Complementos deshabilitados ¿son agujeros de seguridad, rumores o realidad?

10

He leído muchos artículos del blog de WordPress Security donde los expertos en seguridad recomiendan algunos pasos especiales para tener cuidado cuando alguien está preocupado por la seguridad de su sitio de WordPress. Uno de ellos es:

  

Consejos de seguridad de WordPress:
Eliminar complementos innecesarios que no están en uso.

Un complemento que tiene agujeros de seguridad, ya sea por código, estructura o conexiones de base de datos, puede ser fatal para un sitio, incluso si está activado en un sitio. Por otro lado, un complemento bien estructurado, bien codificado y conectado a la base de datos puede no tener un agujero de seguridad, incluso cuando está desactivado. Entonces, ¿dónde está exactamente el problema?

Tengo un sitio donde hay algunos complementos que uso ocasionalmente. En realidad no quiero eliminarlos, pero cuando no son necesarios, simplemente los desactivo del sitio. ¿Debo eliminarlos para proteger mi sitio? En caso afirmativo, ¿por qué?

    
pregunta Mayeenul Islam 05.12.2013 - 15:46

3 respuestas

13

Un complemento que tiene agujeros de seguridad es un problema, esté o no activado. Así que aquí hay algunas razones por las que a menudo se recomienda eliminar los complementos que no esté utilizando.

  1. Si tiene complementos que no está usando, a menudo no le importa mantenerlos actualizados. Como resultado, no recibirán ninguna actualización de seguridad, y eso será una vulnerabilidad en su sitio. La gente a menudo piensa que un complemento que no se está ejecutando no puede afectar negativamente a su sitio, pero en el caso de la seguridad, un atacante puede explotar un agujero de seguridad en un complemento que está instalado, incluso si no está activado.

  2. Piense por qué el complemento no se está ejecutando en primer lugar. Si es un complemento que usa regularmente, y simplemente lo enciende y apaga según sea necesario, está bien. Sin embargo, podría ser un complemento que no funcionó correctamente o que ya no se mantiene. Esta segunda categoría de complementos es especialmente un problema para la seguridad, ya que a menudo son la fuente de los agujeros de seguridad.

Si sus complementos desactivados se mantienen activamente y se actualizan, no son un problema. Pero si tiene complementos instalados que no se están utilizando y no se están actualizando, es mejor eliminarlos.

    
respondido por el Ben Miller 05.12.2013 - 15:58
5

He visto algunos complementos bastante malos, algunos pueden incluir scripts independientes que pueden ser vectores de ataque y no actualizarlos o eliminarlos pueden dejarte abierto al ataque.

Los complementos deshabilitados de los repositorios de terceros no recibirán notificaciones de actualización porque deben activarse para que se ejecute su código de verificación de actualización. Por lo tanto, si se descubre una vulnerabilidad en un complemento que está deshabilitado, no se dará ninguna notificación de actualización, pero los piratas informáticos sabrán que deben probarlo.

He visto un sitio que ha sido atacado varias veces a través de un ataque de inyección SQL realizado a través de un complemento de plantilla de galería que se ha eliminado de wordpress.org. Debido a que no había una versión más nueva en el repositorio, no generó ninguna advertencia de que el complemento estaba "fuera de fecha" / vulnerable al ataque.

Es mejor mantener solo los complementos que están activos y actualizados. También es una buena idea realizar un seguimiento de los avisos de vulnerabilidad y una matriz de complementos que se instalan en qué sitios para que pueda reaccionar ante una amenaza antes de que se convierta en un problema. Veo este feed RSS para las vulnerabilidades relacionadas con WP:

enlace

    
respondido por el webaware 28.12.2013 - 01:34
2

Si revisa sus registros de errores, verá máquinas que analizan su sitio en busca de complementos con agujeros de seguridad, por lo que no importa si los complementos están activados o no, ya que irán directamente a los archivos problemáticos y no intentarán Acceda a ellos a través de su instalación de WP en sí.

    
respondido por el dave fitch 11.01.2014 - 12:23

Lea otras preguntas en las etiquetas