如何检查插件中的恶意代码? 时间:2015-08-10 作者:ban-geoengineering 我们的新托管公司对我们的安装进行了安全检查,听说我们购买的高级插件(Easy Media Gallery Pro)包含恶意代码,我非常惊讶。(这可能只是巧合,但我们的网站在升级到该插件的Pro版本时遭到了黑客攻击。)无论如何,我想知道是否有任何可靠的实用程序可以对插件执行可靠、独立的安全检查before 我在我的网站上安装了它?? 2 个回复 最合适的回答,由SO网友:denis.stoyanov 整理而成 有几个选项/插件可以做到这一点,但没有什么可以为您提供100%的安全性。遵循良好实践、每日/每周备份以及使用遵循良好代码实践的主题/插件通常会帮助您避免麻烦。但同样,没有什么能给你百分之百的安全感。至于插件,您可以尝试几种可以让您安心的插件:Wordfence SecurityiThemes Security (formerly Better WP Security)All In One WP Security & Firewall我主要从事Wordfence安全方面的工作,因为我使用的大多数插件都来自官方WP存储库,它有一些整洁的设置,允许您直接将主题/插件的代码与主题/插件的repo的更改进行比较,并扫描代码以查找潜在问题。But again this is not a 100% solution. SO网友:prosti 目前,WordPress中大约有30000多个插件不是空的。组织存储库。这些插件提交以供包含,并由志愿者手动审查,然后将其放在存储库中。在存储库中包含插件和主题并不能保证它们没有安全漏洞。请记住,尽管某些插件目前可能是安全的,但新的插件更新可能会带来安全问题。一个很好的阅读资源是:https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline由于插件的动态特性(请阅读:它们是更新的),请记住每天检查插件。为了执行静态插件源代码审计,可以使用以下工具:RIPS: PHP脚本中漏洞的静态源代码分析器PHP-sat: PHP静态分析Yasca: 最好将其描述为“美化的grep脚本”加上其他开源工具的集合。和其他基于Linux grep命令的工具。正如您在OWASP文档中看到的那样,还有一些动态工作的工具(运行时),这一点也很重要。让我们假设一些“坏”插件可能包含带有隐藏数据的图像,这些图像可以动态转换为坏的PHP代码指令。 结束 文章导航
