O WordPress envia dados sobre seu blog para WordPress.org ou Automattic?

40

Recentemente, ouvi alguém dizer que o WordPress envia dados sobre o seu blog para voltar para casa. Isso é verdade? e se sim, que dados são esses ou onde no código eu posso ver o que é trocado?

    
por Roman 04.09.2012 / 05:38
fonte

3 respostas

30

Sim, é verdade. Veja Ticket # 16778 wordpress está vazando informações do usuário / blog durante wp_version_check () . Todos os detalhes estão em /wp-includes/update.php :

if ( is_multisite( ) ) {
    $user_count = get_user_count( );
    $num_blogs = get_blog_count( );
    $wp_install = network_site_url( );
    $multisite_enabled = 1;
} else {
    $user_count = count_users( );
    $user_count = $user_count['total_users'];
    $multisite_enabled = 0;
    $num_blogs = 1;
    $wp_install = home_url( '/' );
}

$query = array(
    'version'           => $wp_version,
    'php'               => $php_version,
    'locale'            => $locale,
    'mysql'             => $mysql_version,
    'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
    'blogs'             => $num_blogs,
    'users'             => $user_count,
    'multisite_enabled' => $multisite_enabled
);

$url = 'http://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

$options = array(
    'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
    'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
    'headers' => array(
        'wp_install' => $wp_install,
        'wp_blog' => home_url( '/' )
    )
);

$response = wp_remote_get($url, $options);

O agente do usuário contém o URL da sua instalação, portanto, todos esses dados não são mais anônimos. Para obter um pouco de privacidade, transfira o filtro 'http_request_args' e altere os dados que não deseja que vazem.

Aqui está um exemplo simples para anonimizar a string UA (de um artigo de blog recente ):

add_filter( 'http_request_args', 't5_anonymize_ua_string' );

/**
 * Replace the UA string.
 *
 * @param  array $args Request arguments
 * @return array
 */
function t5_anonymize_ua_string( $args )
{
    global $wp_version;
    $args['user-agent'] = 'WordPress/' . $wp_version;

    // catch data set by wp_version_check()
    if ( isset ( $args['headers']['wp_install'] ) )
    {
        $args['headers']['wp_install'] = 'http://example.com';
        $args['headers']['wp_blog']    = 'http://example.com';
    }
    return $args;
}

Você pode mudar isso para…

add_filter( 'http_request_args', 't5_anonymize_ua_string', 10, 2 );

… e obtenha o URL de solicitação como segundo parâmetro para seu retorno de chamada. Agora você pode verificar se o URL contém http://api.wordpress.org/core/version-check/ e alterar todos os valores conforme desejar cancelar a solicitação e enviar uma nova. Ainda não há como alterar apenas o URL, por isso criei o patch no ticket.

    
por fuxia 04.09.2012 / 06:02
fonte
13

O WordPress envia os dados da versão de volta para .org ao usar a API .org (instalação / pesquisa / atualização), até onde eu sei. Esses dados são então agrupados em gráficos de gráficos. Você pode ver os dados aqui . Eu suponho que isso também é usado ao traçar o roteiro para os requisitos do ambiente (ou seja, PHP4 > PHP5, suporte a versão do MySQL, etc ...).

Veja uma amostra de como os dados de estatísticas do .org se parecem:

Comoobservação,ésempreimperativoquevocêinstaleplug-insdefontesconfiáveis.Otto,eosoutroscuradoresdodiretóriodepluginsfizeramumótimotrabalhoremovendopluginsqueusamobase64+evalparaenviarinformaçõespessoaisdevoltaaautoresdepluginsinescrupulosos.Eupossogarantirqueexistemalgunsqueaparecemsemanalmentenorepositório.Issoseaplicatambématemasforadorepositório.org.

Jáouvifalardacriaçãodeumaequipederevisãodeplugins(semelhanteàequipederevisãodetemas)quegarantiráaintegridadedorepositórionofuturo.Vocêpodesejuntaràlistadediscussãowp-hackerse obter mais informações lá . É aí que esse tipo de discussão realmente é concretizado.

    
por Brian Fegter 04.09.2012 / 05:55
fonte
7

Sim, você está correto. O verificador de atualizações do wordpress, o verificador de atualizações do plug-in e o verificador de atualizações de temas envia informações regulares sobre

  • seu IP
  • URL do blog
  • versão do WordPress
  • versão do PHP
  • Configuração de localidade se houver
  • Título, descrição e autor do plug-in - incluindo todos os URLs que fazem parte disso.
  • Lista completa de todos os plug-ins do seu site, estejam eles ativos ou não.

para o site api.wordpress.org. Esta é uma discussão antiga desde 2007. Você pode ler mais sobre isso em meu post telefone WordPress home - Spyware ou justificado post.

    
por Sarath 04.09.2012 / 14:35
fonte

Tags