不活动的易受攻击的Wordpress插件是否仍然不安全？

Question

当您在WordPress中安装插件时，您可以选择激活或禁用它。

比方说，您有一个插件，它的最新版本易受XSS的攻击，您正在等待安全补丁的发布。我应该禁用或卸载插件吗？推荐什么？

插件只是一堆PHP (和其他)文件，当它安装时，它位于web服务器上的一个目录中，所以如果一个函数是由攻击者从外部调用的，那么不管插件是否“活动”，它都会被执行。可以使用WAF或某些htaccess规则的缓解来拒绝访问，以阻止对易受攻击文件的访问，直到它们更新到新的(安全)版本为止。

最好卸载插件并删除所有文件，除非它不可能这样做，因为它会改变网站太多，你不想放弃一些功能。

Answer 1

取决于插件，如果有可以直接调用的PHP脚本(不依赖wordpress代码或包含正确的语句来加载它所需的wordpress库)，则可以这样做。

您可以通过htaccess/server配置有效地阻止对文件的直接访问，但有一些方法可以避免。总的来说，完全删除它更好，毕竟您不能运行一个不存在的文件。

最终，它取决于漏洞和它所处的脚本。