Les plugins désactivés sont-ils des failles de sécurité - rumeur ou réalité?
J'ai lu de nombreux articles de blog sur la sécurité dans WordPress où les experts en sécurité recommandent des mesures spéciales à prendre lorsque quelqu'un s'inquiète de la sécurité de leur site WordPress. L'un d'eux est:
Conseils de sécurité WordPress:
Supprimez les plugins inutiles, qui ne sont pas utilisés.
Un plug-in qui présente des failles de sécurité, que ce soit par code, structure ou connexions à une base de données, peut être fatal pour un site même s'il est activé sur un site. D'autre part, un plugin bien structuré, bien codé et connecté à la base de données peut ne pas avoir de faille de sécurité, même lorsqu'il est désactivé. Alors, où est le problème exactement?
J'ai un site où il y a des plugins que j'utilise occasionnellement. En fait, je ne veux pas les supprimer, mais quand ils ne sont pas nécessaires, je les désactive simplement du site. Dois-je les supprimer pour sécuriser mon site et si oui, pourquoi?
Un plugin qui présente des failles de sécurité pose un problème, qu’il soit activé ou non. Donc, voici quelques raisons pour lesquelles il est souvent recommandé de supprimer les plugins que vous n'utilisez pas.
Si vous n'utilisez pas de plugins, vous ne vous souciez souvent pas de les maintenir à jour. En conséquence, ils ne recevront aucune mise à jour de sécurité, ce qui constituera une vulnérabilité de votre site. Les gens pensent souvent qu'un plug-in qui n'est pas en cours d'exécution ne peut pas affecter négativement votre site, mais dans le cas de la sécurité, un attaquant peut exploiter une faille de sécurité dans un plug-in installé, même s'il n'est pas activé.
Réfléchissez à la raison pour laquelle le plug-in ne fonctionne pas. Si c'est un plugin que vous utilisez régulièrement et que vous activez et désactivez au besoin, c'est très bien. Cependant, cela pourrait être un plugin qui ne fonctionnait pas correctement ou qui n'était plus maintenu. Cette deuxième catégorie de plugins pose un problème de sécurité, car ils sont souvent à l'origine de failles de sécurité.
Si vos plugins désactivés sont activement maintenus et mis à jour, ils ne posent aucun problème. Mais si vous avez installé des plugins qui ne sont ni utilisés ni mis à jour, il est préférable de les supprimer.
J'ai vu des plugins plutôt merdiques, certains peuvent inclure des scripts autonomes qui peuvent être des vecteurs d'attaque et ne pas mettre à jour ou supprimer ceux-ci peuvent vous laisser attaquer.
Les plugins désactivés des référentiels tiers ne recevront pas de notifications de mise à jour car ils doivent être activés pour que leur code de vérification de mise à jour s'exécute. Ainsi, si une vulnérabilité est découverte dans un plug-in désactivé, aucune notification de mise à jour ne sera donnée - mais les pirates informatiques sauront comment la tester.
J'ai vu un site attaqué à plusieurs reprises par le biais d'une attaque d'injection SQL effectuée via un plugin de modèle de galerie supprimé de wordpress.org. Comme il n'y avait pas de version plus récente dans le référentiel, il n'a généré aucun avertissement indiquant que le plug-in était "obsolète"/vulnérable aux attaques.
Il est préférable de ne garder que les plugins actifs et tenus à jour. Il est également judicieux de surveiller les avis de vulnérabilité et une matrice de plug-ins installés sur les sites afin que vous puissiez réagir à une menace avant qu'elle ne devienne un problème. Je regarde ce flux RSS pour les vulnérabilités liées à WP:
http://rss.packetstormsecurity.com/search/files/?q=wordpress
Si vous consultez vos journaux d'erreurs, des machines analysent votre site à la recherche de plug-ins présentant des failles de sécurité. Il est donc indifférent que les plug-ins soient activés ou non. votre WP installation proprement dite.