Engelli eklentiler güvenlik açıkları mı - söylenti mi yoksa gerçeklik mi?

10

Güvenlik Uzmanlarının, birileri WordPress sitelerinin güvenliği hakkında endişe duyduklarında ilgilenmek için bazı özel adımlar önerdiği birçok WordPress Güvenliği blog makalesini okudum. Onlardan biri:

WordPress Güvenlik İpuçları: Kullanılmayan
gereksiz eklentileri kaldırın.

Kod, yapı veya db bağlantılarına göre güvenlik açıklarına sahip bir eklenti, bir sitede etkinleştirilmiş olsa bile bir site için ölümcül olabilir. Öte yandan, iyi yapılandırılmış, iyi kodlanmış ve güvenli bir şekilde db bağlantılı eklentinin devre dışı bırakılsa bile bir güvenlik deliği olmayabilir. Sorun tam olarak nerede?

Ara sıra kullandığım bazı eklentilerin olduğu bir sitem var. Aslında onları silmek istemiyorum ama ihtiyaç duyulmadığında onları siteden devre dışı bırakıyorum. Sitemi güvence altına almak için bunları silmem gerekiyor mu? Öyleyse neden?

plugins  security 
Mayeenul İslam
kaynak
2
Bu biraz "Bir helikopterle neyin ters gidebilir?" Peki, yaklaşık bir milyon farklı şey. Devre dışı bırakılsa bile tehlikeli bir eklenti yazabileceğime eminim ve bunu yapmanın birçok farklı yolu olmalı. Sorun nedir? Peki, eklenti nedir? Sadece kullanmadığınız şeyi kaldırın. Bahislerinizi koruyun.
s_ha_dum
1
Bu, büyük olasılıkla, tartışılan cevapların geçerli bir soru olmasına yol açmaktadır, ancak bence eklentiler, kötü programlanmışlarsa sadece bir güvenlik sorunudur. Ancak bu temelde eklentilerin genellikle performans için kötü olduğu efsanesi ile aynıdır.
Nicolai

Yanıtlar:

15

Güvenlik delikleri olan bir eklenti, etkinleştirilip etkinleştirilmediği bir sorundur. Bu nedenle, kullanmadığınız eklentileri kaldırmanızın bazı nedenleri aşağıda açıklanmıştır.

  1. Kullanmadığınız eklentileriniz varsa, bunları güncel tutmayı umursamazsınız. Sonuç olarak, herhangi bir güvenlik güncelleştirmesi almazlar ve bu, sitenizdeki bir güvenlik açığı olacaktır. İnsanlar genellikle çalışmayan bir eklentinin sitenizi olumsuz yönde etkileyemeyeceğini düşünür, ancak güvenlik durumunda, bir saldırgan etkin olmasa bile yüklü bir eklentideki güvenlik açığından yararlanabilir.

  2. Eklentinin neden ilk başta çalışmadığını düşünün. Düzenli olarak kullandığınız bir eklentiyse ve gerekirse gerektiği gibi açar ve kapatırsanız, sorun değil. Ancak, düzgün çalışmayan veya artık korunmayan bir eklenti olabilir. Bu ikinci eklenti kategorisi, genellikle güvenlik açıklarının kaynağı oldukları için özellikle güvenlik için bir sorundur.

Devre dışı bırakılan eklentileriniz etkin bir şekilde korunursa ve güncel tutulursa sorun değildir. Ancak, kullanılmayan ve güncellenmeyen eklentiler yüklüyse, bunları kaldırmak en iyisidir.

Ben Miller - Monica'yı hatırla
kaynak
6

Bazı oldukça berbat eklentiler gördüm, bazıları saldırı vektörleri olabilen tek başına komut dosyaları içerebilir ve bunları güncellememek veya kaldırmamak sizi saldırıya açık bırakabilir.

Üçüncü taraf depolarından devre dışı bırakılan eklentiler, güncelleme kontrol kodlarının çalışması için etkinleştirilmeleri gerektiğinden güncelleme bildirimleri almaz. Bu nedenle, devre dışı bırakılan bir eklentide bir güvenlik açığı bulunursa, güncelleme bildirimi verilmez - ancak bilgisayar korsanları bunu test etmeyi bilir.

Wordpress.org'dan kaldırılmış bir galeri şablonu eklentisi aracılığıyla gerçekleştirilen bir SQL enjeksiyon saldırısı ile defalarca saldırıya uğramış bir site gördüm. Havuzda daha yeni bir sürüm olmadığından, eklentinin "güncel değil" / saldırıya açık olduğuna dair herhangi bir uyarı oluşturmamıştır.

Yalnızca etkin ve güncel tutulan eklentileri saklamak en iyisidir. Güvenlik açığı bildirimlerini ve hangi sitelere yüklenen bir eklenti matrisini takip etmek için iyi bir fikirdir, böylece bir tehdide sorun haline gelmeden önce tepki verebilirsiniz. WP ile ilgili güvenlik açıkları için bu RSS akışını izliyorum:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
kaynak
Dedin: "Onlar çalıştırmak için kendi güncelleme kontrolü kodunu aktif hale gerektiğinden 3. taraf depolarından Engelli eklentileri güncelleme bildirimleri almaz." Kabul etmedim, çünkü WP deposundan birçok eklenti gördüm, devre dışı olsalar da güncellemelerini istiyorlar. Nasıl olduğunu bilmiyorum ???
Mayeenul Islam
3
Wordpress.org'daki devre dışı bırakılmış eklentiler güncellemeleri gösterir, ancak 3. taraf depolarındaki eklentiler (örn. Gravity Forms, WooThemes eklentileri, vb.) Etkinleştirilmedikçe güncellemeleri kontrol edemezler - bazılarını çalıştırmak için eklenti güncelleme kontrolüne bağlanırlar kodu uzaktaki havuzu sorgulamak için kullanılır ve devre dışı bırakılmışsa bunu yapamaz.
webaware
2

Hata günlüklerinizi kontrol ederseniz, sitenizi güvenlik deliklerine sahip eklentiler için tarayan makineler göreceksiniz - bu nedenle eklentilerin etkinleştirilip etkinleştirilmediği önemli değildir, çünkü doğrudan sorunlu dosyalara gidecek ve bunlara erişmeye çalışmayacaklardır. WP kurulumunuzu kendiniz yapın.

dave fitch
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.