← 所有版本
core

v0.4.9

  • 打包修复 —— WordPress.org Plugin Check 的 hidden_files 拒绝
  • v0.4.8 ZIP 中夹带 .env.local 凭据的安全说明

补丁版本

修复

  • 打包 —— WordPress.org Plugin Check hidden_files 拒绝。 v0.4.8 的发行 ZIP 中夹带了三个 WP.org PCP 会拒绝的隐藏文件:.env.local(开发者本地配置 + 管理员凭据)、.githooks/pre-commit(宿主机端的开发工具)以及 public/react/.vite/manifest.json(Vite 默认的 manifest 路径)。.env.local.githooks/ 现已通过 .distignore 排除。Vite 的 manifest 已迁至 public/react/manifest.jsonmanifest: 'manifest.json'),不再位于隐藏目录中;两处读取方(ReactHandler::read_manifest()AdminAssetScopeTest)均已同步更新。

安全

  • 在本次修复前的约 3 小时内,v0.4.8 的 ZIP 曾在 GitHub Releases 上可被下载,其中包含带有开发凭据的 .env.local(开发用 WordPress 站点的 admin/admin)以及开发者本地的文件系统路径。在该时间窗内从 GitHub Releases 下载过 v0.4.8 的任何人都拥有这些值。它们仅用于开发环境,不会在其他场景被使用,但若您有任何顾虑,请将其轮换。
免费获取 Statnive