WordPress插件开发安全建议

江河/ 2023年12月08日/ WordPress/ 浏览 912

当WordPress安全团队验证插件漏洞时,他们会联系插件作者,并指导他们如何修复和发布插件的安全版本。如果插件作者没有响应,或者漏洞严重,则会从公共目录中提取插件/主题,在某些情况下,由安全团队直接修复和更新。


解决安全问题


当你收到关于插件安全问题的报告时,可能会非常可怕。首先,不要惊慌。每个人都会犯错。最重要的是安全及时地修复它。


1. 确保你理解这份报告。如果你不确定它的含义,请询问详细信息。即使是第三方记者通常也愿意花时间解释问题所在,并指导你在哪里研究合适的解决方案。


2. 尽量减少更改。这将使您以后更容易复习。


3. 测试你的插件。确保安全修复程序不会破坏其他任何内容。确保升级不会导致奇怪的错误。保持WP_DEBUG打开并记录任何错误。


4. 将问题记录在更改日志中。你不需要包括确切发生的事情的细节,但要记录安全问题已经解决。


5. 相信你的自述中的记者。这很好,让人们以后更倾向于免费帮助你。


6. 更改您的版本号。我们建议使用SemVer,因此3.9版插件的安全发布会将版本更改为3.9.1,以此类推。


自动插件安全更新


自WordPress 3.7以来,我们已经能够推送插件的自动安全更新,以修复插件中的关键漏洞。许多网站都使用了插件自动更新功能,要么直接通过过滤器进行选择,要么使用WordPress的许多远程管理服务之一。


在极端情况下,插件审查团队和WordPress安全团队可能会确定插件问题足够严重,必须为所有用户更新。这种情况极为罕见,因为冲突的可能性很高。


批准插件进行自动更新,并将其推出给WordPress用户的过程是高度手动的。安全团队审查发布中的所有代码更改,验证问题和修复,并确认插件可以安全触发更新。推出自动更新需要修改和部署API代码。这与核心安全发布的标准和流程相同。


标准


我们对安全推送考虑的当前标准是一个简单的列表:


安全团队是否已意识到该问题?


这个问题有多严重?它会对WordPress安装的安全性和更大的互联网产生什么影响?


对该问题的修复是自包含的,还是添加了大量额外的多余代码?


如果插件的多个分支受到影响,是否为每个分支准备了发布?


更新是否可以安全地自动安装?


这些要求的定义方式是,任何人都应该能够勾选每个框。


第一个标准——让安全团队意识到这个问题——是至关重要的。由于这是一个严格控制的过程,WordPress安全团队需要尽早得到通知。让我们知道很简单,只需发送电子邮件至plugins@wordpress.org详细信息。


插件和安全团队将与插件作者(以及报告人,如果不同的话)合作,研究漏洞及其确切暴露情况,验证所提出的修复方案,并确定将发布哪些版本以及何时发布。


发表评论

暂无评论,抢个沙发...

客服 工单