Les plugins désactivés sont-ils des failles de sécurité - rumeurs ou réalité?

10

J'ai lu de nombreux articles sur le blog de la sécurité WordPress dans lesquels les experts en sécurité recommandent certaines mesures spéciales à prendre lorsque quelqu'un s'inquiète de la sécurité de leur site WordPress. L'un d'eux est:

  

Conseils de sécurité WordPress:
Supprimez les plug-ins inutiles qui ne sont pas utilisés.

Un plug-in qui présente des failles de sécurité, que ce soit par le code, la structure ou les connexions à la base de données, peut être fatal pour un site même s'il est activé sur un site. D'autre part, un plugin bien structuré, bien codé et connecté à la base de données peut ne pas avoir de faille de sécurité même lorsqu'il est désactivé. Alors, où est le problème exactement?

J'ai un site où il y a des plugins que j'utilise occasionnellement. En fait, je ne veux pas les supprimer mais quand ils ne sont pas nécessaires, je les désactive simplement du site. Dois-je les supprimer pour sécuriser mon site et si oui, pourquoi?

    
posée Mayeenul Islam 05.12.2013 - 15:46

3 réponses

13

Un plugin qui présente des failles de sécurité pose un problème, qu’il soit activé ou non. Voici donc quelques raisons pour lesquelles il est souvent recommandé de supprimer les plug-ins que vous n'utilisez pas.

  1. Si vous avez des plugins que vous n'utilisez pas, vous ne vous souciez souvent pas de les maintenir à jour. En conséquence, ils ne recevront aucune mise à jour de sécurité, ce qui constituera une vulnérabilité de votre site. Les gens pensent souvent qu’un plug-in qui ne fonctionne pas ne doit pas affecter votre site, mais dans le cas de la sécurité, un attaquant peut exploiter une faille de sécurité dans un plug-in installé, même s'il n'est pas activé.

  2. Réfléchissez à la raison pour laquelle le plug-in ne fonctionne pas. Si c'est un plugin que vous utilisez régulièrement et que vous activez et désactivez au besoin, c'est très bien. Cependant, cela pourrait être un plugin qui ne fonctionnait pas correctement ou qui n'était plus maintenu. Cette deuxième catégorie de plug-ins est particulièrement problématique pour la sécurité, car ils sont souvent à l'origine de failles de sécurité.

Si vos plugins désactivés sont activement maintenus et mis à jour, ils ne posent aucun problème. Mais si vous avez installé des plugins qui ne sont ni utilisés ni mis à jour, il est préférable de les supprimer.

    
réponse donnée Ben Miller 05.12.2013 - 15:58
5

J'ai vu des plugins plutôt merdiques. Certains peuvent inclure des scripts autonomes pouvant être des vecteurs d'attaque et ne pas les mettre à jour ou les supprimer, ce qui peut vous laisser attaquer.

Les plugins désactivés à partir de référentiels tiers ne recevront pas de notifications de mise à jour car ils doivent être activés pour que leur code de vérification de mise à jour s'exécute. Ainsi, si une vulnérabilité est découverte dans un plug-in désactivé, aucune notification de mise à jour ne sera donnée - mais les pirates informatiques sauront comment la tester.

J'ai vu un site attaqué à plusieurs reprises via une attaque d'injection SQL effectuée via un plugin de modèle de galerie supprimé de wordpress.org. Comme il n’y avait pas de version plus récente dans le référentiel, il n’a généré aucun avertissement indiquant que le plug-in était "obsolète" / vulnérable aux attaques.

Il est préférable de ne garder que les plugins actifs et tenus à jour. Il est également judicieux de suivre les avis de vulnérabilité et une matrice de plug-ins installés sur les sites afin que vous puissiez réagir à une menace avant qu'elle ne devienne un problème. Je regarde ce flux RSS pour les vulnérabilités liées à WP:

enlace

    
réponse donnée webaware 28.12.2013 - 01:34
2

Si vous consultez vos journaux d'erreurs, des machines analysent votre site à la recherche de plug-ins présentant des failles de sécurité. Il est donc indifférent que les plug-ins soient activés ou non, car ils iront directement aux fichiers problématiques et ne tenteront pas. accédez-y via votre installation WP proprement dite.

    
réponse donnée dave fitch 11.01.2014 - 12:23

Lire d'autres questions sur les étiquettes