我已经开发了一些私有(因为用例仅用于我自己的网站相关)插件,并在网站上使用它们。
从理论上讲,攻击者只需从CSS文件的URL中找出plugins-slug,然后将新插件上载到WP-Repository。我知道这里有一支不错的审查团队,但是我需要一个技术解决方案,因为该插件已经过渗透测试。然后,Wordpress Auto-Updater将更新扩展密钥,并安装了恶意插件。插件的名称为“ mycompany-mycustomer-plugin-name”,因此没有通用名称可以覆盖,但是由于我们拥有公共资源,因此这不是秘密。
有什么办法可以防止这种情况发生?我已经知道诸如“将版本号增加到9000以上”之类的解决方法。目前,我已经通过Easy Auto Updates Manager禁用了该插件的更新,但是我想像一个写着wordpress的代码片段(一个动作或一个过滤器)“永远不要更新该插件!”。这样我的插件就可以在内部安全地部署了。
有机会吗?