web-dev-qa-db-ja.com

悪質なプラグインのアップデートを防ぐための手順はありますか?

これは私が今日持っていたランダムな考えです。これがシナリオです。

私はWordPressストアに100以上のアクティブインストールがあるプラグインを持っています。私は最近プラグインを更新し、WordPress SVNに変更をプッシュしました。最初の2、3日で60%のユーザーがプラグインを更新しましたが、悪意のあるコードで自分のプラグインを更新した可能性があると言っているのではありません。たとえば、私のプラグインを使用すると、ユーザーは電話番号のショートコードを作成できますが、アップデートで、WooCommerceなどのプラグインがインストールされているかどうかをチェックして顧客データを外部の場所に転送するようにコードを変更できます。そのようなことを防ぐための手順はありますか。

私は自分のウェブサイト上に他の開発者によって書かれた多くのプラグインを持っていて、そしてどんな変更がいつもなされているかをチェックせずにそれらを更新するので少し心配しました!

pluginssecuritysvn
7
Liam McArthur

TLDR:いいえ。それはすべて信頼についてです。

そのため、wp.orgには非常に基本的なチェックがいくつかありますが、一般的にはこれが発生する可能性があります(そしておそらくは時々起こります)。もちろん、このようなことが起こり、人々がそれに気付いた場合、wp.orgは更新をブロックするか、または安全なものでそれらを置き換えることができます。

WordPress.orgテーマとプラグインリポジトリ のセクションもご覧ください。

あなたができることは、あなたがソフトウェアをインストールするたびにあなたがすることと実際には何も変わらない。

  • ソースコードを見てください
  • プラグインや開発者があなたの信頼に値するかどうかを判断するための調査
  • プラグインについて他の人と話す
  • ランダムにプラグインをインストールしないでください
  • 監査をするために誰かを雇う
  • ...
9
kraftner