WP-CLIチームがWordPressのプラグインのファイルの改竄を検知するコマンドのβテストを開始

SPONSORED LINK

WP-CLIには、従来からコアのファイルの内容をチェックするためのコマンドがありました。

$ wp checksum core 
Success: WordPress installation verifies against checksums.

このコマンドを使用するとマルウエア等への感染や自動アップデートのエラー等の理由により、WordPress本体のファイルがオリジナルと違う場合に、それを検出することができます。

以下は、wp-includes/functions.php がオリジナルと違う内容ですよという例です。

$ wp checksum core 
Warning: File doesn't verify against checksum: wp-includes/functions.php
Error: WordPress installation doesn't verify against checksums.

次のバージョンから公式ディレクトリ上のプラグインのchecksumも可能に

WP-CLI の 1.5.0 から、プラグインのファイルの改竄もチェックできるようになります。

以下の例では、simple-map というプラグインのチェックを行っています。

$ wp checksum plugin simple-map
Success: Plugin verifies against checksums.

すべてのプラグインに対してチェックを行うには以下のような感じ。

$ wp checksum plugin --all
Warning: Could not retrieve the checksums for version 1.6 of plugin hello, skipping.
Success: Plugins verify against checksums.

WP-CLIチームではメタチームやプラグインチームと、このコマンドを実装するためのAPIについて数か月前から検討を行っており、先日のWordCamp USにおいて最終的な調整が行われ、このたび試験運用が可能になりました。

APIの仕様書は以下でみることができます。

もし、このコマンドを正式なリリースよりも早く試したい方は、以下のコマンドでインストールすることができます。

$ wp package install wp-cli/checksum-command:dev-plugin-checksums

元に戻したい場合は以下のコマンドを実行してください。

$ wp package uninstall wp-cli/checksum-command

WP-CLIの今後の予定

現在の予定では、WP-CLI 1.5.0が1/30にリリースされる予定です。

また、WP-CLIの2.0が5月にリリースされる予定になっています。

WP-CLIはWordPress本体とは違いセマンティックバージョンニングを採用していますので、2.0では以下のような互換性のない変更が行われる予定です。

  • PHPの対応バージョンを5.4以上に変更
  • テストツールのバージョンアップ(Behat2から3への変更など)
  • wp checksum core から wp core checksum へのコマンド名の変更。(プラグインも同様)

これら以外にも、いくつかのコマンドの挙動に変更があると思われます。

SPONSORED LINK

この記事を書いた人

宮内隆行

WP-CLIチームのコミッターの一人。VCCW開発者。WordPressコアコントリビューター。辺境の民。コーギーの写真には問答無用でいいねをします。WordPressスペシャリスト@タロスカイ株式会社。

この記事が気に入ったら
いいね!しよう

最新の情報をお届けします

Club Capital P

Club Capital PはCapital Pのファンクラブです。有料会員制となっており、Gumroad経由でサブスクリプションをご購入いただき、ライセンスキーを登録いただくことで、会員特典を受け取ることができます。