He leído muchos artículos del blog de seguridad de WordPress donde los expertos en seguridad recomiendan algunos pasos especiales para tener cuidado cuando alguien está preocupado por la seguridad de su sitio de WordPress. Uno de ellos es:
Consejos de seguridad de WordPress:
elimine complementos innecesarios que no estén en uso.
Un complemento que tiene agujeros de seguridad, ya sea por código, estructura o conexiones db, puede ser fatal para un sitio incluso si está activado en un sitio. Por otro lado, un complemento bien estructurado, bien codificado y conectado de forma segura a db puede no tener un agujero de seguridad incluso cuando está desactivado. Entonces, ¿dónde está exactamente el problema?
Tengo un sitio donde hay algunos complementos que uso ocasionalmente. En realidad no quiero eliminarlos, pero cuando no son necesarios, simplemente los desactivo del sitio. ¿Debo eliminarlos para asegurar mi sitio? Si es así, ¿por qué?
Respuestas:
Un complemento que tiene agujeros de seguridad es un problema, esté o no activado. Aquí hay algunas razones por las que a menudo se recomienda eliminar los complementos que no está utilizando.
Si tiene complementos que no está utilizando, a menudo no le importa mantenerlos actualizados. Como resultado, no recibirán actualizaciones de seguridad, y eso será una vulnerabilidad en su sitio. La gente a menudo piensa que un complemento que no se está ejecutando no puede afectar negativamente a su sitio, pero en el caso de la seguridad, un atacante puede explotar un agujero de seguridad en un complemento que está instalado, incluso si no está activado.
Piensa por qué el complemento no se está ejecutando en primer lugar. Si es un complemento que usa regularmente, y solo lo enciende y apaga según sea necesario, está bien. Sin embargo, podría ser un complemento que no funcionó correctamente o que ya no se mantiene. Esta segunda categoría de complementos es especialmente un problema para la seguridad, ya que a menudo son la fuente de agujeros de seguridad.
Si sus complementos desactivados se mantienen activamente y se mantienen actualizados, no son un problema. Pero si tiene complementos instalados que no se utilizan y no se actualizan, es mejor eliminarlos.
fuente
He visto algunos complementos bastante malos, algunos pueden incluir scripts independientes que pueden ser vectores de ataque y no actualizarlos o eliminarlos pueden dejarlo abierto para atacar.
Los complementos deshabilitados de repositorios de terceros no recibirán notificaciones de actualización porque deben activarse para que se ejecute su código de verificación de actualización. Por lo tanto, si se descubre una vulnerabilidad en un complemento que está deshabilitado, no se enviará ninguna notificación de actualización, pero los hackers sabrán probarla.
He visto un sitio que había sido atacado varias veces a través de un ataque de inyección SQL realizado a través de un complemento de plantilla de galería que se había eliminado de wordpress.org. Debido a que no había una versión más nueva en el repositorio, no generó ninguna advertencia de que el complemento estaba "desactualizado" / vulnerable a los ataques.
Lo mejor es mantener solo los complementos que están activos y actualizados. También es una buena idea hacer un seguimiento de los avisos de vulnerabilidad y una matriz de complementos que están instalados en qué sitios para que pueda reaccionar ante una amenaza antes de que se convierta en un problema. Miro este feed RSS para vulnerabilidades relacionadas con WP:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
fuente
Si revisa sus registros de errores, verá máquinas que escanean su sitio en busca de complementos con agujeros de seguridad, por lo que no importa si los complementos están activados o no, ya que irán directamente a los archivos problemáticos y no intentarán acceder a ellos a través de su instalación de WP per se.
fuente