Quando installi un plugin in WordPress puoi scegliere di attivarlo o disattivarlo.
Supponiamo che tu abbia un plugin di cui la versione più recente è vulnerabile ad XSS, ad esempio, e stai aspettando che venga rilasciata una correzione di sicurezza. Devo disabilitare o disinstallare il plugin? Cosa è raccomandato?
Un plugin è solo un mucchio di file PHP (e di altri) e quando è installato, è in una directory sul server Web, quindi se una funzione viene chiamata dall'esterno da un utente malintenzionato, verrà eseguita indipendentemente dal fatto che il plugin è "attivo" o no. Una mitigazione da un WAF o da alcune regole htaccess per negare l'accesso potrebbe essere utilizzata per bloccare l'accesso ai file vulnerabili fino a quando non vengono aggiornati alla nuova versione (sicura).
È meglio disinstallare il plugin ed eliminare tutti i file, a meno che non sia possibile farlo perché altererebbe troppo il sito web e non si vuole rinunciare ad alcune funzioni.