禁用的插件是安全漏洞-谣言还是现实？

我已经阅读了许多WordPress安全博客文章，其中安全专家建议一些特别的步骤，当有人担心其WordPress网站的安全性时要多加注意。其中之一是：

WordPress安全提示：
删除不需要的不必要的插件。

带有安全漏洞的插件（无论是通过代码，结构还是数据库连接）都可能对站点造成致命影响，即使已在站点上将其激活也是如此。另一方面，结构良好，编码正确且数据库连接牢固的插件即使被停用也可能没有安全漏洞。那么问题到底出在哪里呢？

我有一个网站，其中偶尔会使用一些插件。我实际上不想删除它们，但是当不需要它们时，我只是将其从站点上停用。我需要删除它们以保护我的网站吗，为什么？

有安全漏洞的插件是一个问题，无论它是否被激活。因此，出于某些原因，通常建议您删除不使用的插件。

1. 如果您有不使用的插件，那么您通常就不会在意它们的更新。结果，他们将不会获得任何安全更新，这将是您网站上的漏洞。人们通常认为未运行的插件不会对您的站点造成负面影响，但是在安全性方面，攻击者可以利用已安装插件的安全漏洞，即使未激活也是如此。

2. 想一想为什么插件最初没有运行。如果它是您经常使用的插件，并且您只需要根据需要打开和关闭它，那很好。但是，它可能是无法正常工作或不再得到维护的插件。第二类插件尤其是安全性问题，因为它们通常是安全漏洞的根源。

如果您停用的插件得到了积极维护并保持更新，那么这不是问题。但是，如果您安装了未使用且未更新的插件，则最好将其删除。

我见过一些非常糟糕的插件，一些插件可能包含独立的脚本，这些脚本可能是攻击的载体，而没有更新或删除这些脚本会使您容易受到攻击。

来自第三方存储库的已禁用插件将不会收到更新通知，因为需要激活它们才能运行更新检查代码。因此，如果在禁用的插件中发现了漏洞，则不会给出更新通知-但黑客会知道对此进行测试。

我见过一个站点，该站点已通过画廊模板插件执行的SQL注入攻击而遭到多次攻击，该模板模板插件已从wordpress.org中删除。由于存储库中没有较新的版本，因此它不会生成任何关于插件“已过时” /容易受到攻击的警告。

最好只保留处于活动状态并保持更新的插件。跟踪漏洞通知也是一个好主意，并且在每个站点上安装了一些插件矩阵，以便您可以在威胁成为问题之前做出反应。我在此RSS feed中查看了与WP相关的漏洞：

http://rss.packetstormsecurity.com/search/files/?q=wordpress

如果您检查错误日志，则会看到机器在您的站点上扫描带有安全漏洞的插件-因此，是否激活插件都没有关系，因为它们将直接进入问题文件，而不会尝试通过以下方式访问它们您的WP安装本身。