अक्षम प्लगइन्स वे सुरक्षा छेद हैं - अफवाह या वास्तविकता?

मैंने कई वर्डप्रेस सुरक्षा ब्लॉग लेख पढ़े हैं जहां सुरक्षा विशेषज्ञ कुछ विशेष कदम उठाने की सिफारिश कर रहे हैं जब कोई व्यक्ति अपने वर्डप्रेस साइट की सुरक्षा के बारे में चिंतित हो। उनमें से एक है:

WordPress Security Tips:
अनावश्यक प्लगइन्स निकालें, जो उपयोग में नहीं हैं।

एक प्लगइन जिसमें सुरक्षा छेद होते हैं, चाहे कोड, संरचना या डीबी कनेक्शन द्वारा, किसी साइट के लिए घातक हो सकता है, भले ही वह किसी साइट पर सक्रिय हो। दूसरी ओर, एक अच्छी तरह से संरचित, अच्छी तरह से कोडित, और सुरक्षित रूप से डीबी-कनेक्टेड प्लगइन में सुरक्षा छेद नहीं हो सकता है, जबकि यह निष्क्रिय है। तो वास्तव में मुद्दा कहां है?

मेरे पास एक साइट है जहां कुछ प्लगइन्स हैं जो मैं कभी-कभी उपयोग करता हूं। मैं वास्तव में उन्हें हटाना नहीं चाहता, लेकिन जब उन्हें जरूरत नहीं होती है तो मैं उन्हें साइट से निष्क्रिय कर देता हूं। क्या मुझे अपनी साइट को सुरक्षित करने के लिए उन्हें हटाने की आवश्यकता है और यदि हां, तो क्यों?

एक प्लगइन जिसमें सुरक्षा छेद हैं, एक समस्या है, चाहे वह सक्रिय हो या न हो। तो यहाँ कुछ कारण हैं कि अक्सर प्लगइन्स को हटाने की सिफारिश की जाती है जो आप उपयोग नहीं कर रहे हैं।

1. यदि आपके पास ऐसे प्लगइन्स हैं जिनका आप उपयोग नहीं कर रहे हैं, तो आप अक्सर उन्हें अपडेट रखने की परवाह नहीं करते हैं। परिणामस्वरूप, उन्हें कोई सुरक्षा अद्यतन नहीं मिलेगा, और यह आपकी साइट पर भेद्यता होगी। लोग अक्सर सोचते हैं कि एक प्लगइन जो नहीं चल रहा है, वह आपकी साइट को नकारात्मक रूप से प्रभावित नहीं कर सकता है, लेकिन सुरक्षा के मामले में, एक हमलावर एक प्लगइन में सुरक्षा छेद का उपयोग कर सकता है जो स्थापित है, भले ही वह सक्रिय न हो।

2. इस बारे में सोचें कि प्लगइन पहले स्थान पर क्यों नहीं चल रहा है। यदि यह एक प्लगइन है जिसे आप नियमित रूप से उपयोग करते हैं, और आप बस आवश्यकतानुसार चालू और बंद करते हैं, तो यह ठीक है। हालाँकि, यह एक प्लगइन हो सकता है जो सही काम नहीं करता है, या अब इसका रखरखाव नहीं किया जा रहा है। प्लगइन्स की यह दूसरी श्रेणी विशेष रूप से सुरक्षा के लिए एक समस्या है, क्योंकि वे अक्सर सुरक्षा छेद का स्रोत होते हैं।

यदि आपके निष्क्रिय प्लगइन्स सक्रिय रूप से बनाए रखे जाते हैं और उन्हें अपडेट रखा जाता है, तो वे कोई समस्या नहीं हैं। लेकिन अगर आपके पास ऐसे प्लग इन इंस्टॉल हैं जिनका उपयोग नहीं किया जा रहा है और उन्हें अपडेट नहीं किया जा रहा है, तो उन्हें हटाना सबसे अच्छा है।

मैंने कुछ बहुत भद्दे प्लग इन देखे हैं, कुछ में स्टैंड-अलोन स्क्रिप्ट शामिल हो सकती हैं जो वैक्टर पर हमला कर सकती हैं और जिन्हें अपडेट नहीं करना या हटाना आपको हमला करने के लिए खुला छोड़ सकता है।

3-पार्टी रिपॉजिटरी से अक्षम प्लगइन्स को अपडेट सूचनाएं प्राप्त नहीं होंगी, क्योंकि उन्हें चलाने के लिए अपने अपडेट चेक कोड के लिए सक्रिय होने की आवश्यकता है। इस प्रकार, यदि एक भेद्यता को एक प्लगइन में खोजा जाता है जो अक्षम है, तो कोई अद्यतन अधिसूचना नहीं दी जाएगी - लेकिन हैकर्स इसके लिए परीक्षण करना जानेंगे।

मैंने एक साइट देखी है जो एक गैलरी इंजेक्शन प्लगइन के माध्यम से निष्पादित SQL इंजेक्शन हमले के माध्यम से कई बार हमला किया गया था जिसे wordpress.org से हटा दिया गया था। क्योंकि रिपॉजिटरी में कोई नया संस्करण नहीं था, इसलिए यह कोई चेतावनी उत्पन्न नहीं करता था कि प्लगइन "आउट ऑफ डेट" है / हमला करने के लिए असुरक्षित है।

सबसे अच्छा केवल उन प्लगइन्स को रखना है जो सक्रिय हैं और अपडेट किए गए हैं। इसके अलावा भेद्यता नोटिस का ट्रैक रखने के लिए एक अच्छा विचार है, और प्लगइन्स का एक मैट्रिक्स जो कि साइटों पर स्थापित किया गया है ताकि आप समस्या होने से पहले खतरे पर प्रतिक्रिया कर सकें। मैं WP से संबंधित कमजोरियों के लिए RSS फ़ीड देखता हूं:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

यदि आप अपनी त्रुटि लॉग की जांच करते हैं, तो आप देखेंगे कि मशीनें आपकी साइट को सुरक्षा छेद वाले प्लगइन्स के लिए स्कैन कर रही हैं - इसलिए यह कोई फर्क नहीं पड़ता कि प्लगइन्स सक्रिय हैं या नहीं, क्योंकि वे सीधे समस्या फ़ाइलों में जाएंगे, और कोशिश नहीं करेंगे और उनके माध्यम से एक्सेस करेंगे। अपने WP प्रति से स्थापित करें।