WordPress新默认角色:WP CONFIG add a control?

2021-09-21 16:00:05 other 阅读:744
您好, 最近,在我们使用的插件中检测到一个[link removed]漏洞。 我发现一个非常关键的问题是,一旦用户被创建为管理员,他们就可以通过转到\"常规\"并更改下拉框来轻松更改\"默认新用户角色\"设置。 因此我想知道两个问题事情: a)在wp config中,是否有一种特殊的魔法代码意味着wp安装的特定部分会被隐藏。 b)如果没有,有某种内部安全ping会在发生更改时发送到站点管理员。 我很幸运,因为我能够将安装回滚到以前的版本,然后进行必要的更新。我希望这一批评能得到积极的对待。 - 这一主题是由史蒂文·斯特恩(sterndata)在2年3个月前修改的。 - 这一主题是由史蒂文·斯特恩(sterndata)在2年3个月前修改的。 您可以搜索现有的票证,看看是否有人已经提出了此请求。如果他们没有,你可以开一张新票。 https://core.trac.wordpress.org/理论上是个好主意,但实际上行不通。如果他们创建的用户确实具有管理员权限,那么缺省用户角色是您最不用担心的。通过访问管理员用户角色,他们将能够访问插件/主题编辑器,在那里他们可以直接将PHP代码插入站点。 使用此代码,他们可以做任何他们想要做的事情,包括添加代码,这些代码将直接通过数据库更改默认用户角色值,甚至不需要更改从仪表板设置。此外,他们可以禁用更改该值时将发送的任何通知消息。 嗨,Jarret, 谢谢您的回复。 我理解您的回复,但没有您所说的\"我最不担心的事\",因为您所说的一切我从安全方面都很熟悉。如果你说的是,一旦用户有了管理员权限,他们就可以在网站上做他们想做的事情,这是你的意思吗? 在我们的例子中,我们将WP安装恢复到漏洞出现之前的安全时间,然后对ftp上的文件运行日期检查,以确保没有不同步的上次更新的修改,这些修改会通过文件管理器插件(可能通过WP admin安装)提示一些WP admin代码更改。 可能您是说,有了管理员权限帐户,PHP就可以通过浏览器执行查询,从而向WP插件添加代码注入,这是您的意思吗?或者你只是说,因为你是一个管理员,你可以递归到WP插件目录,并添加一段PHP,将有某种期望的结果黑客? 如果您没有这样说,那么我认为,能够阻止更改\"新默认用户角色\"的唯一方法是通过FTP访问wp config,这样就可以进一步防止这种攻击。 在我看来,在向您的网站移交密钥的方案中,\"新的默认用户角色\"是黑客的一个很好的攻击目标,而且似乎是一件很容易破解和自动化的事情,但是如果没有它,黑客软件就没有什么可以锚定的了。 如果我没有理解你的意思,但我想澄清一下我自己的立场,以确保大家都明白了。 很抱歉,我错过了你的答复。是的,作为一名管理员,他们已经拥有对该站点的完全访问权限。默认情况下,管理员用户角色可以修改主题/插件https://codex.wordpress.org/RolesŠu andŠCapabilitiesŠ管理员 如果他们有权访问管理员角色,他们将访问外观->;主题编辑器或插件->;Plugin Editor并将他们想要的任何PHP代码插入到您在站点上安装的任何主题/插件中。 Hi@gsh1923问题的根源在于您有一个您不信任的管理员用户。这可能是以下两种情况之一: –一个非法的合法管理员,一个你作为管理员角色添加的用户,现在他们的行为不符合你的最佳利益 –一个被黑客攻击的管理员帐户,也就是说一个管理员用户的密码很差,很容易被破解,在这两种情况下,WordPress实现什么功能来保护管理区域的某些部分并不重要,因为拥有管理权限的用户可以撤消任何安全措施。 说wp中有一个设置-配置.php禁用默认用户角色。如果用户是admin,他们可以在您的主题中编写修改wp的PHP代码-配置.php因此,正如@jarretc所解释的,如果你有一个你不信任的用户拥有管理权限,那么他们所做的任何改变都是无关紧要的,因为它可以是关于你网站的任何东西

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1159

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1060

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:799

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:885

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:925

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:872

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:854

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:825

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1691

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1298