WordPress Coreのセキュリティ問題をプラグインチームに報告しないでください。WordPress自体の問題を報告するには、セキュリティ脆弱性の報告手順に従ってください。

    セキュリティ問題のあるプラグインを見つけた場合は、公開の場でそのことを投稿しないでください。公式のセキュリティトラッキングサイトに報告があったとしても、セキュリティ問題に対する認知を高めることは、ハッキングされる人が増える傾向があり、修正が早まることはほとんどありません。

    プラグインを報告するには、以下の内容を含めて[email protected]にメールしてください:

    • 問題の明確で簡潔な説明
    • 特定のプラグインへのリンク
    • 自分でセキュリティ問題を確認したかどうか
    • オプション – 第三者サイトでの公開情報へのリンク

    深刻な脆弱性の場合は、責任ある合理的な開示を心がけてください。プラグインを私たちに報告する前に、開発者に直接連絡を試みるべきです(ただし、これは難しい場合があることを理解しています – プラグインのソースコードを確認してください、多くの開発者がメールアドレスを掲載しています)。プライベートに連絡できない場合は、直接私たちに連絡してください。お手伝いします。

    ほとんどのプラグインは、問題が解決されるまで新しいダウンロードを防ぐために閉じられています。そのため、プラグインが更新されるまで修正の通知を受けることはありません。また、リソースが不足しているため、現時点ではCVEの申請に関する支援も行っていません。自分で行うことはできますが、私たちはお手伝いできません。

    すでに脆弱性を公開し、報告へのリンクを提供している場合は、それを削除しないでください!私たちはそれをプラグインの開発者に直接伝えます。