Czy WordPress wysyła dane o twoim blogu do WordPress.org lub Automattic?

40

Ostatnio słyszałem, jak ktoś powiedział, że WordPress wysyła dane o twoim blogu z powrotem do domu. Czy to prawda? a jeśli tak, jakie to dane lub gdzie w kodzie mogę zobaczyć, co jest wymieniane?

http privacy rzymski
źródło
1
@Otto może dać najlepszą ocenę tego, jakie dane są przechowywane i jak je ostatecznie wykorzystać.
Brian Fegter,
Zobacz także Które z moich blogów i dane osobowe są przekazywane, gdy Wordpress automatycznie sprawdza dostępność aktualizacji?
Gerard Roche,

Odpowiedzi:

30

Tak. Zobacz Ticket # 16778 wordpress przecieka informacje o użytkowniku / blogu podczas wp_version_check () . Wszystkie szczegóły znajdują się w /wp-includes/update.php:

if ( is_multisite( ) ) {
    $user_count = get_user_count( );
    $num_blogs = get_blog_count( );
    $wp_install = network_site_url( );
    $multisite_enabled = 1;
} else {
    $user_count = count_users( );
    $user_count = $user_count['total_users'];
    $multisite_enabled = 0;
    $num_blogs = 1;
    $wp_install = home_url( '/' );
}

$query = array(
    'version'           => $wp_version,
    'php'               => $php_version,
    'locale'            => $locale,
    'mysql'             => $mysql_version,
    'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
    'blogs'             => $num_blogs,
    'users'             => $user_count,
    'multisite_enabled' => $multisite_enabled
);

$url = 'http://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

$options = array(
    'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
    'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
    'headers' => array(
        'wp_install' => $wp_install,
        'wp_blog' => home_url( '/' )
    )
);

$response = wp_remote_get($url, $options);

Agent użytkownika zawiera adres URL twojej instalacji, więc wszystkie te dane nie są już anonimowe. Aby uzyskać filtr prywatności 'http_request_args'i zmienić dane, których nie chcesz przeciekać.

Oto prosty przykład anonimizacji ciągu UA (z ostatniego artykułu na blogu ):

add_filter( 'http_request_args', 't5_anonymize_ua_string' );

/**
 * Replace the UA string.
 *
 * @param  array $args Request arguments
 * @return array
 */
function t5_anonymize_ua_string( $args )
{
    global $wp_version;
    $args['user-agent'] = 'WordPress/' . $wp_version;

    // catch data set by wp_version_check()
    if ( isset ( $args['headers']['wp_install'] ) )
    {
        $args['headers']['wp_install'] = 'http://example.com';
        $args['headers']['wp_blog']    = 'http://example.com';
    }
    return $args;
}

Możesz to zmienić na ...

add_filter( 'http_request_args', 't5_anonymize_ua_string', 10, 2 );

… I uzyskaj adres URL żądania jako drugi parametr oddzwonienia. Teraz możesz sprawdzić, czy adres URL zawiera http://api.wordpress.org/core/version-check/izmień wszystkie wartości według potrzebanuluj żądanie i wyślij nowe. Nadal nie ma możliwości zmiany tylko adresu URL, dlatego utworzyłem łatkę w bilecie.

fuxia
źródło
13

WordPress wysyła dane wersji z powrotem do .org, gdy korzystam z .org API (instalacja / wyszukiwanie / aktualizacja) według mojej wiedzy. Dane te są następnie zestawiane w grafikę wykresów. Możesz zobaczyć dane tutaj . Zakładam, że jest to również wykorzystywane podczas tworzenia mapy drogowej dla wymagań środowiskowych (tj. PHP4> PHP5, obsługa wersji MySQL itp.).

Oto przykładowy wygląd danych statystyki .org:

wprowadź opis zdjęcia tutaj

Na marginesie, zawsze konieczne jest instalowanie wtyczek z zaufanych źródeł. Otto i inni kuratorzy katalogu wtyczek wykonali świetną robotę, usuwając wtyczki korzystające z programu base64 + eval w celu wysyłania danych osobowych do pozbawionych skrupułów autorów wtyczek. Mogę zagwarantować, że niektóre z nich pojawiają się co tydzień w repozytorium. Dotyczy to również tematów poza repozytorium .org.

Słyszałem o tworzeniu zespołu recenzującego wtyczki (podobny do zespołu recenzującego motywy), który zapewni integralność repozytorium w przyszłości. Możesz dołączyć do listy mailingowej wp-hackers i uzyskać tam więcej informacji . Właśnie tam tego rodzaju dyskusje są naprawdę rozwinięte.

Brian Fegter
źródło
7

Tak, masz rację. Moduł sprawdzania aktualizacji wordpress, moduł sprawdzania aktualizacji wtyczek i moduł sprawdzania aktualizacji motywu wysyła regularne informacje na temat

  • Twoje IP
  • URL bloga
  • Wersja WordPress
  • Wersja PHP
  • Ustawienia regionalne, jeśli takie istnieją
  • Tytuł wtyczki, opis, autor - w tym wszystkie adresy URL, które stanowią część tego.
  • Pełna lista wszystkich wtyczek w Twojej witrynie, niezależnie od tego, czy są aktywne, czy nie.

na stronie api.wordpress.org. To stara dyskusja od 2007 roku. Możesz przeczytać o tym więcej w moim poście Strona główna telefonu WordPress - Spyware lub post uzasadniony .

Sarath
źródło
Czytanie kodu Nie widziałem żadnego kodu zawierającego informacje o wtyczce. Myślę, że ta część może być nieprawda.
Rzym.