wake-up-neo.net

Gibt es Verfahren, um böswillige Plugin-Updates zu verhindern?

Das ist ein zufälliger Gedanke, den ich heute hatte. Hier ist das Szenario:

Ich habe ein Plugin im WordPress-Store mit über 100 aktiven Installationen. Ich habe kürzlich das Plugin aktualisiert und die Änderungen in den WordPress SVN übernommen. Ungefähr 60% der Benutzer haben das Plugin in den ersten Tagen aktualisiert - aber was soll das heißen, ich hätte mein eigenes Plugin mit bösartigem Code aktualisieren können? Mit meinem Plug-in können Benutzer beispielsweise einen Telefonnummern-Shortcode erstellen. Beim Update hätte ich den Code jedoch ändern können, um zu überprüfen, ob ein Plug-in wie WooCommerce installiert wurde, und seine Kundendaten an einen externen Speicherort weiterzuleiten. Gibt es Verfahren, um solche Dinge zu verhindern?

Es hat mich ein wenig beunruhigt, weil ich viele Plugins anderer Entwickler auf meiner Website habe und sie aktualisiere, ohne zu überprüfen, welche Änderungen die ganze Zeit vorgenommen wurden!

7
Liam McArthur

TLDR: Nein. Es geht nur um Vertrauen.

Es gibt also einige sehr grundlegende Prüfungen auf wp.org, aber im Allgemeinen kann dies passieren (und wahrscheinlich auch von Zeit zu Zeit). Natürlich, wenn so etwas passiert und die Leute bemerken, dass wp.org Updates blockieren oder durch etwas Sicheres ersetzen kann.

Schauen Sie sich auch den Abschnitt WordPress.org Theme and Plugin Repositories an.

Was Sie tun können, ist nicht wirklich etwas anderes als das, was Sie tun würden, wenn Sie Software installieren, Dinge wie:

  • schau dir den Quellcode an
  • durchsuchen Sie das Plugin und/oder den Entwickler, um zu entscheiden, ob sie Ihr Vertrauen verdienen
  • sprich mit anderen Leuten über das Plugin
  • installieren Sie die Plugins nicht nach dem Zufallsprinzip
  • jemanden einstellen, der Audits durchführt
  • ...
9
kraftner