防范Wordpress插件更新中的恶意代码

Question

在Wordpress插件数据库中列出的最流行的Wordpress插件之一最近(2013年4月)将恶意代码注入其中：http://blog.sucuri.net/2013/04/wordpress-plugin-social-media-widget.html

2011年也发生了类似的事情：http://blog.sucuri.net/2011/06/wordpress-plugins-hacked-understanding-the-backdoor.html

我如何防止更新我的Wordpress网站的最新插件和正在使用它？有什么安全公告，我可以订阅，这些最新的妥协，以及何时出现补丁？

Answer 1

通过.org进行插件更新的安全性确实落在了WordPress的肩上，为插件作者提供了一个安全的存储库和方法来保护资产。

自2011年以来，他们已经改进了插件更改通知系统，所以当插件作者的代码被更改时，会通知他们，这是一个很好的改变，尽管可以说应该执行其他步骤。

为了破坏.org插件，您必须危及插件作者、计算机和密码，或者执行MITM攻击。

在你这边，你没有那么多选择。

1..您可以通过浏览trac上的代码手动检查提交给插件更新的差异。单击“开发人员”，浏览到Trac，然后通过选择2提交单击“查看更改”。

例如，在Jetpack插件的trac 比较2次提交上。

缺点是，您必须知道如何读取代码。

2..您可以尝试恶意软件扫描插件，这将不会非常有效，因为任何具有提交访问权限的人都不会愚蠢到提交容易检测到的代码。

我运行wpsecure.net并尝试更新它，但是它从各种安全公告中获取信息，即secunia.com、osvdb.org和-db.com。