WP-CLIチームがWordPressのプラグインのファイルの改竄を検知するコマンドのβテストを開始 - ニュース - Capital P - WordPressメディア

WP-CLIチームがWordPressのプラグインのファイルの改竄を検知するコマンドのβテストを開始

WP-CLIには、従来からコアのファイルの内容をチェックするためのコマンドがありました。

$ wp checksum core 
Success: WordPress installation verifies against checksums.

このコマンドを使用するとマルウエア等への感染や自動アップデートのエラー等の理由により、WordPress本体のファイルがオリジナルと違う場合に、それを検出することができます。

以下は、wp-includes/functions.php がオリジナルと違う内容ですよという例です。

$ wp checksum core 
Warning: File doesn't verify against checksum: wp-includes/functions.php
Error: WordPress installation doesn't verify against checksums.

次のバージョンから公式ディレクトリ上のプラグインのchecksumも可能に

WP-CLI の 1.5.0 から、プラグインのファイルの改竄もチェックできるようになります。

以下の例では、simple-map というプラグインのチェックを行っています。

$ wp checksum plugin simple-map
Success: Plugin verifies against checksums.

すべてのプラグインに対してチェックを行うには以下のような感じ。

$ wp checksum plugin --all
Warning: Could not retrieve the checksums for version 1.6 of plugin hello, skipping.
Success: Plugins verify against checksums.

WP-CLIチームではメタチームやプラグインチームと、このコマンドを実装するためのAPIについて数か月前から検討を行っており、先日のWordCamp USにおいて最終的な調整が行われ、このたび試験運用が可能になりました。

APIの仕様書は以下でみることができます。

https://docs.google.com/document/d/14-SMpaPtDGEBm8hE9ZwnA-vik5OvECDig32KqX8uFlg/edit

もし、このコマンドを正式なリリースよりも早く試したい方は、以下のコマンドでインストールすることができます。

$ wp package install wp-cli/checksum-command:dev-plugin-checksums

元に戻したい場合は以下のコマンドを実行してください。

$ wp package uninstall wp-cli/checksum-command

WP-CLIの今後の予定

現在の予定では、WP-CLI 1.5.0が1/30にリリースされる予定です。

また、WP-CLIの2.0が5月にリリースされる予定になっています。

WP-CLIはWordPress本体とは違いセマンティックバージョンニングを採用していますので、2.0では以下のような互換性のない変更が行われる予定です。

  • PHPの対応バージョンを5.4以上に変更
  • テストツールのバージョンアップ(Behat2から3への変更など)
  • wp checksum core から wp core checksum へのコマンド名の変更。(プラグインも同様)

これら以外にも、いくつかのコマンドの挙動に変更があると思われます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください