Intereting Posts
Добавление существующих ссылок в пользовательские меню навигации? Как добавить секретный флажок в шаблон комментария? как разместить логотип в центре других элементов в навигационной панели Переопределение петли с фильтром или крюком Как я могу запрашивать сообщения по настраиваемой мета и тем, которые были лишены? изменить порядок крючков add_action для загрузки jquery Как сделать несколько зависимых полей ввода, которые используют функцию автозаполнения jquery? WP 3.1 – архивные страницы для пользовательских типов контента теперь возможны без плагина? Загрузка скриптов на конкретные страницы Показать список дочерних сообщений в родительском сообщении Добавить пользовательский html в nav_menu Установить заголовок сообщения, основанный на первом элементе h2 в разделе содержимого Каналы фида не работают даже с add_theme_support ('автоматические фиды-ссылки') Удалите тег <ul> из wp_nav_menu Отфильтровать_содержание, чтобы добавить что-то перед каждым элементом <h1>?

Существуют ли процедуры предотвращения вредоносных обновлений плагинов?

Это случайная мысль, которую я имел сегодня. Вот сценарий:

У меня есть плагин в магазине WordPress с более 100 активными установками. Недавно я обновил плагин и нажал изменения в WordPress SVN. Около 60% пользователей обновили плагин в первые пару дней – но что не сказать, что я мог бы обновить свой собственный плагин с помощью вредоносного кода? Например, мой плагин позволяет пользователям создавать короткие номера телефонных номеров – но в обновлении я мог бы изменить код, чтобы проверить, был ли установлен плагин, такой как WooCommerce, и пересылать данные своих клиентов во внешнее местоположение. Существуют ли какие-либо меры для предотвращения таких вещей?

Меня это немного беспокоило, потому что у меня много плагинов, написанных другими разработчиками на моем сайте, и я обновляю их, не проверяя, какие изменения были сделаны все время!

Solutions Collecting From Web of "Существуют ли процедуры предотвращения вредоносных обновлений плагинов?"

TLDR: Нет. Это все о доверии.

Итак, есть некоторые очень простые проверки на wp.org, но обычно это может произойти (и, вероятно, также происходит время от времени). Конечно, если что-то подобное происходит, и люди замечают, что wp.org может блокировать обновления или заменять их чем-то безопасным.

Также взгляните на раздел WordPress.org Theme и Plugin Repositories .

То, что вы можете сделать, на самом деле не отличается от того, что вы делали бы при установке программного обеспечения, например:

  • посмотрите исходный код
  • исследование плагина и / или разработчика, чтобы решить, заслуживают ли они вашего доверия
  • поговорить с другими людьми о плагине
  • не произвольно устанавливайте плагины, которые вы приходите
  • нанимать кого-то для проведения аудитов