J'ai lu de nombreux articles de blog sur la sécurité WordPress où les experts en sécurité recommandent des mesures spéciales à prendre en compte lorsque quelqu'un est préoccupé par la sécurité de leur site WordPress. L'un d'eux est:
Conseils de sécurité WordPress:
supprimez les plugins inutiles qui ne sont pas utilisés.
Un plugin qui comporte des failles de sécurité, que ce soit par le code, la structure ou les connexions db, peut être fatal pour un site même s'il est activé sur un site. D'un autre côté, un plugin bien structuré, bien codé et connecté en toute sécurité à la base de données peut ne pas avoir de trou de sécurité même lorsqu'il est désactivé. Alors, où est le problème exactement?
J'ai un site où il y a des plugins que j'utilise occasionnellement. En fait, je ne veux pas les supprimer mais quand ils ne sont pas nécessaires, je les désactive simplement du site. Dois-je les supprimer pour sécuriser mon site et si oui, pourquoi?
Réponses:
Un plugin qui a des trous de sécurité est un problème, qu'il soit activé ou non. Voici donc quelques raisons pour lesquelles il est souvent recommandé de supprimer les plugins que vous n'utilisez pas.
Si vous avez des plugins que vous n'utilisez pas, vous ne vous souciez souvent pas de les garder à jour. En conséquence, ils n'obtiendront aucune mise à jour de sécurité, et ce sera une vulnérabilité sur votre site. Les gens pensent souvent qu'un plugin qui ne fonctionne pas ne peut pas affecter négativement votre site, mais dans le cas de la sécurité, un attaquant peut exploiter une faille de sécurité dans un plugin installé, même s'il n'est pas activé.
Réfléchissez à la raison pour laquelle le plugin ne fonctionne pas en premier lieu. Si c'est un plugin que vous utilisez régulièrement, et que vous l'activez et le désactivez au besoin, c'est bien. Cependant, il peut s'agir d'un plugin qui ne fonctionne pas correctement ou qui n'est plus maintenu. Cette deuxième catégorie de plugins est particulièrement problématique pour la sécurité, car ils sont souvent à l'origine de failles de sécurité.
Si vos plugins désactivés sont activement maintenus et sont mis à jour, ils ne sont pas un problème. Mais si vous avez installé des plugins qui ne sont pas utilisés et qui ne sont pas mis à jour, il est préférable de les supprimer.
la source
J'ai vu des plugins assez merdiques, certains peuvent inclure des scripts autonomes qui peuvent être des vecteurs d'attaque et ne pas les mettre à jour ou les supprimer peuvent vous laisser ouverts à l'attaque.
Les plug-ins désactivés des référentiels tiers ne recevront pas de notifications de mise à jour car ils doivent être activés pour que leur code de vérification de mise à jour s'exécute. Ainsi, si une vulnérabilité est découverte dans un plugin désactivé, aucune notification de mise à jour ne sera donnée - mais les pirates sauront la tester.
J'ai vu un site qui avait été attaqué plusieurs fois lors d'une attaque par injection SQL effectuée via un plugin de modèle de galerie qui avait été supprimé de wordpress.org. Parce qu'il n'y avait pas de version plus récente dans le référentiel, il n'a généré aucun avertissement que le plugin était "obsolète" / vulnérable aux attaques.
Il est préférable de ne conserver que les plugins actifs et mis à jour. Aussi une bonne idée de garder une trace des avis de vulnérabilité et une matrice de plugins installés sur quels sites afin que vous puissiez réagir à une menace avant qu'elle ne devienne un problème. Je regarde ce flux RSS pour les vulnérabilités liées à WP:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
la source
Si vous consultez vos journaux d'erreurs, vous verrez des machines balayer votre site à la recherche de plugins avec des failles de sécurité - donc peu importe si les plugins sont activés ou non, car ils iront directement aux fichiers de problème, et n'essaieront pas d'y accéder via votre installation WP en soi.
la source