Правда ли что в WordPress могут существовать скрытые пользователи, администраторы/простые?

12
W1
На сайте с 22.01.2021
Offline
306
#11
Про сессии и куки при авторизации никто не слышал, нет?
Это такой толстый намёк...
Мой форум - https://webinfo.guru –Там я всегда на связи
bobolab
На сайте с 08.04.2008
Offline
211
#12

в самой админке скрыть наверное не очень сложно для спецов... есть даже простые плагины, которые скрывают обновления.... почему не сделать плагин, который скроет левого админа... 

а вот в базе данных.... нужно движок вордпресовский переписывать.... 

Аналог РСЯ https://u.to/j03BHw Видео реклама https://u.to/e03BHw
T
На сайте с 22.02.2012
Offline
99
#13
webinfo #:
Про сессии и куки при авторизации никто не слышал, нет?
Это такой толстый намёк...
А зачем вообще авторизовываться?
Если есть доступ к ФС => есть доступ к БД  => редактируй всё что душе угодно.
W1
На сайте с 22.01.2021
Offline
306
#14
taburet #:
А зачем вообще авторизовываться?
Если есть доступ к ФС => есть доступ к БД  => редактируй всё что душе угодно.

Типа из соображений удобства, чтобы работать как полноценный админ. Это не совсем то, про что спрашивает ТС, но близко к  тому - можно работать в админке от имени любого администратора, не зная и не меняя  его пароль.

G6
На сайте с 12.07.2007
Offline
171
#15
bobolab #:
в самой админке скрыть наверное не очень сложно для спецов...

Один из 100500 вариантов

add_action('pre_user_query','yoursite_pre_user_query');
function yoursite_pre_user_query($user_search) {
  global $current_user;
  $username = $current_user->user_login;

  if ($username != 'hiddenuser') {
    global $wpdb;
    $user_search->query_where = str_replace('WHERE 1=1',
      "WHERE 1=1 AND {$wpdb->users}.user_login != 'hiddenuser'",$user_search->query_where);
  }
}
Dmitriy_2014
На сайте с 01.07.2014
Offline
329
#16

Кстати интересный факт, за все время использования WordPress на сайте, никогда не наблюдал в панели управления и в таблицах базы данных wp_users, каких-то левых, скрытых, других не официальных пользователей.

Но один раз была изменена таблица wp_options кажется, и изменен адрес сайта, кажется это было проделано через уязвимость плагина какого-то, в следствии чего, был редирект на вирусно/рекламный сайт.

Так если таких пользователей можно создать, то где они хранятся, в базе данных, скриптах. Как их посмотреть, где они :-) можно ли это проверить. WordFance подскажет если что?
G6
На сайте с 12.07.2007
Offline
171
#17
Dmitriy_2014 #:
WordFance подскажет если что?

Вера в него слишком преувеличена. Остальное от метода, можно из админки все по быстрому сделать, можно редирект устроить не наследив, можно через базу, можно пакостить разово и подчищать оставляя только на будущее ... Но все это при условии, если сам админ сайта позволит всем этим заняться, ставит что попало, не позакрывал доступы...

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий