在『又一次真实案例证明了滥用 WordPress 插件的危害』文章发布后,不少站长都很好奇这篇文章说的是哪个插件?其实很多时候说 WordPress 插件的安全性的时候并不会特定到某个插件,以前明月认为哪个插件不安全就卸载删除即可,其实这个观点并不对!因为 WordPress 插件带来的安全问题是多方面的,涉及的因素有很多,今天明月就给大家说道说道这个事儿,希望可以让站长们更好的选择和使用 WordPress 插件,当然也包括一些主题。
WordPress 通过其丰富强大的接口和设计理念能够通过插件实现功能扩展,是个非常不错的特色,很多站长们都会借助插件来实现一些特殊需要的功能扩展,由此 WordPress 的插件也非常的丰富。在『说说 WordPress 的插件(Plugins)』一文里明月说过插件是一把双刃剑,带来了功能扩展的同时也意味着将要损失运行性能和安全性。这点儿只要有经验的站长才能深刻体会到,新手一般刚开始对此的感受基本是“零”,因为随着站长们搭建的网站运营时间的增长,各种安全隐患基本也就迎面而来了,这个时间跨度这几年是越来越短了,1-2 年是个高发期(比较无奈的是很多站长们的兴趣也就是 6-12 个月而已,能活过 1 年以上的站长不多,活过 3 年以上的屈指可数),因为这个现实情况也让不少站长们对于插件的安全问题重视不够,不少愿意坚持下去的站长们在碰到安全带来的麻烦后选择了放弃甚至关站消失,可以说这个行当门槛不高、入门简单,但是要精通很难。精通的主要前提就是“经验”累积多寡,下面明月就根据这十多年 WordPress 站点的经验给大家总结一下 WordPress 站点插件选择的问题,最起码让大家明白那些插件会有“安全隐患”问题?哪些插件可以放心大胆的使用?
WordPress 插件安全的标准,要明月来说叫做“绿色插件”是最安全的,所谓的“绿色插件”是指符合下述几点的插件:
凡是符合上述这几点的 WordPress 插件就是明月所谓的“绿色插件”,基本上都是可以放心大胆使用,至于说那些插件是符合“绿色插件”标准的,只能说是具体情况具体对待了,就目前明月使用的插件里符合或者比较符合上述“绿色插件”标准的有:
这些插件除了同步插件属于是收费插件以外,其他都是免费插件,来源都是 WordPress 官方的插件库(除了 SendCloud_Mail 属于是非官方插件库获得的,不过明月已经用了多年了,可以证明是安全的)。
大家可以自行根据我所列出的这些现在正在使用的插件来理解和消化上述所谓“绿色插件”的几条标准,因为这些插件对 WordPress 性能、安全的影响几乎是没有的,就算是有也是在可接受范围内。毕竟这些都是明月使用多年的插件了。
说到 WordPress 插件的安全隐患,我们先理解一下隐患一词的含义:
隐患含义
隐患就是在某个条件、事物以及事件中所存在的不稳定并且影响到个人或者他人安全利益的因素,它是一种潜藏着的因素,“隐”字体现了潜藏、隐蔽,而“患”字则体现了不好的状况。隐患可存在于许多事情中,比如学习,男女间的关系,安全生产中。
对于 WordPress 站点来说“隐患”里的“隐”是最恶心的,危害也是最大的,明月就碰到过隐藏 2 年之久的插件给站点所有文章里都植入了人眼看不到的隐藏“黑链”,要不是搜索引擎提醒“快照”有问题,可能一直都发现不了。可参考『我的一个网站被黑客挂了黑链,已解决!』和『存在于搜索引擎快照里黑链的清除』,好久以前的事儿了,但是到现在明月都记忆深刻,教训惨痛呀(对于站长来说站点被搜索引擎拉黑、降权无异于被宣告“死刑”呀)!
