Gibt es Verfahren, um böswillige Plugin-Updates zu verhindern?

7

Dies ist ein zufälliger Gedanke, den ich heute hatte. Hier ist das Szenario:

Ich habe ein Plugin im WordPress Store mit über 100 aktiven Installationen. Ich habe kürzlich das Plugin aktualisiert und die Änderungen an den WordPress SVN übertragen. Rund 60% der Benutzer haben das Plugin in den ersten Tagen aktualisiert - aber was soll ich nicht sagen, dass ich mein eigenes Plugin mit bösartigem Code hätte aktualisieren können? Mit meinem Plugin können Benutzer beispielsweise einen Kurzcode für Telefonnummern erstellen. Im Update hätte ich den Code jedoch ändern können, um zu überprüfen, ob ein Plugin wie WooCommerce installiert wurde, und ihre Kundendaten an einen externen Speicherort weiterleiten können. Gibt es Verfahren, um solche Dinge zu verhindern?

Es hat mich ein wenig beunruhigt, weil ich viele Plugins von anderen Entwicklern auf meiner Website geschrieben habe und sie aktualisiere, ohne zu überprüfen, welche Änderungen ständig vorgenommen wurden!

plugins security svn Liam McArthur
quelle
Es ist mit Firefox-Addons passiert: Es gab eine nette, die die IP-Adresse der Site in der Browser-Statusleiste anzeigte. Es wurde aktualisiert, um Anzeigen in Seiten einzufügen. Mozilla hat es schließlich getötet, denke ich.
TRiG
Beachten Sie, dass dies bei buchstäblich jeder Software der Fall ist, mit der Updates oder Änderungen über das Internet installiert werden können. Es muss nicht einmal ein Update für ein Plugin oder ein anderes Addon eines Drittanbieters sein. Wenn Sie sich an den Ransomware-Angriff erinnern, der letzte Woche große Teile der Ukraine infiziert hat, scheint ein großer Teil davon darin zu liegen, dass Hacker es geschafft haben, ein gefälschtes Update für die Buchhaltungssoftware zu veröffentlichen, zu deren Verwendung alle ukrainischen Unternehmen gesetzlich verpflichtet sind. Zum Teufel, wenn es jemandem gelingt, ein illegales Update auf Wordpress selbst zu übertragen, wäre es weitaus gefährlicher als alles, was ein Plugin jemals tun könnte.
Nzall
Relevant für den Kommentar von Nzall: wordfence.com/blog/2016/11/… und wptavern.com/…
Kraftner
@kraftner Huh. Ich war mir dieser besonderen Sicherheitslücke nicht einmal bewusst, als ich den Kommentar abgab. Es war eher eine Hypothese: "Wenn Sie Pech haben, müssen Sie nicht einmal Plugins verwenden, um gefährdet zu sein."
Nzall

Antworten:

9

TLDR: Nein. Es geht nur um Vertrauen.

Es gibt also einige sehr grundlegende Überprüfungen auf wp.org, aber im Allgemeinen kann dies passieren (und wahrscheinlich auch von Zeit zu Zeit). Wenn so etwas passiert und die Leute es bemerken, kann wp.org natürlich Updates blockieren oder durch etwas Sicheres ersetzen.

Schauen Sie sich auch den Abschnitt WordPress.org Theme und Plugin Repositories an .

Was Sie tun können, unterscheidet sich nicht wirklich von dem, was Sie tun würden, wenn Sie Software installieren. Dinge wie:

  • Schauen Sie sich den Quellcode an
  • Recherchieren Sie über das Plugin und / oder den Entwickler, um zu entscheiden, ob sie Ihr Vertrauen verdienen
  • Sprich mit anderen Leuten über das Plugin
  • Installieren Sie nicht zufällig Plugins, die Sie mitkommen
  • Stellen Sie jemanden für Audits ein
  • ...
Kraftner
quelle
Das ist interessant zu hören. Ich denke, Ihre eigene Website-Sicherheit kann dann auch von der Sicherheit der Plugin-Autoren abhängen!
Liam McArthur
@ LiamMcArthur natürlich! Ich habe eine Installation gesehen, die selbst durch eine Plugin-Schwäche beeinträchtigt wurde.
Rad80
1
Sicher, aber das ist bis zu einem gewissen Grad dasselbe, wenn Sie JS von einem CDN einbetten, Software auf Ihrem Computer installieren oder sogar auf einer zufälligen, nicht vertrauenswürdigen Website surfen. Es ist immer ein Gleichgewicht zwischen Risiko und Nutzen. Aber ja, um im Kontext von WP-Plugins zu bleiben - wählen Sie mit Bedacht aus und vielleicht brauchen Sie überhaupt kein Plugin von Drittanbietern.
Kraftner