Sendet WordPress Daten zu Ihrem Blog an WordPress.org oder Automattic?

40

Ich habe kürzlich jemanden sagen hören, WordPress schicke Daten über Ihren Blog nach Hause. Ist das wahr? und wenn ja, welche Daten sind das oder wo im Code kann ich sehen, was ausgetauscht wird?

römisch
quelle
1
Mit @Otto können Sie am besten beurteilen, welche Daten gespeichert und wie sie letztendlich verwendet werden.
Brian Fegter

Antworten:

30

Ja tut es. Siehe Ticket # 16778 WordPress gibt Benutzer- / Blog-Informationen während der Ausführung von wp_version_check () preis . Alle Details sind in /wp-includes/update.php:

if ( is_multisite( ) ) {
    $user_count = get_user_count( );
    $num_blogs = get_blog_count( );
    $wp_install = network_site_url( );
    $multisite_enabled = 1;
} else {
    $user_count = count_users( );
    $user_count = $user_count['total_users'];
    $multisite_enabled = 0;
    $num_blogs = 1;
    $wp_install = home_url( '/' );
}

$query = array(
    'version'           => $wp_version,
    'php'               => $php_version,
    'locale'            => $locale,
    'mysql'             => $mysql_version,
    'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
    'blogs'             => $num_blogs,
    'users'             => $user_count,
    'multisite_enabled' => $multisite_enabled
);

$url = 'http://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

$options = array(
    'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
    'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
    'headers' => array(
        'wp_install' => $wp_install,
        'wp_blog' => home_url( '/' )
    )
);

$response = wp_remote_get($url, $options);

Der Benutzeragent enthält die URL Ihrer Installation, sodass alle diese Daten nicht mehr anonym sind. Um die Privatsphäre zu schützen 'http_request_args'und die Daten zu ändern, die Sie nicht verlieren möchten.

Hier ist ein einfaches Beispiel für die Anonymisierung der UA-Zeichenfolge (aus einem kürzlich erschienenen Blog-Artikel ):

add_filter( 'http_request_args', 't5_anonymize_ua_string' );

/**
 * Replace the UA string.
 *
 * @param  array $args Request arguments
 * @return array
 */
function t5_anonymize_ua_string( $args )
{
    global $wp_version;
    $args['user-agent'] = 'WordPress/' . $wp_version;

    // catch data set by wp_version_check()
    if ( isset ( $args['headers']['wp_install'] ) )
    {
        $args['headers']['wp_install'] = 'http://example.com';
        $args['headers']['wp_blog']    = 'http://example.com';
    }
    return $args;
}

Sie können dies ändern in ...

add_filter( 'http_request_args', 't5_anonymize_ua_string', 10, 2 );

... und die Anforderungs-URL als zweiten Parameter für Ihren Rückruf erhalten. Jetzt können Sie überprüfen, ob die URL http://api.wordpress.org/core/version-check/und enthältÄndern Sie alle Werte wie gewünschtbrechen Sie die Anfrage ab und senden Sie eine neue. Es gibt immer noch keine Möglichkeit, nur die URL zu ändern. Deshalb habe ich den Patch im Ticket erstellt.

fuxia
quelle
13

Nach meinem Wissen sendet WordPress Versionsdaten an .org zurück, wenn die .org-API (Installieren / Suchen / Aktualisieren) verwendet wird. Diese Daten werden dann zu Diagrammgrafiken zusammengefasst. Sie können die Daten hier sehen . Ich gehe davon aus, dass dies auch verwendet wird, wenn die Roadmap für Umgebungsanforderungen geplottet wird (z. B. PHP4> PHP5, MySQL-Versionsunterstützung usw.).

Hier ist ein Beispiel, wie die .org-Statistikdaten aussehen:

Bildbeschreibung hier eingeben

Nebenbei bemerkt, es ist immer wichtig, dass Sie Plugins von vertrauenswürdigen Quellen installieren. Otto und die anderen Kuratoren des Plugin-Verzeichnisses haben großartige Arbeit geleistet, indem sie Plugins ausgesondert haben, die base64 + eval verwenden, um persönliche Informationen an skrupellose Plugin-Autoren zurückzusenden. Ich kann garantieren, dass es einige gibt, die wöchentlich im Repository auftauchen. Dies gilt auch für Themen außerhalb von .org repo.

Ich habe die Rede davon, ein Plug-in-Überprüfungsteam (ähnlich dem Themenüberprüfungsteam) zu erstellen, das die Integrität des Repository in Zukunft sicherstellen soll. Sie können der Mailing-Liste von wp-hackers beitreten und dort weitere Informationen erhalten . Dort werden solche Diskussionen wirklich konkretisiert.

Brian Fegter
quelle
7

Ja du hast Recht. Der WordPress Update Checker, der Plugin Update Checker und der Theme Update Checker senden regelmäßig Informationen über

  • Ihre IP
  • Blog URL
  • WordPress-Version
  • PHP-Version
  • Ländereinstellung, falls vorhanden
  • Plugin-Titel, Beschreibung, Autor - einschließlich aller darin enthaltenen URLs.
  • Vollständige Liste aller Plugins auf Ihrer Site, unabhängig davon, ob sie aktiv sind oder nicht.

zur Website api.wordpress.org. Dies ist eine alte Diskussion seit 2007. Sie können mehr darüber in meinem Beitrag WordPress phone home - Spyware oder Justified Post lesen .

Sarath
quelle
Lesen des Codes Ich konnte keinen Code sehen, der Plug-in-Informationen enthielt. Ich denke, dieser Teil kann nicht wahr sein.
Roman