Yungke blog

Like kinsta & WordPress

WP API Privacy 的問題

wp api privacy

我們在 WordPress 安裝外掛,除了商業購買的外掛之外,主要的免費外掛來源是以 WordPress org 的外掛目錄。

然而,當 WordPress 控制台的外掛開始更新時,與 WordPress.org 伺服器進行通訊及交換資料,你的網站的外掛代稱及版本號碼就是交換的資料之一。

那 WordPress.org 的官方伺服器會不會留下你的網站資料呢?

搭配一些公開資料及 IP,WordPress.org 有絕大的辦法知道哪些 WordPress 自架網站是代管於哪一家主機商的主機,例如:WP Engine。

昨天 (2024/11/08) 這個話題燒開了,Duane Storey 在 X 上發表 Automattic 如何知道 WP Engine 的網站數量。

起因:是從 WP Engine Tracker 這個網站紀錄自 2024 年 9 月 21 日以來離開 WP Engine 並找到新家的網站數量。

If you actually look at the payload to the WordPress.org API to get the list of plugins, WordPress is adding the URL on the user-agent. There’s absolutely no technical reason to do this, it’s just to obtain more data. They could just as easily leave the URL out and leave in WordPress/6.6.2.

我先不去討論 Automattic 有沒有必要這麼做,很快的 WPtouch (代稱 wptouch,超過 7 萬啟用安裝數) 的開發者 Duane Storey 所開發一個隱藏 WP API 隱私外掛 (WP API Privacy)。

這個外掛僅需手動安裝一次,之後如果發佈新版本,會與一般外掛一樣可以知道外掛有更新,並可以直接在管理後台更新。

重點是可以限制該網站信息,試圖在此過程中進一步保護你的網站隱私,WordPress 中從隱私角度有問題的各個方面都會被修改。

請從外掛的 GitHub 存放庫下載。

Photo by Mark König on Unsplash

1 則留言

  1. 「yungkeli」的個人頭像

    Automattic vs WP Engine 這種神仙打架的問題,跟我們這些小老百姓無關,但也慢慢燒出很多 WordPress.org 的問題了。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Your Mastodon Instance