¿Es seguro usar sslverify => true con wp_remote_get / wp_remote_post?

Pregunta:

Normalmente uso este argumento para evitar errores con wp_remote_get y wp_remote_post

array(
    'sslverify' => false
)

Por razones de seguridad, me gustaría establecerlo en true (o eliminarlo, ya que el valor predeterminado es verdadero).

¿Debería esperar algún problema al hacer eso?

Respuesta:

TL; DR: Sí, elimine esa configuración a partir de WordPress 3.7 o posterior.

En el pasado, muchas personas agregaron el parámetro sslverify = false específicamente porque su instalación de PHP no pudo verificar correctamente el certificado.

Normalmente, esto se debía a que la instalación de PHP no se había actualizado con la última copia de los certificados raíz de CA. Los certificados raíz cambian de vez en cuando, y normalmente no nota este cambio porque ocurre en las actualizaciones normales del navegador. Bueno, cuando tiene PHP actuando como un navegador para recuperar URL https, entonces también necesita esas actualizaciones de certificado raíz. Y la mayoría de los hosts nunca actualizan PHP, ni actualizan ninguna parte específica de él (como el archivo de certificados).

Cuando WordPress implementó la actualización automática en la versión 3.7, se determinó que era necesario actualizar las API de WordPress.org para requerir una comunicación segura. En este momento, WordPress comenzó a incluir una copia del archivo de certificados raíz de CA, procedente de Mozilla. Desde WordPress 3.7, por lo tanto, las funciones de la API WP_HTTP utilizan este archivo para realizar la verificación del certificado, y no cualquier versión antigua o desactualizada que esté empaquetada con su instalación de PHP.

Por lo tanto, sí, con WordPress 3.7 o posterior, es recomendable eliminar el parámetro sslverify y permitir que las funciones http realicen una verificación adecuada del certificado. Cualquier servidor moderno que ejecute SSL con una clave firmada por una de las CA conocidas se verificará correctamente. El WP_HTTP debería tener una copia de los últimos certificados raíz, y el proyecto principal actualizará ese archivo de certificados en WordPress junto con las actualizaciones normales.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım