Schutz vor bösartigem Code in WordPress-Plugin-Updates

Eines der populärsten WordPress-Plugins, die in der WordPress-Plugins-database aufgeführt sind, wurde kürzlich (April 2013) mit bösartigem Code versehen: http://blog.sucuri.net/2013/04/wordpress-plugin-social-media-widget.html

Eine ähnliche Sache ist 2011 passiert: http://blog.sucuri.net/2011/06/wordpress-plugins-hacked-understanding-the-backdoor.html

Wie schütze ich mich davor, meine WordPress-Seiten mit den neuesten Plugins zu aktualisieren und damit fertig zu werden? Gibt es Sicherheitsbulletins, die ich für diese Liste der neuesten Kompromisse und für Patches abonnieren kann?

Solutions Collecting From Web of "Schutz vor bösartigem Code in WordPress-Plugin-Updates"

Die Sicherheit von Plugin-Updates über .org fällt WordPress auf die Schultern, um ein sicheres Repository und eine Methode für Plugin-Autoren zu schaffen, um Assets zu schützen.

Seit 2011 haben sie das System für die Benachrichtigung über Plugin-Änderungen verbessert, sodass Plugin-Autoren benachrichtigt werden, wenn ihr Code geändert wird. Dies ist eine gute Änderung, obwohl argumentiert werden kann, dass zusätzliche Schritte implementiert werden sollten.

Um ein .org-Plugin zu kompromittieren, müssten Sie den Computer und das Passwort des Plugin-Autors kompromittieren oder einen MITM-Angriff durchführen.

An deinem Ende hast du nicht so viele Möglichkeiten.

1 .. Sie können die Unterschiede, die für das Plugin-Update festgelegt wurden, manuell überprüfen, indem Sie den Code in trac durchsuchen. Klicken Sie auf “Entwickler”, navigieren Sie zu Trac und klicken Sie dann auf “Änderungen anzeigen”, indem Sie 2 Commits auswählen.

Bildbeschreibung hier eingeben

Zum Beispiel auf trac , der 2 Commits des Jetpack-Plugins vergleicht.

Der Nachteil ist, dass Sie wissen müssen, wie man Code liest.

2 .. Sie können versuchen, Malware zu scannen, dies ist nicht sehr effektiv, da jeder mit Commit-Zugriff nicht dumm genug wäre, um Code zu schreiben, der leicht erkannt werden würde.

Ich betreibe wpsecure.net und versuche, es auf dem neuesten Stand zu halten, aber es holt Informationen aus verschiedenen Sicherheitsbulletins, nämlich secunia.com, osvdb.org und exploit-db.com.