当WordPress安全团队验证插件漏洞时,他们会联系插件作者,并指导他们如何修复和发布插件的安全版本。如果插件作者没有响应,或者漏洞严重,则会从公共目录中提取插件/主题,在某些情况下,由安全团队直接修复和更新。
解决安全问题
当你收到关于插件安全问题的报告时,可能会非常可怕。首先,不要惊慌。每个人都会犯错。最重要的是安全及时地修复它。
1. 确保你理解这份报告。如果你不确定它的含义,请询问详细信息。即使是第三方记者通常也愿意花时间解释问题所在,并指导你在哪里研究合适的解决方案。
2. 尽量减少更改。这将使您以后更容易复习。
3. 测试你的插件。确保安全修复程序不会破坏其他任何内容。确保升级不会导致奇怪的错误。保持WP_DEBUG打开并记录任何错误。
4. 将问题记录在更改日志中。你不需要包括确切发生的事情的细节,但要记录安全问题已经解决。
5. 相信你的自述中的记者。这很好,让人们以后更倾向于免费帮助你。
6. 更改您的版本号。我们建议使用SemVer,因此3.9版插件的安全发布会将版本更改为3.9.1,以此类推。
自动插件安全更新
自WordPress 3.7以来,我们已经能够推送插件的自动安全更新,以修复插件中的关键漏洞。许多网站都使用了插件自动更新功能,要么直接通过过滤器进行选择,要么使用WordPress的许多远程管理服务之一。
在极端情况下,插件审查团队和WordPress安全团队可能会确定插件问题足够严重,必须为所有用户更新。这种情况极为罕见,因为冲突的可能性很高。
批准插件进行自动更新,并将其推出给WordPress用户的过程是高度手动的。安全团队审查发布中的所有代码更改,验证问题和修复,并确认插件可以安全触发更新。推出自动更新需要修改和部署API代码。这与核心安全发布的标准和流程相同。
标准
我们对安全推送考虑的当前标准是一个简单的列表:
安全团队是否已意识到该问题?
这个问题有多严重?它会对WordPress安装的安全性和更大的互联网产生什么影响?
对该问题的修复是自包含的,还是添加了大量额外的多余代码?
如果插件的多个分支受到影响,是否为每个分支准备了发布?
更新是否可以安全地自动安装?
这些要求的定义方式是,任何人都应该能够勾选每个框。
第一个标准——让安全团队意识到这个问题——是至关重要的。由于这是一个严格控制的过程,WordPress安全团队需要尽早得到通知。让我们知道很简单,只需发送电子邮件至plugins@wordpress.org详细信息。
插件和安全团队将与插件作者(以及报告人,如果不同的话)合作,研究漏洞及其确切暴露情况,验证所提出的修复方案,并确定将发布哪些版本以及何时发布。
-
Post Type Switcher将 WordPress文章从一个类型转换到另一个类型Post Type Switcher是一个WordPress插件,用于将文章从一个类型转换到另一个类型,包括自定义文章类型。安装并启用该插件后,在编辑文章时,会在发布面板中增加Post Type选项,用户可以选择要转换到的文章类型并更新文章。此外,插件也支持在后台所有文章页面批量更改文章类型。
-
Fluent Forms - WordPress表单插件Fluent Forms是一款功能强大且易于使用的WordPress表单插件,适合各种规模的网站使用。无论是简单的联系表单还是复杂的用户调查表,Fluent Forms都能满足用户的需求。
-
WP-Ban WordPress禁止指定IP访问网站的插件WP-Ban是一款专为WordPress网站设计的安全插件,其主要功能是屏蔽恶意或不受欢迎的IP地址,以增强网站的安全性。
-
WPvivid插件:WordPress网站备份与还原的解决方案WPvivid插件是一款功能强大的WordPress插件,专为网站数据备份、还原和搬家设计。它支持高度自定义的备份选项,允许用户选择备份整个站点(包括数据库和文件)、仅文件或仅数据库。
-
Dashboard Notes WordPress仪表盘中添加备注信息的实用插件WP Dashboard Notes插件是WordPress平台上一个实用的仪表盘备注信息工具,它可以帮助网站管理者更好地记录和管理网站的日常维护工作、待办事项等。通过该插件的自定义备注和待办列表功能,用户可以更好的跟踪和完成任务,提高网站管理的效率和质量。
-
FluentSMTP一款功能强大且免费的WordPress SMTP插件FluentSMTP是一款功能强大且免费的SMTP插件,它支持为WordPress配置多个SMTP发送服务器。
暂无评论,抢个沙发...