WordPress.org

About

Security

安全

我们非常重视 WordPress 项目和生态系统的安全性。WordPress 拥有超过 20 年的发展历史,支撑着超过 43% 的网络份额,我们致力于确保从个人博客到企业组织的所有人的安全。

WordPress 鼓励负责任地披露 WordPress 核心、WordPress.org 上提供的插件和主题或更广泛的 WordPress 生态系统中的漏洞。

如果您认为发现了 WordPress 中的漏洞,请将其保密并报告给 WordPress 安全团队

如果您认为在 WordPress.org 上提供的 WordPress 插件或主题中发现了漏洞,请将其保密。

我们的流程

WordPress 项目致力于为超过 43% 的网络提供一个稳定、安全、可信的平台。核心 WordPress 软件开发生命周期包括整个过程的代码审查,开源贡献由值得信赖的提交者审查。

WordPress 安全团队致力于识别和解决 WordPress 核心软件的安全问题,加固软件以抵御 OWASP十大安全风险 等威胁,并为整个生态系统提供指导

除了 50 多位值得信赖的专家(包括首席开发人员、安全研究人员和 WordPress 各个组件的主要贡献者)之外,安全团队的赞助成员也投入大量时间来识别和解决软件和生态系统中的问题。

为了解决负责任地披露的安全漏洞,安全团队致力于开发修复程序、创建强大的测试用例,并在错误修复版本中发布这些修复程序。虽然官方只支持最新版本的 WordPress,但安全团队也会出于礼貌将修复程序回传至旧版本,以确保旧版本网站通过自动更新获得重要的安全修复程序。

安全团队还与重要的网络托管运营商和安全生态系统提供商直接合作,检测和减轻对基于 WordPress 的网站的威胁,包括协调发布工作和开发网络应用程序防火墙 (WAF) 缓解措施。

了解有关WordPress项目安全立场的更多信息,请参阅我们的白皮书

插件开发人员

通用 API 手册中的安全指南是您了解安全开发原则的必备指南。

如果您认为自己的插件存在安全问题,WordPress 插件团队将为您提供支持。

了解更多有关如何解决插件安全问题的信息。

主题开发者

通用 API 手册中的安全指南是您了解安全开发原则的必备指南。

如果您认为自己的主题存在安全问题,WordPress 主题审查团队将为您提供支持。

进一步了解如何解决主题中的安全问题。

虚拟主机

高级管理手册中的安全指南包含如何确保托管环境安全的关键信息。

我们还强烈建议发布您自己的负责任信息披露政策