web-dev-qa-db-fra.com

Existe-t-il des procédures pour empêcher les mises à jour malveillantes des plugins?

C'est une pensée aléatoire que j'ai eue aujourd'hui. Voici le scénario:

J'ai un plugin sur le magasin WordPress avec plus de 100 installations actives. J'ai récemment mis à jour le plugin et transmis les modifications au fichier WordPress SVN. Environ 60% des utilisateurs ont mis à jour le plug-in au cours des deux premiers jours - mais cela ne veut pas dire que j'aurais pu mettre à jour mon propre plug-in avec du code malveillant? Par exemple, mon plug-in permet aux utilisateurs de créer un numéro abrégé de numéro de téléphone - mais lors de la mise à jour, j'aurais pu changer le code pour vérifier si un plug-in tel que WooCommerce était installé et transférer les données de leurs clients vers un emplacement externe. Des procédures sont-elles en place pour prévenir de telles choses?

Cela m'a un peu inquiété car j'ai beaucoup de plugins écrits par d'autres développeurs sur mon site web et je les mets à jour sans vérifier quelles modifications ont été apportées tout le temps!

pluginssecuritysvn
7
Liam McArthur

TLDR: Non. Tout est question de confiance.

Donc, il y a quelques vérifications très basiques sur wp.org mais généralement cela peut arriver (et cela arrive probablement aussi de temps en temps). Bien sûr, si quelque chose comme cela se produit et que les gens le remarquent, wp.org peut bloquer les mises à jour ou les remplacer par quelque chose de sûr.

Consultez également la section Dépôts de thèmes et de plugins WordPress.org .

Ce que vous pouvez faire n’est pas vraiment différent de ce que vous feriez lorsque vous installerez un logiciel, par exemple:

  • regarde le code source
  • recherche sur le plugin et/ou le développeur pour décider s'il mérite votre confiance
  • parler à d'autres personnes du plugin
  • ne pas installer au hasard des plugins vous venez
  • embaucher quelqu'un pour faire des vérifications
  • ...
9
kraftner