安全
我们非常重视 WordPress 项目和生态系统的安全性。WordPress 拥有超过 20 年的发展历史,支撑着超过 43% 的网络份额,我们致力于确保从个人博客到企业组织的所有人的安全。
WordPress 鼓励负责任地披露 WordPress 核心、WordPress.org 上提供的插件和主题或更广泛的 WordPress 生态系统中的漏洞。
如果您认为发现了 WordPress 中的漏洞,请将其保密并报告给 WordPress 安全团队。
如果您认为在 WordPress.org 上提供的 WordPress 插件或主题中发现了漏洞,请将其保密。
- 对于插件漏洞,向插件开发人员和插件团队报告。
- 对于主题漏洞,向主题开发人员和主题审查小组报告。
我们的流程
WordPress 项目致力于为超过 43% 的网络提供一个稳定、安全、可信的平台。核心 WordPress 软件开发生命周期包括整个过程的代码审查,开源贡献由值得信赖的提交者审查。
WordPress 安全团队致力于识别和解决 WordPress 核心软件的安全问题,加固软件以抵御 OWASP十大安全风险 等威胁,并为整个生态系统提供指导。
除了 50 多位值得信赖的专家(包括首席开发人员、安全研究人员和 WordPress 各个组件的主要贡献者)之外,安全团队的赞助成员也投入大量时间来识别和解决软件和生态系统中的问题。
为了解决负责任地披露的安全漏洞,安全团队致力于开发修复程序、创建强大的测试用例,并在错误修复版本中发布这些修复程序。虽然官方只支持最新版本的 WordPress,但安全团队也会出于礼貌将修复程序回传至旧版本,以确保旧版本网站通过自动更新获得重要的安全修复程序。
安全团队还与重要的网络托管运营商和安全生态系统提供商直接合作,检测和减轻对基于 WordPress 的网站的威胁,包括协调发布工作和开发网络应用程序防火墙 (WAF) 缓解措施。
了解有关WordPress项目安全立场的更多信息,请参阅我们的白皮书。