WordPress 5.5 “Eckstine”, dat vorige week gelanceerd werd, bevat een verborgen feature die voorkomt dat websites door malafide plugins kunnen worden overgenomen. De feature maakt het mogelijk om te controleren of een plugin legitiem is. Is dat het niet geval, dan worden updates geblokkeerd.
Automatische updates
Een van de belangrijkste nieuwe features in WordPress 5.5 is de mogelijkheid om automatische thema en plugin updates in te stellen op je website. Maar er werd al eerder door contributors aangegeven dat een auto-update functie wel de mogelijkheid moest bieden om per thema of plugin uitgeschakeld te worden. Dat zou voorkomen dat gebruikers geconfronteerd werden met plugin conflicten of sites die ineens niet meer werkten. Nu blijkt dus dat er wel degelijk iets is ingebouwd om dat te realiseren.
Verborgen feature
De verborgen feature werd niet aangekondigd door WordPress, maar zat verstopt in de lijst met honderden andere bug fixes en verbeteringen die onderdeel waren van de WordPress update. Toch verdient de feature aandacht, want het heeft een positieve impact op de veiligheid van WordPress sites. Wordfence, het bedrijf achter een van de meest gebruikte security plugins, is dan ook blij met de verborgen feature.
Hoe het werkt
Volgens Wordfence worden auto-updates op individuele sites “twee keer per dag getriggerd door de wp-cron. De site verwijst naar het repository om thema/plugins updates te identificeren als de site eigenaar auto-updates voor dat thema of die plugin heeft ingeschakeld. Thema en plugin ontwikkelaars dienen een nieuwe versie van een plugin zelf in; die code wordt niet gecontroleerd door het core team en de repo beheerders. Dus nu de auto-update feature in werking is, zal alle ingediende plugin code beschikbaar zijn om te downloaden voor elke site waar auto-updates staan ingeschakeld.”
Een zogeheten ‘flag’ in de code (“disable_autoupdate”) dient als verificatie om vast te stellen of of een plugin wel of niet geüpdatet moet worden. Die ‘flag’ fungeert dus in feite als een poortwachter die besluit welke plugin er niet geüpdatet mag worden.
“Wanneer een site verbinding maakt met het repo voor updates, kan het repo reageren met deze flag (die alleen op true of falseingesteld kan worden), om te zorgen dat plugins of thema’s met problemen niet automatisch geüpdatet worden,” aldus Wordfence.