WordPress 安全团队本周发布了一份详尽报告,系统梳理了过去 18 个月在 CI/CD 自动化系统安全方面的工作进展。团队代表 John Blackbourn 表示,下一步目标是将这些安全标准推广至 WordPress GitHub 组织下的每一个仓库,实现强制执行。
值得注意的是,WordPress 项目并未受到本轮针对 GitHub Actions 供应链攻击的波及,团队将此归功于过去一年半持续推进的多轮工作流加固。
背景:GitHub Actions 为何成为攻击目标
GitHub Actions 是 WordPress 开发基础设施的核心自动化层——贡献者提交 Pull Request 后,工作流自动运行测试和代码检查,部分场景下还负责发布与部署。一旦攻击者拿下这些工作流,无需触碰源代码,即可向发布包注入恶意代码、窃取凭证或植入后门。
近月来,TanStack、BitWarden、微软、DataDog 及 CNCF 相继中招,均指向同一类工作流配置缺陷。
做了什么:18 个月加固路线图
第一阶段(2025 年 1 月起) wordpress-develop 仓库率先启动工作流全面重构,清理不安全配置、收紧权限范围、削减不必要的凭证暴露。随后 Gutenberg 仓库在同年 4 月跟进。

持续推进 此后又有至少八个仓库完成加固,包括 performance、wordpress-playground、two-factor 以及 WordPress AI 团队的 php-ai-client 等。
自动化扫描工具落地
- Actionlint:2025 年 1 月引入,作为工作流 linter
- Zizmor:2026 年 4 月在 wordpress-develop 部署,同月进入 Gutenberg
2026 年 4 月,团队还正式发布了 GitHub Actions Workflow Standards 手册,明确规范要求。
下一步:从单仓执行到组织级强制
Blackbourn 在报告中指出,长期规划是将扫描能力"下沉至组织级别统一实现和执行,而非在各仓库逐一配置",具体方案仍在讨论中。
2026 年 5 月,WordPress 在 HackerOne 漏洞赏金计划中新增供应链与 CI/CD 工作流专项,意味着安全研究人员现在可以针对 WordPress 构建自动化环节提交报告并获得奖励。
此外,当安全加固 PR 需要紧急合并时,GitHub 组织管理员可直接介入处理,释放出团队在维护者无法及时响应时快速推进修复的意图。
更广泛的安全治理蓝图
加固工作与 WordPress GitHub 组织层面的安全治理现代化同步推进。Bluehost 赞助的核心提交者 Jonathan Desrosiers 牵头制定了仓库准入标准(2025 年 6 月发布)。在此框架下,安全团队正推动所有仓库统一使用标准化 SECURITY.md 文件,并配套 HackerOne 政策。

后续规划还包括:不可变发布(immutable releases)、密钥扫描(secret scanning)、强制规则集(required rulesets)等。Node 与 npm 的安全配置规范也在路线图上,不过团队明确,在 wordpress-develop 和 Gutenberg 升级至 Node v24 之前不会强制推进。
现实压力:插件生态接连爆雷
此轮安全治理有其现实紧迫性。今年以来,WordPress 插件生态已发生多起严重供应链事件:安全研究员 Austin Ginder 披露横跨 44 个 WordPress.org 插件的 13 年期后门(插件团队核实为 56 个)、多起插件所有权转移攻击,以及 OptinMonster CDN 供应链攻击。
