Поддержка Проблемы и решения Регистрация пользователей WP увеличивает вероятность взлома?

  • Решено fedorov

    (@fedorov)


    Доброго вечера.

    Пообщался с разными околовордпресными людьми и сразу сюда. Все практически в один голос сказали, что если включить регистрацию пользователей WordPress, то это увеличивает вероятность взлома самого WordPress в несколько раз.
    Я был очень удивлен и даже обескуражен. С другой стороны я сам заметил, что владельцы сайтов на WordPress очень редко открывают регистрацию пользователям.
    Неужели это правда?

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Все практически в один голос сказали, что если включить регистрацию пользователей WordPress, то это увеличивает вероятность взлома самого WordPress в несколько раз.

    Не взлома как такового, а различных неожиданных действий юзеров. В тч и да, возможно и взлома используя недостаточную проверку возможностей в тема-плагинах или даже прямое разрешение недальновидного админа выполнять юзерам некие действия (напр, вставлять php-код в посты). Ведь никто не использует голый ВП, а плагины и темы предполагается использование людей с правами. Чит: несущими ответственность за сайт. Да и как там темы-плагины свой функционал соотносят с возможностями ролей — даже их разработчики зачастую не заморачиваются. Просто не думают, что в админке вдруг будут те, кому не положено.

    Моё личное мнение, что делать мультиюзервскую систему на ВП (как впрочем, и на др универсальных движках) не стоит. А если делать, то только для своих (кому доверяешь и с кого спросить можно) и достаточно серьёзно подходить к выбору всяческих аддонов.
    А повысить уровень безопасности от нежелательных действий зарегистрированных пользователей можно, полностью запретив им доступ в админку. То, что им нужно — должно делаться через фронт/служебные страницы.

    Неужели это правда?

    Любая система, имеющая возможность повышения привилегий зарегистрированных пользователей является потенциально уязвимой. Но одно дело когда перечень функций известен и строго лимитирован (движки нормальных фрумов, напр), а другой — такой зоопарк возможностей, как в универсальных контентных движках: ВП, Друпал и тд.

    Модератор Юрий

    (@yube)

    Любая система, имеющая возможность повышения привилегий зарегистрированных пользователей является потенциально уязвимой.

    Истинная правда!

    зоопарк возможностей, как в универсальных контентных движках: ВП, Друпал и тд.

    И не столько сами движки подвержены порче, сколько плагины к ним, поскольку далеко не всегда авторы плагинов учитывают возможность доступа «чужих» к бэк-энду плагина.

    SeVlad, Юрий, вполне логично, хотя там ролей кроме подписчиков ни у кого не нет…

    • Ответ изменён 5 лет, 1 месяц назад пользователем fedorov. Причина: Юрий
    Модератор Юрий

    (@yube)

    Я видел плагин, настройки которого были доступны всем, включая подписчиков 🙂

    И не столько сами движки подвержены порче, сколько плагины к ним, поскольку далеко не всегда авторы плагинов учитывают возможность доступа «чужих» к бэк-энду плагина.

    Угу, я это имел ввиду. Богатство возможностей и API (-> богатство плагинов) имеет вот такую обратную сторону, как потенциальное снижение безопасности.

    Я видел плагин, настройки которого были доступны всем, включая подписчиков

    И подобное, кстати не редкость. Большинство плагов вообще не проверяют ни роли не возможности юзера, а между тем что-то позволяют записать в базу или даже создавать файлы. Сфитивить GET/POST-запрос через них большого труда не составит.
    И это не говоря уже о простых методах типа плагинов, разрешающих php в контенте, а то и виджетах.

    хотя там ролей кроме подписчиков

    Если честно, я воще не понимаю зачем эта роль. Точнее так — с трудом принимаю её необходимость. Я бы для подписки собирал (если понадобиться) юзеров в отдельные данные, а не как юзеров ВП, коим можно поднимать привилегии и раздавать права.

    SeVlad, да тоже многого не понимаю. Вот например… Хотя ладно. Не поймете шутку…

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Тема «Регистрация пользователей WP увеличивает вероятность взлома?» закрыта для новых ответов.