Правда ли что в WordPress могут существовать скрытые пользователи, администраторы/простые?

12
Dmitriy_2014
На сайте с 01.07.2014
Offline
329
1109

Всем привет!

Где-то читал что в WordPress могут быть скрытые пользователи уровня wp_user_level 10, ну то есть админы, да и простых могут понаделать.

То есть реально я их в панели управления WordPress’ом под администратором не увижу в списке пользователей?

И в базе данных их не будет в таблицах где хранятся пользователи и админ в том числе - wp_usermeta, wp_users.

Или это байка по безопасности и такого не может быть?

Заранее всем спасибо за ответы!


D
На сайте с 05.02.2022
Offline
41
#1
Почему нет? Обычный шелл, на любом сайте может быть. 
T
На сайте с 22.02.2012
Offline
99
#2
Если есть доступ к ФС и БД, то можно сделать что угодно. Вопрос только зачем?
Если ты на clickbank.com какой-нибудь залился, то да - смысл имеет, чтобы не палиться. А если ты ГС-ы обзорники лепишь, то забудь.
Единственное, что получив доступ к ФС можно отредактировать страницу авторизации и повесить сниффер, чтобы твои креды слизнуть (если у тебя не 12345 пароль) и уже легитимно через твой аккаунт заходить.
S3
На сайте с 29.03.2012
Offline
327
#3
taburet #:
Если есть доступ к ФС и БД, то можно сделать что угодно. Вопрос только зачем?

И что ты сделаешь? как замаскируешь пользователя в БД? научишь админку читать пользователей откуда? 

T
На сайте с 22.02.2012
Offline
99
#4
да могу хоть посимвольно собирать админские креды из разных таблиц. вопрос только в уровне скилла.
D
На сайте с 05.02.2022
Offline
41
#5
Sly32 #:

И что ты сделаешь? как замаскируешь пользователя в БД? научишь админку читать пользователей откуда? 

Зачем пользователя маскировать, вообще создавать в бд? Ты вообще программист? Имея доступ к файлам можно самому сделать любого суперпользователя, который может хоть через $wpdb,  хоть напрямую самому к базе подключаясь, творить что угодно с сайтом.

S3
На сайте с 29.03.2012
Offline
327
#6
dzthd #:
Ты вообще программист?

Ну куда уж мне. Я просто прочитал вопросы нашего гения, а там

Dmitriy_2014 :

Где-то читал что в WordPress могут быть скрытые пользователи уровня wp_user_level 10, ну то есть админы, да и простых могут понаделать.

То есть реально я их в панели управления WordPress’ом под администратором не увижу в списке пользователей?

И в базе данных их не будет в таблицах где хранятся пользователи и админ в том числе - wp_usermeta, wp_users.

И как к этим вопросам твой ответ?

taburet #:
да могу хоть посимвольно собирать админские креды из разных таблиц. вопрос только в уровне скилла.

все тот же вопрос исходя из стартпоста??? А можно поподробнее про посимвольные креды?)))))

T
На сайте с 22.02.2012
Offline
99
#7
Ответ простой:
Реально ли создать админа, которого не будет ни в базе, ни в списке пользователей в админке - конечно, да.
Столкнётся ли кто-то с подобной ситуацией на практике - конечно, нет.
D
На сайте с 05.02.2022
Offline
41
#8
Sly32 #:

Ну куда уж мне. Я просто прочитал вопросы нашего гения, а там

И как к этим вопросам твой ответ?

Непонятно задан вопрос. Теоретически можно сделать пользователя сайта на вп( вплоть до входа в админку и работы в ней), но которого не будет в базе данных. Просто захардкодить в файлах, системных например даже. 

Но это трудоёмко, так не делают.  ( по крайне мере я о таком не слышал) 

S3
На сайте с 29.03.2012
Offline
327
#9
dzthd #:
Непонятно задан вопрос. Теоретически можно сделать пользователя сайта на вп( вплоть до входа в админку и работы в ней), но которого не будет в базе данных. Просто захардкодить в файлах, системных например даже. 

Ну, программист, расскажи как это сделать в вордпрессе? В каких файлах  будешь хардкодить? Как будешь учить админку учить искать пользователя и его права не в базе а в файлах, при этом старые тоже должны быть видны? Я, например могу такое сделать, но это уже будет практически не вордпресс, по крайней мере вся админка будет переписана. 

D
На сайте с 05.02.2022
Offline
41
#10
Sly32 #:

Ну, программист, расскажи как это сделать в вордпрессе? В каких файлах  будешь хардкодить? Как будешь учить админку учить искать пользователя и его права не в базе а в файлах, при этом старые тоже должны быть видны? Я, например могу такое сделать, но это уже будет практически не вордпресс, по крайней мере вся админка будет переписана. 

Ну если ты можешь сделать, то почему другие не могут? 

Я же пишу, что теоретически это возможно, но будет трудоёмко и я не слышал о таком. 

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий