Denne side er i øjeblikket under opbygning. Vi arbejder på at forbedre det!
Med over 47 tusind plugins i det officielle WordPress-lager og tusindvis flere tilgængelige på forskellige andre markedspladser og websteder, er det en skræmmende opgave at finde dem, der fungerer godt. At finde WordPress-plugins, der er sikre og ikke bringer dit websted i fare, er en endnu sværere opgave på grund af WordPress-sikkerhedens komplekse karakter og ofte massive plugins med tusindvis af kodelinjer.
Selvom vi ikke kan hjælpe dig med at undgå hvert eneste dårlige plugin, kan vi udpege dem, der har kendte, bekræftede sårbarheder og sikkerhedsproblemer. Medmindre du ved, hvad du laver, du tester noget på en lokal installation, eller du er til WordPress-sikkerhed, bør du ikke bruge de farlige plugins, der er anført nedenfor på produktionssteder. Problemer, der er forklaret i tabellen nedenfor, er velkendte og dokumenterede, hvilket gør det nemt for alle med dårlige intentioner at udnytte disse sikkerhedshuller og angribe dit websted.
Ved at angive plugins på denne side, mener vi ingen respekt for dem eller deres forfattere! Vi vil kun advare brugerne om ikke at installere specifikke versioner, der har kendte sikkerhedsproblemer. Hvis du føler, at dit plugin er blevet anført af fejlen eller har brug for hjælp til at opdatere det, bedes du kontakte os.
Hvordan bruger man denne side og listen over sårbare plugins?
Hvis du bruger nogen af de angivne plugins, skal du dobbelttjekke versionsnummeret og bekræfte, at det er den med kendte problemer. Hvis ja - fjern plugin'et med det samme! Dette inkluderer deaktivering og sletning. Ikke bare deaktivering. Du kan også kontakte forfatteren og spørge ham, om problemerne er løst, og hvis ikke opfordre ham til at gøre det.
Sårbarhedstyper
En hurtig påmindelse om de mest almindelige sikkerhedshuller og problemer, som WordPress-plugins står over for. Bemærk venligst, at de fleste problemer er en kombination af to eller flere typer nedenfor.
Vilkårlig filvisning
I stedet for kun at tillade, at bestemte filkilder ses (f.eks. plugin-skabeloner), tillader manglen på kontrol i koden angriberen at se kilden til enhver fil, inklusive dem med følsomme oplysninger såsom wp-config.php
Vilkårlig fil upload
Mangel på filtype og indholdsfiltrering giver mulighed for upload af vilkårlige filer, der kan indeholde eksekverbar kode, som, når den er kørt, kan gøre stort set alt på et websted
Privilegieoptrapning
Når først angriberen har en konto på webstedet, selvom det kun er af abonnenttypen, kan han eskalere sine privilegier til et højere niveau, inklusive administrative.
SQL-indsprøjtning
Ved ikke at undslippe og filtrere data, der går ind i SQL-forespørgsler, kan ondsindet kode injiceres i forespørgsler og data slettes, opdateres eller indsættes i databasen. Dette er en af de mest almindelige sårbarheder.
Fjernudførelse af kode (RCE)
I stedet for at uploade og køre skadelig kode, kan angriberen køre den fra en fjernplacering. Koden kan gøre alt, lige fra at kapre webstedet til helt at slette det.
Liste over hackede, farlige og sårbare WordPress-plugins
Er dit WordPress-websted blevet hacket?
Fortvivl ikke; det sker for de bedste af os. Det er svært at give generiske råd uden at se på dit websted, men hvis du stadig kan logge ind på din WP-administrator, foreslår vi, at du installerer Gratis Security Ninja plugin. Den udfører +40 test på dit websted, og med Core-tilføjelsen kan du validere integriteten af dine kernefiler ved at sammenligne dem med de sikre masterkopier, der er gemt på WordPress.org. Det er et uvurderligt værktøj til ethvert WordPress-websted!
Kilder
Listen over de seneste farlige og sårbare WordPress-plugins er kompileret fra forskellige kilder, herunder:
