Einer der Gewohnheiten ich, wenn ich entwickelt begann immer ein Plugin des Changelog mit Wordpress ist zu lesen, bevor die Aktualisierung. Das Changelog ist ein Kommunikationskanal, der die Lücke zwischen mir und dem Entwickler überbrückt.

Es sagt mir, was hat sich geändert, was zu erwarten ist, und andere Informationen der Entwickler denkt, dass ich wissen sollte. Die wichtigsten Informationen ein Entwickler kann mir sagen, ist, dass eine Sicherheitslücke behoben ist.

Sicherheitslücken in Wordpress-Plugins erhalten in der Regel eine anständige Menge an Berichterstattung in den Medien. Wenn ich eine Geschichte lesen, die ein Plugin erwähnt ich eine Sicherheitsanfälligkeit enthält, das erste, was ich tue, ist, dass Plugins Changelog auf der Wordpress-Plugin-Verzeichnis, um zu sehen, ob es behoben ist. Allerdings sind einige Plugin-Autoren tun nicht nur einen sehr guten Job Nutzer darüber informiert, dass ein Sicherheits-Patch angewendet wurde.

WooCommerce und VaultPress

WooCommerce vor kurzem ein Objekt Injection-Schwachstelle zu beheben. Wenn man sich das Changelog für 2.3.11 suchen, die den Patch hat, gibt es keinen Hinweis auf eine Sicherheitslücke festgelegt ist.

• Fix - Überprüfen Sie, ob Wertung vor dem Check aktiviert ist, wenn Bewertung auf eine Überprüfung erforderlich ist.
• Fix - get_discounted_price wenn Steuern aktiviert werden überprüfen muss.
• Fix - Fest Datei des Typs Prüfung für digitale Downloads.
• Fix - Neufundland und Labrador Zustand Umbenennungs.
• Fix - Entkommen js in Widget geschichteten nav, wenn das Drop-Down-Option.
• Fix - Schalten Sie die Berechtigungen prüfen json_search_products die read_product Fähigkeit zu verwenden.
• Fix - Fest die Zugabe von variablen Produkte die Order-API.
• Fix - Verkauf Artikel Ausschlusslogik für Variationen.
• Fix - Klare Transienten richtige Variation Lager, wenn die Aktien Einstellung.
• Fix - Umschalten auf JSON deserialisieren nicht vertrauenswürdige Daten zu vermeiden, wenn Antworten von PayPal Handhabung.
• Fix - API - für herunterladbare Dateien auf Produkte Endpunkt der Hygienisierung behoben.
• Tweak - woocommerce_downloadable_file_exists Filter.

Für das ungeübte Auge, 2.3.11 ist nur eine regelmäßige Wartung Release. Sicherheitsupdates sollten ihr Augenmerk in den Mittelpunkt und Befehl sein.

, Ein Sicherheitsüberwachung Plugin von Automattic, scheitert auch klare Informationen in seiner Changelog zur Verfügung zu stellen. Die Bestimmung von Sicherheits-Patches mit VaultPress ist verwirrend, weil sicherheitsrelevante Hotfixes gekennzeichnet sind, als ob sie sind Patches für das Plugin selbst. Stattdessen Sicherheitsupdates sind Patches von bekannten Sicherheitslücken zu schützen.

1.7.5 - 11. Juni 2015

• Sicherheit: ein neues Sicherheitsupdate hinzufügen.

1.7.4 - 28. April 2015

• Bugfix: Nicht in OpenSSL Unterzeichnung, es sei denn der öffentliche Schlüssel vorhanden ist.

1.7.3 - 27. April 2015

• Sicherheit: ein neues Sicherheitsupdate hinzufügen.

So fügen Sie zu der Verwirrung, gibt es keine Erklärung dafür, was die Updates schützen vor. Sie müssen das wissen, lesen, was der neueste Hotfix.

// Schützen WooCommerce von Objekt Injektion über PayPal IPN-Benachrichtigungen. Beeinflusst 2.0.20 -> 2.3.10

Wenn VaultPress Entwickler den Kommentar von GitHub zu dem Changelog auf WordPress.org hinzugefügt, wäre es viel klarer gemacht haben sich die Dinge.

Benutzer Lesen Änderungsprotokolle

Wenn wir, wie oft tun sie vor der Aktualisierung eines Plugins Changelog lesen, 705 aus 1.152 Wähler sagten, sie hätten es immer lesen, während 338 Menschen sagten, sie es manchmal lesen. Ob sie die Änderungen verstehen oder nicht, lesen Nutzer Änderungsprotokolle.

Wenn Sie ein Plugin-Entwickler sind, beachten Sie bitte das Hinzufügen Kontext und klare Erklärungen zu Ihrem Änderungsprotokolle. Klar sagen, was ist ein Sicherheits-Patch, Bug-Fix oder zwicken. Ich brauche nicht die feinen Details zu wissen, gerade genug Informationen, um eine gute Entscheidung zu treffen.