Форум Сайтостроение Веб-строительство

Насколько безопасна система ролей в WordPress?

Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
529

Всем привет!

Могут ли Подписчики и Участники как-то навредить сайту?

Могут ли Хакеры поднять привилегии зарегистрированного пользователя с ролью Подписчик и Участник до роли Администратор?

Насколько это все не страшно, давать пользователям по сути доступ в административную панель, хоть и обрезанную?

Хочу все-таки вернуть регистрацию пользователей и дать возможность добавлять заметки, толкнуть так сказать сайт в WEB 2.0 чтобы все по-настоящему, как у взрослых :-), но боюсь, что сразу куча дыр образуется в безопасности и, как и в прошлый раз принесет взломы и никакого профита, скучаю по тем временам, когда пользователи и боты регистрировались у меня на сайте :-)


Vladimir SEO
На сайте с 19.10.2011
Offline
1961
Vladimir SEO
#1
Dmitriy_2014 :
Могут ли Хакеры поднять привилегии
могут
Эксперт по продуктам Google https://support.google.com/profile/58734375 ᐈ Продвижение коммерческих сайтов https://kulinenko.com/
L
На сайте с 25.12.2013
Offline
411
Lastwarrior
#2
Чем больше плагинов ставишь на WP, тем больше он тормозит и становится похожим на решето в плане безопасности.
Недорогой, надежный и отзывчивый VPS хостинг ( https://bit.ly/3eXUnNN ) Проверенная пуш партнерка с ежедневными выплатами ( https://vk.cc/9wLSrL)
FuRReX
На сайте с 04.12.2020
Offline
45
FuRReX
#3
Для таких целей прекрасно подойдёт DLE.
Он проще и безопаснее.

С функционалом из коробки, можно реализовать то, о чём вы пишете, и нет необходимости давать кому-то доступ к админке.
S3
На сайте с 29.03.2012
Offline
349
Sly32
#4
Dmitriy_2014 :
чтобы все по-настоящему, как у взрослых :-),

Ну вот я не понимаю... Столько лет сидеть на вордпрессе и не вникнуть как там и что работает. Я на второй год работы с ним отказался от готовых шаблонов и плагинов и использовал свои под любые нужды, с функционалом, заточенным под мои сайты и априори избавленных от всевозможных дыр. И такую проблему я решил, просто создав кастомную роль пользователя и отдельную страницу для добавления статей. Никакого доступа в базовую админку. Если есть вопрос - неужели так сложно посмотреть код плагина, что он делает и решить - можно ли его использовать?

Даркнет  плачет...

Проверка скрипта на дыры Сайт с автодобавлением контента Спрашиваем и отвечаем по
Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#5

Слушайте, а ведь я могу закрыть для них, кроме администратора доступ к стандартной админке WordPress’а и сделать то что мне нужно на отдельных страница шаблонах, небольшой профиль, и страницу добавления контента.

Так ведь намного снизится вероятность взлома и просмотра ненужного участниками.

Делается это в три строки кода:

//запрет доступа к админке start
function wph_noadmin() {
    if (is_admin() && !current_user_can('administrator')) {
        wp_redirect(home_url());
        exit;
    } }
add_action('init', 'wph_noadmin'); 
//запрет доступа к админке end

Хитрый (или не очень) [Wordpress] Шаблон для post_type Title на DLE
W1
На сайте с 22.01.2021
Offline
306
webinfo
#6
FuRReX #:
С функционалом из коробки, можно реализовать то, о чём вы пишете

То, о чём он пишет,  именно "из коробки".

FuRReX #:
нет необходимости давать кому-то доступ к админке

В любой CMS, где есть регистрация пользователей и их распределение по ролям, можно поднять привилегии пользователя.

Мой форум - https://webinfo.guru –Там я всегда на связи
W1
На сайте с 22.01.2021
Offline
306
webinfo
#7
Dmitriy_2014 #:
Так ведь намного снизится вероятность взлома

С чего бы это вероятность взлома зависела от шаблона учётки?

Dmitriy_2014
На сайте с 01.07.2014
Offline
344
Dmitriy_2014
#8
webinfo #:

С чего бы это вероятность взлома зависела от шаблона учётки?

Ну так пользователи не смогут заходить в стандартную панель управления, а то что я хочу будет на других страница, типа небольшого профиля и добовления заметки, все по минимому, так и получается они ничего не смогут сделать, не зайти в админку, ничего лишнего не увидят, и вообще сделать ничего не смогут, только там где это разрешенно, вне панели управления.

Потому-что в панели управления могут попасть в те места в которые не нужно, или перенастроить чегонибудь.

А то как бы не получилось типотого :):

Влияние SSL-сертификата на продвижение Раздел с вопросами пользователей Перенос домена от одного
W1
На сайте с 22.01.2021
Offline
306
webinfo
#9
Dmitriy_2014 #:
пользователи не смогут заходить в стандартную панель управления

Ты считаешь, что панель управления - это дизайн? Ну так ты ошибаешься. Панель управления - это функциональность, доступная определённому пользователю. А какие кнопочки и на каком месте ты разместишь - это ни на что не влияет.

S3
На сайте с 29.03.2012
Offline
349
Sly32
#10
Dmitriy_2014 #:
Ну так пользователи не смогут заходить в стандартную панель управления, а то что я хочу будет на других страница, типа небольшого профиля и добовления заметки, все по минимому, так и получается они ничего не смогут сделать, не зайти в админку, ничего лишнего не увидят, и вообще сделать ничего не смогут, только там где это разрешенно, вне панели управления.

В принципе, направление правильное, но опять же нужно четко понимать как работают роли пользователей и как это использовать на  кастомной странице  редактирования/добавления записей. 

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий