WordPress envoie-t-il des données relatives à votre blog à WordPress.org ou à Automattic?

40

J'ai récemment entendu quelqu'un dire que WordPress envoyait des données relatives à votre blog dans votre pays d'origine. Est-ce vrai? et si oui, quelles données est-ce ou où dans le code puis-je voir ce qui est échangé?

    
posée Roman 04.09.2012 - 05:38
la source

3 réponses

30

Oui, c'est le cas. Voir Ticket n ° 16778 wordpress divulgue des informations utilisateur / blog au cours de wp_version_check () . Tous les détails sont en /wp-includes/update.php :

if ( is_multisite( ) ) {
    $user_count = get_user_count( );
    $num_blogs = get_blog_count( );
    $wp_install = network_site_url( );
    $multisite_enabled = 1;
} else {
    $user_count = count_users( );
    $user_count = $user_count['total_users'];
    $multisite_enabled = 0;
    $num_blogs = 1;
    $wp_install = home_url( '/' );
}

$query = array(
    'version'           => $wp_version,
    'php'               => $php_version,
    'locale'            => $locale,
    'mysql'             => $mysql_version,
    'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
    'blogs'             => $num_blogs,
    'users'             => $user_count,
    'multisite_enabled' => $multisite_enabled
);

$url = 'http://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

$options = array(
    'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
    'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
    'headers' => array(
        'wp_install' => $wp_install,
        'wp_blog' => home_url( '/' )
    )
);

$response = wp_remote_get($url, $options);

L'agent utilisateur contient l'URL de votre installation. Toutes ces données ne sont donc plus anonymes. Pour obtenir un peu de confidentialité, filtrez 'http_request_args' et modifiez les données que vous ne souhaitez pas divulguer.

Voici un exemple simple permettant d'anonymiser la chaîne d'utilisateur (tirée d'un article de blog récent ). ):

add_filter( 'http_request_args', 't5_anonymize_ua_string' );

/**
 * Replace the UA string.
 *
 * @param  array $args Request arguments
 * @return array
 */
function t5_anonymize_ua_string( $args )
{
    global $wp_version;
    $args['user-agent'] = 'WordPress/' . $wp_version;

    // catch data set by wp_version_check()
    if ( isset ( $args['headers']['wp_install'] ) )
    {
        $args['headers']['wp_install'] = 'http://example.com';
        $args['headers']['wp_blog']    = 'http://example.com';
    }
    return $args;
}

Vous pouvez changer cela en…

add_filter( 'http_request_args', 't5_anonymize_ua_string', 10, 2 );

… et obtenez l'URL de la demande comme deuxième paramètre de votre rappel. Maintenant, vous pouvez vérifier si l’URL contient http://api.wordpress.org/core/version-check/ et modifier toutes les valeurs à votre guise , annuler la demande et en envoyer une nouvelle. Il n’existe toujours pas de moyen de changer l’URL, c’est pourquoi j’ai créé le correctif dans le ticket.

    
réponse donnée fuxia 04.09.2012 - 06:02
la source
13

WordPress renvoie les données de version à .org lors de l’utilisation de l’API .org (installation / recherche / mise à jour) à ma connaissance. Ces données sont ensuite rassemblées dans des graphiques. Vous pouvez voir les données ici . Je suppose que cela est également utilisé lors du tracé de la feuille de route pour les exigences de l’environnement (par exemple, PHP4> PHP5, support de la version de MySQL, etc ...).

Voici un exemple des données statistiques .org:

Ennotedebasdepage,ilesttoujoursimpératifd’installerdespluginsàpartirdesourcesfiables.Ottoetlesautresconservateursdurépertoiredespluginsontfaitunexcellenttravailenéliminantlespluginsquiutilisentbase64+evalpourrenvoyerdesinformationspersonnellesàdesauteursdepluginspeuscrupuleux.Jepeuxvousgarantirquecertainesd'entreellesapparaissenttouteslessemainesdansleréférentiel.Cecis’appliqueégalementauxthèmesextérieursauréférentiel.org.

J'aientenduparlerdelacréationd'uneéquipederévisiondeplug-in(similaireàl'équipederévisiondethème)quisécuriseral'intégritéduréférentielàl'avenir.Vouspouvezrejoindrelalistedediffusionwp-hackerset obtenir plus d'informations . C’est là que ce type de discussions est vraiment étoffé.

    
réponse donnée Brian Fegter 04.09.2012 - 05:55
la source
7

Oui, vous avez raison. Le vérificateur de mise à jour wordpress, le vérificateur de mise à jour du plug-in et le vérificateur de mise à jour du thème envoient régulièrement des informations sur

  • votre adresse IP
  • URL du blog
  • version de WordPress
  • version PHP
  • Paramètres régionaux s'il en existe un
  • Titre, description, auteur du plug-in, y compris toutes les URL qui en font partie.
  • Liste complète de tous les plugins de votre site, qu'ils soient actifs ou non.

sur le site api.wordpress.org. C'est une vieille discussion depuis 2007. Vous en saurez plus à ce sujet dans mon post téléphone WordPress accueil - logiciel espion ou justifié .

    
réponse donnée Sarath 04.09.2012 - 14:35
la source

Lire d'autres questions sur les étiquettes