Có các quy trình để ngăn chặn cập nhật plugin độc hại?

7

Đây là một suy nghĩ ngẫu nhiên mà tôi có ngày hôm nay. Đây là kịch bản:

Tôi đã có một plugin trên cửa hàng WordPress với hơn 100 lượt cài đặt hoạt động. Gần đây tôi đã cập nhật plugin và đẩy các thay đổi lên WordPress SVN. Khoảng 60% người dùng đã cập nhật plugin trong vài ngày đầu tiên - nhưng điều không thể nói là tôi có thể cập nhật plugin của riêng mình bằng mã độc? Ví dụ: plugin của tôi cho phép người dùng tạo một mã ngắn số điện thoại - nhưng trong bản cập nhật, tôi có thể đã thay đổi mã để kiểm tra xem một plugin như WooC Commerce đã được cài đặt và chuyển tiếp dữ liệu khách hàng của họ sang vị trí bên ngoài. Có các thủ tục tại chỗ để ngăn chặn những điều như vậy?

Nó làm tôi hơi lo lắng vì tôi có nhiều plugin được viết bởi các nhà phát triển khác trên trang web của mình và tôi cập nhật chúng mà không kiểm tra những thay đổi đã được thực hiện mọi lúc!

plugins  security  svn 
Liam McArthur
nguồn
Điều đó đã xảy ra với các addon của Firefox: Có một địa chỉ đẹp hiển thị địa chỉ IP của trang web trên thanh trạng thái trình duyệt. Nó đã được cập nhật để bắt đầu tiêm quảng cáo vào các trang. Mozilla cuối cùng đã giết nó, tôi nghĩ vậy.
TRiG
Lưu ý rằng đây là trường hợp với bất kỳ phần mềm nào cho phép cập nhật hoặc thay đổi được cài đặt qua Internet. Nó thậm chí không phải là một bản cập nhật cho một plugin hoặc một addon bên thứ 3 khác. Nếu bạn nhớ lại cuộc tấn công ransomware đã lây nhiễm phần lớn Ukraine vào tuần trước, một phần lớn trong số đó dường như là tin tặc đã cố gắng cập nhật giả mạo cho phần mềm kế toán mà tất cả các công ty Ukraine đều yêu cầu sử dụng hợp pháp. Chết tiệt, nếu ai đó quản lý để đẩy một bản cập nhật bất hợp pháp lên chính Wordpress, nó sẽ nguy hiểm hơn bất cứ điều gì một plugin có thể làm.
Nzall
Có liên quan để bình luận bởi Nzall: wordfence.com/blog/2016/11/ trênwptavern.com/ Đổi
kraftner
@kraftner Huh. Tôi thậm chí không nhận thức được lỗ hổng đặc biệt đó khi tôi bình luận. Đó là một giả thuyết "nếu bạn không may mắn, bạn thậm chí không cần sử dụng các plugin để có nguy cơ".
Nzall

Câu trả lời:

9

TLDR: Không. Đó là tất cả về niềm tin.

Vì vậy, có một số kiểm tra rất cơ bản trên wp.org nhưng nhìn chung điều này có thể xảy ra (và có lẽ cũng xảy ra theo thời gian). Tất nhiên nếu một cái gì đó như thế này xảy ra và mọi người nhận thấy nó wp.org có thể chặn cập nhật hoặc thay thế chúng bằng một cái gì đó an toàn.

Ngoài ra, hãy xem phần Kho lưu trữ chủ đề và plugin WordPress.org .

Những gì bạn có thể làm không thực sự khác biệt so với những gì bạn làm mỗi khi cài đặt phần mềm, những thứ như:

  • nhìn vào mã nguồn
  • nghiên cứu về plugin và / hoặc nhà phát triển để quyết định xem họ có xứng đáng với sự tin tưởng của bạn không
  • nói chuyện với người khác về plugin
  • không cài đặt ngẫu nhiên các plugin bạn đi cùng
  • thuê người làm kiểm toán
  • ...
kraftner
nguồn
Thật thú vị khi nghe. Tôi đoán bảo mật trang web của riêng bạn cũng có thể trở nên phụ thuộc vào bảo mật của tác giả plugin!
Liam McArthur
@LiamMcArthur tất nhiên rồi! Bản thân tôi đã thấy một bản cài đặt bị xâm phạm bởi một điểm yếu của plugin.
Rad80
1
Chắc chắn, nhưng điều đó cũng tương tự ở một mức độ nào đó khi bạn nhúng JS từ một số CDN, cài đặt phần mềm trên máy tính của bạn hoặc thậm chí lướt một trang web ngẫu nhiên không đáng tin cậy. Nó luôn là sự cân bằng giữa rủi ro và lợi ích. Nhưng vâng, để ở trong bối cảnh của các plugin WP - hãy chọn một cách khôn ngoan và có thể bạn thậm chí không cần một plugin bên thứ ba nào cả.
kraftner
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.