¿WordPress envía datos sobre su blog a WordPress.org o Automattic?

40

Recientemente escuché a alguien decir que WordPress sí envía datos sobre tu blog a casa. ¿Es eso cierto? y si es así, ¿qué datos son esos o en qué parte del código puedo ver lo que se intercambia?

romano
fuente
1
@Otto podría darle la mejor evaluación de qué datos se almacenan y cómo se utilizan en última instancia.
Brian Fegter

Respuestas:

30

Si lo hace. Ver Ticket # 16778 wordpress está filtrando información de usuario / blog durante wp_version_check () . Todos los detalles están en /wp-includes/update.php:

if ( is_multisite( ) ) {
    $user_count = get_user_count( );
    $num_blogs = get_blog_count( );
    $wp_install = network_site_url( );
    $multisite_enabled = 1;
} else {
    $user_count = count_users( );
    $user_count = $user_count['total_users'];
    $multisite_enabled = 0;
    $num_blogs = 1;
    $wp_install = home_url( '/' );
}

$query = array(
    'version'           => $wp_version,
    'php'               => $php_version,
    'locale'            => $locale,
    'mysql'             => $mysql_version,
    'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
    'blogs'             => $num_blogs,
    'users'             => $user_count,
    'multisite_enabled' => $multisite_enabled
);

$url = 'http://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

$options = array(
    'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
    'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
    'headers' => array(
        'wp_install' => $wp_install,
        'wp_blog' => home_url( '/' )
    )
);

$response = wp_remote_get($url, $options);

El agente de usuario contiene la URL de su instalación, por lo que todos estos datos ya no son anónimos. Para obtener un filtro de privacidad 'http_request_args'y cambiar los datos que no desea filtrar.

Aquí hay un ejemplo simple para anonimizar la cadena UA (de un artículo de blog reciente ):

add_filter( 'http_request_args', 't5_anonymize_ua_string' );

/**
 * Replace the UA string.
 *
 * @param  array $args Request arguments
 * @return array
 */
function t5_anonymize_ua_string( $args )
{
    global $wp_version;
    $args['user-agent'] = 'WordPress/' . $wp_version;

    // catch data set by wp_version_check()
    if ( isset ( $args['headers']['wp_install'] ) )
    {
        $args['headers']['wp_install'] = 'http://example.com';
        $args['headers']['wp_blog']    = 'http://example.com';
    }
    return $args;
}

Puedes cambiar eso a ...

add_filter( 'http_request_args', 't5_anonymize_ua_string', 10, 2 );

... y obtenga la URL de solicitud como segundo parámetro para su devolución de llamada. Ahora puede verificar si la URL contiene http://api.wordpress.org/core/version-check/ycambia todos los valores como quierascancelar la solicitud y enviar una nueva. Todavía no hay forma de cambiar solo la URL, por eso creé el parche en el ticket.

fuxia
fuente
13

WordPress envía los datos de la versión de nuevo a .org cuando uso la API .org (instalación / búsqueda / actualización) que yo sepa. Esa información se clasifica en gráficos de gráficos. Puedes ver los datos aquí . Supongo que esto también se usa al trazar la hoja de ruta para los requisitos del entorno (es decir, PHP4> PHP5, soporte de versión MySQL, etc.).

Aquí hay una muestra de cómo se ven los datos de las estadísticas .org:

ingrese la descripción de la imagen aquí

Como nota al margen, siempre es imperativo que instales complementos de fuentes confiables. Otto y los otros curadores del directorio de complementos han hecho un gran trabajo eliminando complementos que usan base64 + eval para enviar información personal a autores de complementos sin escrúpulos. Puedo garantizar que hay algunos que aparecen semanalmente en el repositorio. Esto también se aplica a temas fuera del repositorio .org.

He oído hablar de crear un equipo de revisión de complementos (similar al equipo de revisión de temas) que asegurará la integridad del repositorio en el futuro. Puede unirse a la lista de correo de wp-hackers y obtener más información allí . Ahí es donde este tipo de discusiones realmente se desarrollan.

Brian Fegter
fuente
7

Sí, estás en lo correcto. El verificador de actualizaciones de WordPress, el verificador de actualizaciones de complementos y el verificador de actualizaciones de temas envían información periódica sobre

  • Tu dirección Ip
  • Blog URL
  • Versión de WordPress
  • Versión PHP
  • Configuración regional si hay una
  • Título del complemento, descripción, autor, incluidas todas las URL que forman parte de esto.
  • Lista completa de todos los complementos en su sitio, estén activos o no.

al sitio api.wordpress.org. Esta es una discusión antigua desde 2007. Puede leer más sobre esto en mi publicación en el teléfono de WordPress: Spyware o publicación justificada .

Sarath
fuente
Al leer el código, no pude ver ningún código que incluyera información del complemento. Creo que esa parte puede no ser cierta.
Romano