অক্ষম প্লাগইনগুলি কি সেগুলি সুরক্ষা গর্ত - গুজব বা বাস্তবতা?

10

আমি অনেক ওয়ার্ডপ্রেস সুরক্ষা ব্লগ নিবন্ধ পড়েছি যেখানে সুরক্ষা বিশেষজ্ঞরা যখন কেউ তাদের ওয়ার্ডপ্রেস সাইটের সুরক্ষা সম্পর্কে উদ্বিগ্ন হন তখন যত্ন নেওয়ার জন্য কিছু বিশেষ পদক্ষেপের পরামর্শ দিচ্ছেন। এর মধ্যে একটি হ'ল:

ওয়ার্ডপ্রেস সুরক্ষা টিপস:
অপ্রয়োজনীয় প্লাগইনগুলি সরান, যা ব্যবহার হয় না।

কোড, কাঠামো বা ডিবি সংযোগ অনুসারে সুরক্ষা গর্তযুক্ত একটি প্লাগইন কোনও সাইটে সক্রিয় থাকলেও কোনও সাইটের জন্য মারাত্মক হতে পারে। অন্যদিকে, একটি সুগঠিত, ভাল কোডেড এবং নিরাপদে ডিবি-সংযুক্ত প্লাগইনটি নিষ্ক্রিয় করা হলেও সুরক্ষা গর্ত নাও থাকতে পারে। তাহলে বিষয়টি ঠিক কোথায়?

আমার একটি সাইট রয়েছে যেখানে আমি মাঝে মধ্যে কিছু প্লাগইন ব্যবহার করি। আমি আসলে এগুলি মুছতে চাই না তবে যখন তাদের প্রয়োজন হয় না আমি কেবল তাদের সাইট থেকে নিষ্ক্রিয় করি। আমার সাইটটি সুরক্ষিত করার জন্য আমার কি সেগুলি মুছতে হবে এবং যদি তাই হয় তবে কেন?

plugins  security 
মইনুল ইসলাম
সূত্র
2
এটি "হেলিকপ্টার দিয়ে কী ভুল হতে পারে?" ভাল, প্রায় এক মিলিয়ন বিভিন্ন জিনিস। আমি নিশ্চিত যে আমি এমন একটি প্লাগইন লিখতে পারি যা বিপজ্জনক এমনকি নিষ্ক্রিয়ও হতে পারে এবং এটি করার বিভিন্ন উপায় থাকতে হবে। সমস্যা কি? আচ্ছা, প্লাগইন কী? আপনি যা ব্যবহার করছেন না কেবল তা সরিয়ে ফেলুন। আপনার বেট লাগিয়ে দিন।
s_ha_dum
1
এটি সম্ভবত বৈধ প্রশ্ন হিসাবে মতামতযুক্ত উত্তরগুলির দিকে নিয়ে যায় তবে আমার মতে প্লাগিনগুলি যদি খারাপভাবে প্রোগ্রাম করা হয় তবে এটি কেবল একটি সুরক্ষা সমস্যা। তবে এটি মূলত পৌরাণিক কাহিনীর মতোই যা প্লাগইনগুলি কার্য সম্পাদনের জন্য সাধারণত খারাপ।
নিকোলাই

উত্তর:

15

সিকিউরিটি হোল রয়েছে এমন একটি প্লাগইন সক্রিয় করা আছে কিনা তা একটি সমস্যা। সুতরাং আপনি যে প্লাগইনগুলি ব্যবহার করছেন না সেগুলি প্রায়শই সরিয়ে ফেলার জন্য প্রায়শই সুপারিশ করার কারণ এখানে কিছু কারণ রয়েছে।

  1. আপনার যদি এমন প্লাগইন থাকে যা আপনি ব্যবহার করছেন না, তবে আপনি প্রায়শই সেগুলিকে আপডেট করার বিষয়ে চিন্তা করেন না। ফলস্বরূপ, তারা কোনও সুরক্ষা আপডেট পাবেন না এবং এটি আপনার সাইটে একটি দুর্বলতা হবে। লোকেদের প্রায়শই মনে হয় যে একটি প্লাগইন চলছে না তা আপনার সাইটে নেতিবাচকভাবে প্রভাব ফেলতে পারে না, তবে সুরক্ষার ক্ষেত্রে, আক্রমণকারী ইনস্টলড থাকা প্লাগিনের সুরক্ষা গর্তটি সক্রিয় না করা সত্ত্বেও কাজে লাগাতে পারে।

  2. প্লাগিনটি কেন প্রথম স্থানে চলছে না তা ভেবে দেখুন। এটি যদি আপনি নিয়মিত ব্যবহার করেন এমন একটি প্লাগইন হয় এবং প্রয়োজন হিসাবে আপনি কেবল চালু এবং বন্ধ করেন তবে তা ঠিক। তবে এটি এমন একটি প্লাগইন হতে পারে যা সঠিকভাবে কাজ করে না বা এটি আর রক্ষণাবেক্ষণ করা হচ্ছে না। এই দ্বিতীয় বিভাগের প্লাগইনগুলি বিশেষত সুরক্ষার জন্য সমস্যা, কারণ এগুলি প্রায়শই সুরক্ষা গর্তের উত্স।

