WordPress插件开发安全建议

当WordPress安全团队验证插件漏洞时，他们会联系插件作者，并指导他们如何修复和发布插件的安全版本。如果插件作者没有响应，或者漏洞严重，则会从公共目录中提取插件/主题，在某些情况下，由安全团队直接修复和更新。

解决安全问题

当你收到关于插件安全问题的报告时，可能会非常可怕。首先，不要惊慌。每个人都会犯错。最重要的是安全及时地修复它。

1. 确保你理解这份报告。如果你不确定它的含义，请询问详细信息。即使是第三方记者通常也愿意花时间解释问题所在，并指导你在哪里研究合适的解决方案。

2. 尽量减少更改。这将使您以后更容易复习。

3. 测试你的插件。确保安全修复程序不会破坏其他任何内容。确保升级不会导致奇怪的错误。保持WP_DEBUG打开并记录任何错误。

4. 将问题记录在更改日志中。你不需要包括确切发生的事情的细节，但要记录安全问题已经解决。

5. 相信你的自述中的记者。这很好，让人们以后更倾向于免费帮助你。

6. 更改您的版本号。我们建议使用SemVer，因此3.9版插件的安全发布会将版本更改为3.9.1，以此类推。

自动插件安全更新

自WordPress 3.7以来，我们已经能够推送插件的自动安全更新，以修复插件中的关键漏洞。许多网站都使用了插件自动更新功能，要么直接通过过滤器进行选择，要么使用WordPress的许多远程管理服务之一。

在极端情况下，插件审查团队和WordPress安全团队可能会确定插件问题足够严重，必须为所有用户更新。这种情况极为罕见，因为冲突的可能性很高。

批准插件进行自动更新，并将其推出给WordPress用户的过程是高度手动的。安全团队审查发布中的所有代码更改，验证问题和修复，并确认插件可以安全触发更新。推出自动更新需要修改和部署API代码。这与核心安全发布的标准和流程相同。

标准

我们对安全推送考虑的当前标准是一个简单的列表：

安全团队是否已意识到该问题？

这个问题有多严重？它会对WordPress安装的安全性和更大的互联网产生什么影响？

对该问题的修复是自包含的，还是添加了大量额外的多余代码？

如果插件的多个分支受到影响，是否为每个分支准备了发布？

更新是否可以安全地自动安装？

这些要求的定义方式是，任何人都应该能够勾选每个框。

第一个标准——让安全团队意识到这个问题——是至关重要的。由于这是一个严格控制的过程，WordPress安全团队需要尽早得到通知。让我们知道很简单，只需发送电子邮件至plugins@wordpress.org详细信息。

插件和安全团队将与插件作者（以及报告人，如果不同的话）合作，研究漏洞及其确切暴露情况，验证所提出的修复方案，并确定将发布哪些版本以及何时发布。