安全性
我们非常重视 WordPress 项目及其生态系统的安全。凭借超过 20 年的历史,以及驱动着超过 43% 的网站,我们致力于确保所有用户的安全,无论是个人博主还是企业组织。
WordPress 鼓励负责任地披露漏洞,无论是在 WordPress 核心程序中、WordPress.org 上提供的插件和主题中,还是在更广泛的 WordPress 生态系统中。
如果您认为您在 WordPress 中发现了漏洞,请保密并向 WordPress 安全团队报告。
如果您认为您在 WordPress.org 上提供的 WordPress 插件或主题中发现了漏洞,请保密。
- 对于插件漏洞,请向插件开发者和插件团队报告。
- 对于主题漏洞,请向主题开发者和主题审查团队报告。
我们的流程
WordPress 项目致力于为超过 43% 的网站提供稳定、安全、可信赖的平台。WordPress 核心软件开发生命周期在整个过程中都包含代码审查,开源贡献由受信任的提交者进行审查。
WordPress 安全团队致力于识别和解决 WordPress 核心软件中的安全问题,强化软件以抵御如 OWASP 十大漏洞等威胁,并为整个生态系统提供指导。
除了 50 多位值得信赖的专家(包括首席开发者、安全研究员以及 WordPress 各个组件的关键贡献者)之外,安全团队的赞助成员也投入时间来识别和解决软件及生态系统中的问题。
为解决负责任地披露的安全漏洞,安全团队致力于开发修复程序,创建强大的测试用例,并在错误修复版本中发布这些修复程序。尽管只有最新版本的 WordPress 受到官方支持,但安全团队也礼貌性地将修复程序反向移植到旧版本,以确保旧网站通过自动更新获得关键安全修复。
安全团队还与主要的网站托管运营商和安全生态系统提供商直接合作,检测和缓解针对 WordPress 网站的威胁,包括协调发布推出和开发 Web 应用防火墙 (WAF) 缓解措施。
在我们的白皮书中了解更多关于 WordPress 项目的安全立场。