имейте секретного администраторского пользователя уровня или создайте бэкдор

Я создал несколько сайтов Wordpress для различных клиентов, и я хочу иметь легкий доступ к каждому сайту. Я всегда мог ftp в файлы или редактировать базу данных, но я хочу, чтобы это было легче. Я хочу, чтобы это было секретным, таким образом, клиент случайно не удаляет моего пользователя. Делает у любого есть любые идеи, как у меня могли быть секретный администраторский пользователь уровня или плагин, который является бэкдором.

Верьте мне, я не прошу, чтобы любой создал это для меня. Я просто прошу некоторые идеи. как мозговой штурм. Я работал с большим количеством cms's, но Wordpress является все еще новым. Я думал, что могли бы быть некоторые ветераны здесь, которые могли указать на меня в правильном направлении.

OH Я ЗАБЫЛ САМУЮ ВАЖНУЮ ЧАСТЬ. Мне нужно это, чтобы быть плагином!!! и очевидно это должно оставаться активно даже если обновления клиентов ядро.

Любая справка/идеи была бы большой.Спасибо.

Хорошо я вижу, что получаю большое тепло от всех думающих, что я пытаюсь выполнить неэтичную задачу. Я приношу извинения и надеюсь, что никто не удаляет это. Я предполагаю, что попробую, спрашивает мой вопрос другой путь.

Позволяет быть честным, что может сделать, я выполняю с этим "секретным пользовательским плагином", который я не могу выполнить с ftp и доступом к базе данных. Я - веб-мастер для каждого клиента. Я устанавливаю хостинг. У половины из них даже нет данных для входа ftp. Ничего окольного не происходит, я только пытаюсь сделать свою жизнь легче.

1
28.01.2011, 01:06
4 ответа

На всякий случай у Вас все еще есть доступ FTP, можно использовать WPAAA.PHP – Доступ WordPress Все области (Инструмент Поддержки Wordpress).

Это - единственный файл, и можно легко создать плагин Должен-использования из него, просто копируя его в каталог должен-использования и делая некоторые взломы. Кроме того, это будет автоматически конфигурировать себя так, чтобы у Вас был секретный URL для доступа к странице.

4
19.02.2020, 22:44
  • 1
    НАКОНЕЦ!!!!! Огромное спасибо!!! Но Вы могли бы хотеть наблюдать спину. Я думаю, что линчевать толпа городского народа будет отсутствовать вскоре с ветвлениями подачи и и факелы! JK. Я наслаждался этими дебатами. –  Steve Fischer 04.02.2011, 15:41

Развитие комментария John's, добавляет плагин должен-использования что:

На неудавшемся входе в систему, или на регистре, проверке на произвольное имя пользователя/пароль по Вашему выбору (не забывайте хешировать пароль в Вашем плагине, так как это будет тут же в открытом тексте если не). Если это соответствует, добавьте, что пользователь/передача к базе данных с Вашей электронной почтой, предоставьте ему права администратора и зарегистрируйте его в.

В Вашей опции, на выходе из системы, проверке, если случается так, что комбинация пользователя/передачи выходит из системы. И если так, удалите его.

Тем путем Вы сможете войти в систему независимо от того, является ли Ваш суперадминистраторский вход в систему в пользовательском списке.

Не забывайте защищать имя пользователя, также. Вы не хотите создавать двух пользователей с тем же именем пользователя и различными полномочиями.

Альтернатива может быть плагином должен-использования, который придерживается защиты Вашего предпочтительного имени пользователя: если это редактируется/удаляется, отклоните изменение, прежде чем это произойдет.

1
19.02.2020, 22:44
  • 1
    @Mike: Да, я на самом деле делаю. Я флиртовал с идеей сделать то же однажды. Пользователи иногда открывают срочный билет с неясным описанием их проблемы и забывают предоставлять свои детали сайта. Мне иногда жаль, что я не мог просто войти в эти сайты в один клик и лично убедиться, не будучи должен пойти назад и вперед очень долго. –  Denis de Bernardy 29.01.2011, 16:18
  • 2
    @Denis - А-ч, хорошо, да я вижу его теперь для примера использования распределительных плагинов. Конечно, если бы когда-либо обнаруживалось кем-то, кто был оскорблен об этом, у Вас был бы ад для оплаты в отрицательной рекламе. :) –  MikeSchinkel 29.01.2011, 22:08

Хорошо, здесь мы идем. Существует две вещи, которые необходимо сделать:

  1. Используйте mu плагин (плагин должен-использования). Любые файлы PHP в wp-content/mu-plugins каталоге будут автоматически загружены WordPress перед всеми другими плагинами. Эти плагины должен-использования не могут быть деактивированы. Единственный способ удалить их через FTP.

  2. Изучить map_meta_cap() (просмотрите источник здесь). Система возможностей WordPress имеет что-то позвонившее 'meta возможности'; например, нет никакой фактической возможности, названной 'edit_post', но когда пользователь пытается отредактировать определенное сообщение, проверки WordPress на ту возможность в функции current_user_can( 'edit_post', $post_id ). map_meta_cap() взгляды на ту комбинацию и вещи проверок как то, принадлежит ли сообщение этому пользователю; в противном случае им разрешают отредактировать какое-либо сообщение, которого они желают? в противном случае не позволяйте им редактировать это сообщение. Таким образом, то, что Вы хотели бы сделать, проверить meta возможности вещей как edit_user и delete_user. Если пользователь пытается отредактировать или удалить Вашего пользователя, и это не Вы, не позволяйте им.

Сообщите мне, есть ли у Вас больше вопросов. Я действительно не знаю, сколько Вы знаете о WordPress.

0
19.02.2020, 22:44

Да, это возможно и что-то, что я создал в нескольких формах в прошлом для работы с несколькими сотнями сайтов, выполненных моим работодателем. Я даже создал функцию "Log in as User", где после проверки моих прав, я видел точно, что видел пользователь. Это было невероятно полезно для дублирования проблем, которые произошли для одного пользователя и не другого.

Вашим решением должна будет быть рука, созданная Вами, так мало людей совместно использует этот тип инструмента, как низкоуровневые инструменты как это навык для создания это часто считают предпосылкой для использования его. Можно, очевидно, изучить вход в систему, обрабатывается теперь WordPress для наблюдения, где необходимо добавить код. Короче говоря, выясните, как логины WordPress работают и идут оттуда.

Мне нравятся другие, имеют проблему с Вами создающий что-то, о чем Ваш клиент не знает и не может удалить. То, что Вас все еще называют User2774 после двух дней и не имеете никаких других вопросов Вашему уверенному имени, делает, это быть похожим на Вас чувствует, что необходимо скрыть это от клиентов, потому что они не согласились бы с понятием.

Если Вы законны и профессиональны, необходимо сделать это в открытую и сообщить клиентам, что это существует. Необходимо гордо установить "Плагин Поддержки клиентов User2774" и поскольку Вы не размещаете его на своих собственных серверах, позволяете им деактивировать его при разделении путей. Корректно разрешение клиента к выбрало, конкурент не является отрицательным моментом.

Кроме того, законный или нет, установка скрытых черных ходов в чужой системе открывает Вас для ответственности, когда что-то действительно идет не так, как надо. Возможности - Вы еще, не LLC и был бы представителен ответственный, если что-то плохо происходит и должно доказать Вас, и Ваш черный ход не имел никакого отношения к нему.

0
19.02.2020, 22:44