我們在 WordPress 安裝外掛,除了商業購買的外掛之外,主要的免費外掛來源是以 WordPress org 的外掛目錄。
然而,當 WordPress 控制台的外掛開始更新時,與 WordPress.org 伺服器進行通訊及交換資料,你的網站的外掛代稱及版本號碼就是交換的資料之一。
那 WordPress.org 的官方伺服器會不會留下你的網站資料呢?
搭配一些公開資料及 IP,WordPress.org 有絕大的辦法知道哪些 WordPress 自架網站是代管於哪一家主機商的主機,例如:WP Engine。
昨天 (2024/11/08) 這個話題燒開了,Duane Storey 在 X 上發表 Automattic 如何知道 WP Engine 的網站數量。
起因:是從 WP Engine Tracker 這個網站紀錄自 2024 年 9 月 21 日以來離開 WP Engine 並找到新家的網站數量。
If you actually look at the payload to the WordPress.org API to get the list of plugins, WordPress is adding the URL on the user-agent. There’s absolutely no technical reason to do this, it’s just to obtain more data. They could just as easily leave the URL out and leave in WordPress/6.6.2.
我先不去討論 Automattic 有沒有必要這麼做,很快的 WPtouch (代稱 wptouch,超過 7 萬啟用安裝數) 的開發者 Duane Storey 所開發一個隱藏 WP API 隱私外掛 (WP API Privacy)。
這個外掛僅需手動安裝一次,之後如果發佈新版本,會與一般外掛一樣可以知道外掛有更新,並可以直接在管理後台更新。
重點是可以限制該網站信息,試圖在此過程中進一步保護你的網站隱私,WordPress 中從隱私角度有問題的各個方面都會被修改。
請從外掛的 GitHub 存放庫下載。
Photo by Mark König on Unsplash
發佈留言