防止WordPress插件更新中的恶意代码

时间:2013-04-09 作者:Sam

Wordpress插件数据库中列出的最流行的Wordpress插件之一最近(2013年4月)被注入了恶意代码:http://blog.sucuri.net/2013/04/wordpress-plugin-social-media-widget.html

2011年发生了类似的事情:http://blog.sucuri.net/2011/06/wordpress-plugins-hacked-understanding-the-backdoor.html

我如何防止用最新的插件更新我的Wordpress站点,并防止它们被使用?我是否可以订阅任何安全公告,列出这些最新的妥协以及何时发布补丁?

1 个回复
最合适的回答,由SO网友:Wyck 整理而成

插件的安全性通过更新。org真的落在了WordPress的肩上,为插件作者提供了一个安全的存储库和方法来保护资产。

自2011年以来,他们改进了插件更改通知系统,因此插件作者的代码更改时会收到通知,这是一个很好的更改,尽管可以认为应该实施其他步骤。

为了妥协。org插件您必须破坏插件作者的计算机和密码,或执行MITM攻击。

在你这边,你没有那么多选择。

1。。您可以通过浏览trac上的代码手动检查提交给插件更新的差异。单击“开发人员”,浏览到Trac,然后通过选择2个提交来单击“查看更改”。

enter image description here

例如,在trac上comparing 2 commits Jetpack插件的。

缺点是您必须知道如何读取代码。

2。。您可以尝试恶意软件扫描插件,这不会非常有效,因为任何具有提交访问权限的人都不会笨到提交容易检测到的代码。

我跑步wpsecure.net 并尽量保持最新,但它从各种安全公告中获取信息,即塞库尼亚。com、osvdb。组织并利用数据库。com。

结束
标签: plugins   security   小码农  

相关推荐

Per theme plugins?

我正在构建一个插件,它可以对博客页面的评论部分进行大量修改。它认为我不能用一种适用于所有主题的方式来实现这一点——根据使用的特定主题,必须调整一些CSS。我猜在将来,插件还会在数据库中存储一些数据。所以我想它应该是一个插件,而不是一个主题。(?)因此,这些问题:有没有可能以某种方式表明插件只能处理这个主题和那个主题?然后发布一些相当简单的插件版本,每个版本都针对一组特定的主题进行了调整?或者插件应该与。。。是否存在所有主题?除了按主题插件和/或分叉和修改现有主题之外,你能想出其他解决方案吗?也许是儿童主题