I plugin Wordpress inattivi e vulnerabili non sono ancora sicuri?

5

Quando installi un plugin in WordPress puoi scegliere di attivarlo o disattivarlo.

Supponiamo che tu abbia un plugin di cui la versione più recente è vulnerabile ad XSS, ad esempio, e stai aspettando che venga rilasciata una correzione di sicurezza. Devo disabilitare o disinstallare il plugin? Cosa è raccomandato?

Un plugin è solo un mucchio di file PHP (e di altri) e quando è installato, è in una directory sul server Web, quindi se una funzione viene chiamata dall'esterno da un utente malintenzionato, verrà eseguita indipendentemente dal fatto che il plugin è "attivo" o no. Una mitigazione da un WAF o da alcune regole htaccess per negare l'accesso potrebbe essere utilizzata per bloccare l'accesso ai file vulnerabili fino a quando non vengono aggiornati alla nuova versione (sicura).

È meglio disinstallare il plugin ed eliminare tutti i file, a meno che non sia possibile farlo perché altererebbe troppo il sito web e non si vuole rinunciare ad alcune funzioni.

    
posta Fabio 22.06.2016 - 16:46
fonte

1 risposta

6

Dipende dal plugin, possono essere se esiste uno script PHP che può essere chiamato direttamente (non dipende dal codice wordpress o include le istruzioni corrette per caricare le librerie wordpress di cui ha bisogno).

È possibile tentare in modo efficace di bloccare l'accesso diretto ai file tramite la configurazione di htaccess / server, ma ci sono modi per aggirarli. Rimozione completamente è meglio in generale, dopo tutto non è possibile eseguire un file che non esiste.

In definitiva dipende dalla vulnerabilità e dallo script in cui si trova.

    
risposta data 22.06.2016 - 16:54
fonte