যদি আপনার নিষ্ক্রিয় প্লাগইনগুলি সক্রিয়ভাবে রক্ষণাবেক্ষণ করা হয় এবং আপডেট রাখা থাকে তবে এগুলি কোনও সমস্যা নয়। তবে আপনার যদি প্লাগইন ইনস্টল থাকে যা ব্যবহার করা হচ্ছে না এবং আপডেট হচ্ছে না, সেগুলি সরিয়ে ফেলা ভাল is

বেন মিলার - মনিকার কথা মনে আছে
সূত্র
6

আমি কিছু সুন্দর ক্রেডি প্লাগইন দেখেছি, কিছুতে স্ট্যান্ড-অ্যালোন স্ক্রিপ্টগুলি অন্তর্ভুক্ত থাকতে পারে যা আক্রমণকারী ভেক্টর হতে পারে এবং আপডেট না করা বা অপসারণ না করা আপনাকে আক্রমণে মুক্ত রাখতে পারে।

তৃতীয় পক্ষের সংগ্রহস্থলগুলি থেকে অক্ষম থাকা প্লাগইনগুলি আপডেট বিজ্ঞপ্তিগুলি গ্রহণ করবে না কারণ তাদের আপডেট চেক কোডটি চালানোর জন্য তাদের সক্রিয় করা দরকার। সুতরাং, যদি অক্ষম থাকা প্লাগইনে কোনও দুর্বলতা সন্ধান করা হয় তবে আপডেটের কোনও বিজ্ঞপ্তি দেওয়া হবে না - তবে হ্যাকাররা এটির জন্য পরীক্ষা করতে জানবে।

আমি এমন একটি সাইট দেখেছি যা ওয়ার্ডপ্রেস.আর.োগ্রাফি থেকে সরানো একটি গ্যালারী টেম্পলেট প্লাগইনের মাধ্যমে সম্পাদিত এসকিউএল ইনজেকশন আক্রমণের মাধ্যমে একাধিকবার আক্রমণ করা হয়েছিল। সংগ্রহস্থলটিতে কোনও নতুন সংস্করণ না থাকায় এটি কোনও সতর্কতা উত্পন্ন করতে পারেনি যে প্লাগইনটি "পুরানো" হয়ে গেছে / আক্রমণে ঝুঁকির মধ্যে রয়েছে।

সক্রিয় এবং আপডেট রাখা কেবলমাত্র প্লাগইন রাখা ভাল। দুর্বলতা বিজ্ঞপ্তিগুলির ট্র্যাক রাখা এবং একটি সমস্যা তৈরি হওয়ার আগে আপনি কোনও হুমকির প্রতিক্রিয়া জানাতে পারেন এমন কোনও প্লাগইনগুলির একটি ম্যাট্রিক্স যা কোনও সাইটে ইনস্টল করা আছে তা একটি ভাল ধারণা। আমি এই আরএসএস ফিডটি WP- সম্পর্কিত দুর্বলতার জন্য দেখি:

http://rss.packetstormsecurity.com/search/files/?q=wordpress

webaware
সূত্র
আপনি বলেছিলেন: "তৃতীয় পক্ষের সংগ্রহস্থলগুলি থেকে অক্ষম থাকা প্লাগইনগুলি আপডেট বিজ্ঞপ্তিগুলি গ্রহণ করবে না কারণ তাদের আপডেট চেক কোডটি চালানোর জন্য তাদের সক্রিয় করা দরকার" " আমি অসম্মতি জানালাম, কারণ ডাব্লুপি সংগ্রহশালা থেকে অনেক প্লাগইন দেখেছি, তারা অক্ষম থাকলেও তাদের আপডেটের জন্য অনুরোধ করছে। জানি না কিভাবে ???
মায়িনুল ইসলাম
3
ওয়ার্ডপ্রেস.আর.জি. থেকে অক্ষম প্লাগইনগুলি আপডেটগুলি দেখায়, তবে তৃতীয় পক্ষের সংগ্রহস্থলগুলির (যেমন গ্র্যাভিটি ফর্ম, উওমিমাস প্লাগইন ইত্যাদি) প্লাগইনগুলি সক্রিয় না করা থাকলে আপডেটগুলি পরীক্ষা করতে পারে না - কিছু চালানোর জন্য তারা প্লাগইন আপডেট চেকটিতে প্রবেশ করে some দূরবর্তী সংগ্রহস্থলের ক্যোয়ারী কোড এবং তারা অক্ষম করা থাকলে তা করতে পারে না।
ওয়েবওয়ার
2

আপনি যদি নিজের ত্রুটিযুক্ত লগগুলি পরীক্ষা করেন তবে আপনি দেখতে পাবেন যে সুরক্ষা গর্তযুক্ত প্লাগইনগুলির জন্য আপনার সাইটগুলি স্ক্যান করছে মেশিনগুলি - সুতরাং প্লাগইনগুলি সক্রিয় করা আছে কিনা তা বিবেচ্য নয়, কারণ তারা সরাসরি সমস্যা ফাইলগুলিতে যাবে, এবং চেষ্টা করে তাদের মাধ্যমে অ্যাক্সেস করবে না আপনার ডাব্লুপি প্রতি ইঞ্চি ইনস্টল করুন।

ডেভ ফিচ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.