这种“安全隐患”插件的特点一般有如下几个特点:
符合上述三个特点的插件明月建议是慎重使用,没有必要就尽量不要使用,因为这类插件都有很强的迷惑性和隐蔽性,只要预留一个远程唤醒的后门就可以在你的站点服务器上为所欲为了,同时过多的数据库请求和站外链接请求也会严重的拖慢 WordPress 站点的运行性能,很多站长碰到的服务器动不动负载飙升大部分都是这类插件造成的,所以这类插件的安全隐患非常的突出,基本上非必要明月碰到一个就删除一个,经验看很少有“冤枉”的,:-)。
明月目前使用的插件:Compress JPEG & PNG images(WordPress 图片自动压缩插件)就比较符合“安全隐患”的特点,因为其涉及图片文件的读写权限了,加上图片压缩数量每月只有 500 张的限制又涉及跟站外链接数据交换请求了。所以这个插件明月都一直很关注其行为表现,至少到现在为止还没有发现有可疑行为,但不能排除,依旧要时刻注意。
有“安全隐患”的插件使用上对站长服务器运维水平有一定的要求,比如:有目录写入权限的插件,就要找出是哪个目录,写入什么类型的文件,是否可以禁止这个目录写入和执行源代码文件等等,站外请求数据交换是否频繁?对数据库的请求和写入频率、内容多寡这些的监控等等。所以如果是小白站长这类插件还是能不使用就不要使用为宜。
严重不安全的插件基本可以理解是严格禁用的,或者说只有在经验丰富的服务器运维人员配合下有限使用,这类插件不安全的同时还会给你的服务器带来不小的危机,比如:服务器被植入“挖矿”脚本进程成了别人发家致富的工具、入侵服务器盗取原始数据篡改代码等等。这类插件无论你是小白还是新站都不会放过,因为可以免费无偿使用你服务器的资源、IP、流量嘛!所以还在持着“自己只是个草根站长,网站新建小站点,没有价值等等”观点的要明白这个观点有多么的一厢情愿和错误。
严重不安全插件的标准特点总结如下:
权限带来的安全隐患我就不多说了,在这个“严重不安全”插件呢标准里,明月感觉最有迷惑性的就是最后一条指出的网上到处流传的所谓破解版、免费版、泄露版等插件和主题,基本上这种渠道获取到的插件或者主题都会有各种“恶意代码”、“后门木马”等隐患,因为是基于“源代码”隐藏的,本地电脑上的安全软件很少有能识别和提醒的,只有在上传到服务器端特定的生产环境下这些隐患才会伺机而动起来,该唤醒后门的时候立马“里应外合”获取到服务器的写入权限甚至 root 权限开始各种需要的“篡改”行为。还是那句话“免费的是最贵”的,当被这类隐患侵袭后服务器除了“重置”基本很那恢复到“干净”状态,代价有多大,各位站长们自行脑补吧!
至于说著名、知名插件也会有严重不安全的隐患这一条是基于“树大招风”这个理论的,一般这类插件自身是没有啥问题的,但坏就坏在“人怕出名猪怕壮”呀,名气大了自然惦记的人也就多了,正所谓“不怕贼偷就怕贼惦记”,表现在 WordPress 插件上就是会经常有各种注入扫描请求频繁来网站,甚至不少仿冒谷歌、百度搜索引擎蜘蛛爬虫 UA 的扫描请求,这些请求都是针对众多特定插件存在的漏洞或者是某种不完善的运行机制的,日积月累下来总是会被人找到致命漏洞的。并且漏洞分析和扫描并不仅仅依赖某个插件、主题,你服务器生产环境的某个组件、扩展(如 Nginx、PHP、MySQL、Memcached)的某个小漏洞都可能被人利用以达到篡改插件的代码获取到权限,上次明月碰到的安全问题就是这样的方式带来的,在 PHP 5.5 上使用 W3 Total Cache+Memcached 组合,被人很快漏洞攻击成功获取到网站根目录写入权限篡改了 PHP 源代码文件频繁的发送出大量的数据包造成服务器被运营商关停。这里 W3 Total Cache+Memcached 组合被很多教程都推荐过,明月以前也推荐过,但是目前来看这个组合很可能是个不小的安全隐患,至于具体不安全在哪里,明月还说不清楚,但“东边不亮、西边亮”只要你用了这个组合,对方一定可以找到突破的办法,无非是个时间问题而已,毕竟安全漏洞并不是官方修复的时候才是“漏洞”呀!
上述这些严重不安全的插件使用带来的安全隐患,并不是不能用,要用的话有一个前提那就是服务器层面的安全运维一定要跟上,iptables 防火墙规则越完善越好,能屏蔽多少恶意扫描就屏蔽多少,否则就不要冒险使用了。
好了,今天就说这么多吧!没有想到又给弄成“长篇大论”了,最近实在是太“话痨”了,可能是最近更新太少的缘故吧!大家就当是听我啰嗦了!总之,明月还是要奉劝站长们使用 WordPress 插件一定是慎重,能不用的就尽量不要用,在浏览和学习某些教程的时候注意看看教程文章的发布日期,超过一年以上的就不要过分相信了,现在技术的更迭基本上半年就是一次不小的跨度了,所以看技术教程很讲时效性的。
评论留言