Complementos deshabilitados ¿son agujeros de seguridad, rumores o realidad?

Un complemento que tiene agujeros de seguridad es un problema, esté o no activado. Así que aquí hay algunas razones por las que a menudo se recomienda eliminar los complementos que no esté utilizando.

1. Si tiene complementos que no está usando, a menudo no le importa mantenerlos actualizados. Como resultado, no recibirán ninguna actualización de seguridad, y eso será una vulnerabilidad en su sitio. La gente a menudo piensa que un complemento que no se está ejecutando no puede afectar negativamente a su sitio, pero en el caso de la seguridad, un atacante puede explotar un agujero de seguridad en un complemento que está instalado, incluso si no está activado.

2. Piense por qué el complemento no se está ejecutando en primer lugar. Si es un complemento que usa regularmente, y simplemente lo enciende y apaga según sea necesario, está bien. Sin embargo, podría ser un complemento que no funcionó correctamente o que ya no se mantiene. Esta segunda categoría de complementos es especialmente un problema para la seguridad, ya que a menudo son la fuente de los agujeros de seguridad.

Si sus complementos desactivados se mantienen activamente y se actualizan, no son un problema. Pero si tiene complementos instalados que no se están utilizando y no se están actualizando, es mejor eliminarlos.

He visto algunos complementos bastante malos, algunos pueden incluir scripts independientes que pueden ser vectores de ataque y no actualizarlos o eliminarlos pueden dejarte abierto al ataque.

Los complementos deshabilitados de los repositorios de terceros no recibirán notificaciones de actualización porque deben activarse para que se ejecute su código de verificación de actualización. Por lo tanto, si se descubre una vulnerabilidad en un complemento que está deshabilitado, no se dará ninguna notificación de actualización, pero los piratas informáticos sabrán que deben probarlo.

He visto un sitio que ha sido atacado varias veces a través de un ataque de inyección SQL realizado a través de un complemento de plantilla de galería que se ha eliminado de wordpress.org. Debido a que no había una versión más nueva en el repositorio, no generó ninguna advertencia de que el complemento estaba "fuera de fecha" / vulnerable al ataque.

Es mejor mantener solo los complementos que están activos y actualizados. También es una buena idea realizar un seguimiento de los avisos de vulnerabilidad y una matriz de complementos que se instalan en qué sitios para que pueda reaccionar ante una amenaza antes de que se convierta en un problema. Veo este feed RSS para las vulnerabilidades relacionadas con WP:

enlace

Si revisa sus registros de errores, verá máquinas que analizan su sitio en busca de complementos con agujeros de seguridad, por lo que no importa si los complementos están activados o no, ya que irán directamente a los archivos problemáticos y no intentarán Acceda a ellos a través de su instalación de WP en sí.