隐藏的 WordPress 5.5 功能块流氓插件

新更新的 WordPress 5.5 包含一项功能,可防止流氓插件接管 WordPress 网站。 该更改允许 WordPress 站点检查插件是否合法,如果它被标记为阻止更新,则阻止它更新。

WordPress 安全功能未公布

这个新功能没有得到公告。

相反,这种变化的符号实际上隐藏在对 WordPress 的数百个其他改进的列表中。

它隐藏在 WordPress 5.5 中包含的数百个其他更改的长长列表中。

WordPress 5.5 中的此代码更新提高了安全性,值得更好地理解,因为它对安全性产生了积极影响。

对 WordPress 5.5 所做的更改列表是如此之长,以至于您必须滚动六次才能找到有关此重要安全相关更新的注释的位置。

WordPress 供应链攻击

有恶意组织购买 WordPress 插件来添加恶意广告、后门和链接。 这种攻击方法利用了发布者对他们已经下载并信任的插件的信任。

启用自动更新后,这可以为恶意插件提供一种简单的方法来感染使用该插件的每个发布者。

但是,WordPress 构建了一种方法来标记不良插件并远程禁用流氓插件的自动更新功能。

WordPress 5.5 如何阻止流氓插件

如果出现问题,WordPress 已经内置了一种禁用插件自动更新的方法。

根据WordPress

“新的自动更新 UI 很棒,但它会受益于远程禁用插件/主题的自动更新。

它将为 WordPress.org 提供控制自动更新推出的可能性,例如,在发布后 1-24 小时自动更新每个人,而不是立即更新,以便发现任何重大错误。

理想情况下,它永远不需要用于它,但它还可以保护 WordPress 用户,允许我们为插件禁用它或完全禁用它,如果它有任何意外行为。

附加的 PR 允许 WordPress.org API 响应包含一个 disable_autoupdate 标志,该标志将为该项目禁用它,它不会影响 UI 并且希望永远不需要(除了 A/B 烟雾的示例用例测试等)。”

将会发生的情况是 WordPress 网站将检查是否应更新插件的验证。

一个叫做“旗帜”的“旗帜”disable_autoupdate”将与 WordPress 网站沟通,以不更新特定插件。 这个“标志”就像一个看门人,决定哪个插件将停止更新。

记录代码更改的 WordPress 页面截图

WordPress 代码截图这是 WordPress 记录的添加代码的屏幕截图。 该代码就像一个看门人,要求回答是或否,以确定是允许还是阻止插件更新。

Wordfence 说这是一个很好的变化

我联系了 Wordfence 的安全研究人员(@wordfence) 关于这个新功能。

他们的回答参考了以下技术术语:

  • WP-Cron:这是由 WordPress 安装执行的计划任务。
  • 核心团队和回购经理: WordPress.org 的工作人员。
  • 存储库: 插件的存储位置

这就是 Wordfence 的研究人员所说的:

“自动更新由 wp-cron 每天两次在各个站点上触发。

如果站点所有者为该特定主题或插件启用了自动更新,该站点将查看存储库以识别主题/插件更新。

存储库主题和插件开发人员将自行签入新版本的插件; 核心团队和回购经理不会审核或检查该代码。

因此,现在有了自动更新功能,签入的任何插件代码都可以下载到任何启用了自动更新的站点。

此控件旨在防止在出现问题时将该代码推广到自动更新站点。 例如,此功能可以防止我们过去看到的一些供应链攻击,其中攻击者购买插件并将恶意代码放置在存储库插件中。

当站点向 repo 寻求更新时,repo 可以使用此标志(应仅设置为 true 或 false)进行响应,以确保不会自动更新有问题的插件或主题。”

WordPress 5.5 安全改进

这个新功能没有得到公告。 但它很重要,因为它使在 WordPress 上发布网站更安全,并阻止犯罪分子接管 WordPress 网站。

引文

允许 WordPress.org 远程禁用插件/主题的自动更新

关于 WordPress 供应链攻击的 Wordfence 文章

自动更新标志的 WordPress GitHub 页面
允许 API 远程禁用自动更新

给TA打赏
共{{data.count}}人
人已打赏
主题

Redb - HTML5 时尚模板

2022-9-19 13:32:37

TikTok为广告商吸引用户提供了一种新方式

2022-5-6 1:40:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索