Cuando instalas un complemento en WordPress puedes elegir activarlo o desactivarlo.
Supongamos que tiene un complemento cuya versión más reciente es vulnerable a XSS, por ejemplo, y está esperando que se lance una solución de seguridad. ¿Debo deshabilitar o desinstalar el complemento? ¿Qué se recomienda?
Un complemento es solo un conjunto de archivos PHP (y otros) y cuando se instala, está en un directorio en el servidor web, por lo que si un atacante llama a una función desde el exterior, se ejecutará sin importar si El plugin está "activo" o no. Se puede utilizar una mitigación de un WAF o de algunas reglas de htaccess para denegar el acceso para bloquear el acceso a los archivos vulnerables hasta que se actualicen a la nueva versión (segura).
Es mejor desinstalar el complemento y eliminar todos los archivos, a menos que no sea posible hacerlo porque alteraría demasiado el sitio web y no querrá renunciar a algunas funciones.