無効化されたプラグインはセキュリティホールですか？噂ですか、それとも現実ですか？

私はWordPressのセキュリティに関するブログの記事を多数読んでいますが、誰かがWordPressサイトのセキュリティについて懸念している場合は、セキュリティの専門家が特別な措置を講じることを推奨しています。それらの1つは次のとおりです。

WordPressのセキュリティのヒント：
使用されていない不要なプラグインを削除します。

コード、構造、またはデータベース接続によってセキュリティホールがあるプラグインは、サイトでアクティブ化されている場合でも、サイトにとって致命的となる可能性があります。一方、適切に構造化され、コード化され、安全にdb接続されたプラグインは、非アクティブ化されている場合でもセキュリティホールがない場合があります。では、問題はどこにあるのでしょうか？

時々使用するプラグインがいくつかあるサイトがあります。実際には削除したくありませんが、不要な場合はサイトから非アクティブ化するだけです。サイトを保護するためにそれらを削除する必要がありますか？そうであれば、なぜですか？

セキュリティホールのあるプラグインは、アクティブ化されているかどうかにかかわらず問題です。ですから、使用していないプラグインを削除することがしばしば推奨されるいくつかの理由があります。

1. 使用していないプラグインがある場合、プラグインを更新し続けることを気にしないことがよくあります。その結果、彼らはセキュリティ更新を取得できなくなり、それがサイトの脆弱性になります。実行されていないプラグインはサイトに悪影響を及ぼさないと考えがちですが、セキュリティの場合、攻撃者はプラグインがアクティブ化されていなくても、インストールされているプラ​​グインのセキュリティホールを悪用する可能性があります。

2. そもそもプラグインが動作していない理由を考えてみてください。それが定期的に使用するプラグインであり、必要に応じてオンとオフを切り替えるだけの場合は問題ありません。ただし、正しく機能しなかったプラグインまたはメンテナンスされなくなったプラグインである可能性があります。プラグインのこの2番目のカテゴリは、セキュリティホールの原因となることが多いため、特にセキュリティの問題です。

非アクティブ化されたプラグインがアクティブに維持され、更新され続けている場合、それらは問題ではありません。ただし、使用されておらず更新されていないプラグインがインストールされている場合は、それらを削除することをお勧めします。

私はかなりひどいプラグインをいくつか見ました。いくつかは、攻撃ベクトルである可能性があるスタンドアロンスクリプトを含むことができ、それらを更新または削除しないと、攻撃にさらされる可能性があります。

サードパーティのリポジトリから無効にされたプラグインは、更新チェックコードを実行するためにアクティブ化する必要があるため、更新通知を受信しません。したがって、無効になっているプラ​​グインで脆弱性が発見された場合、更新通知は送信されませんが、ハッカーはそれをテストすることを知っています。

wordpress.orgから削除されたギャラリーテンプレートプラグインを介して実行されるSQLインジェクション攻撃によって複数回攻撃されたサイトを見たことがあります。リポジトリに新しいバージョンがなかったため、プラグインが「古くなった」/攻撃に対して脆弱であるという警告は生成されませんでした。

アクティブで更新されたプラグインのみを保持するのが最善です。また、脆弱性の通知を追跡し、脅威が問題になる前に対応できるように、どのサイトにインストールされているプラ​​グインのマトリックスを追跡することもお勧めします。私はこのRSSフィードでWP関連の脆弱性を監視しています。

http://rss.packetstormsecurity.com/search/files/?q=wordpress

エラーログを確認すると、セキュリティホールのあるプラグインをサイトでスキャンしているマシンが表示されます。プラグインがアクティブ化されているかどうかは問題ではありません。プラグインは問題のあるファイルに直接アクセスするため、経由してアクセスしないからです。 WPのインストール自体。