出反应。我查看这个RSS提要，了解与WP相关的漏洞：

http://rss.packetstormsecurity.com/search/files/?q=wordpress

Answer 3

如果你检查你的错误日志，你会看到机器扫描你的站点，寻找有安全漏洞的插件--所以插件是否被激活并不重要，因为它们会直接进入问题文件，而不是试图通过你的WP安装本身来访问它们。