Домой Wp-Recall WP-Recall: Проблемы и решения WP-Recall снимает защиту админки
22ответ(ов) в теме
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
1
13:18

Использую плагин защиты для своих сайтов iThemes Security.
Одна из функций этого плагина это смена URL входа в админку. Пример, меняем сайт.ру/wp-admin на сайт.ру/vhodadmin
Изучая сегодня исходный код главной страницы своего сайта я заметил, что wp-recall напрочь убирает защиту путём скрытия ссылки в админку, он этот URL показывает тут (часть кода):

<form action="https://сайт.ру/vhodadmin?action=lostpassword" method="post">
            <div class="form-block-rcl">
                <label>Логин или E-mail</label>
                <div class="default-field">
                    <span class="field-icon"><i class="fa fa-key"></i></span>
                    <input required type="text" value="" name="user_login">
                </div>
            </div>

Как видим любой хацкер теперь просмотрев исходный код найдёт доступ в админку.
Глянул исходный код на вашем сайте и увидел, что у вас на сайте плагин всё грамотно делает не вскрывая адресов (адреса вообще нет):

Вопросы:
- как мне можно прямо сейчас скрыть адрес, что править в плагине?
- планируется ли в ближайшем обновлении исправление данной ситуации?

0
Андрей CS
не в сети 15 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16925
2
13:23

никакой проблемы в этом не вижу, никаких дополнительных действий якобы для устранения несуществующей проблемы не предвидится.

0
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
3
13:25

Как мне скрыть URL, чтобы как и у вас на сайте его не было видно?

0
Андрей CS
не в сети 15 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16925
4
13:29

а кто сказал, что на этом сайте он каким то образом скрыт? Любой если захочет может его узнать также в форме восстановления пароля и никакой катастрофы я в этом не вижу, боты долбятся в стандартную страницу, люди, если захотят будут долбится в ту, что найдут, только много не надолбят - сработает ограничение попыток авторизации.

0
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
5
13:38

Я изучил исходный код страницы и вижу, что его у вас там нет (нигде):

Вы не можете просматривать опубликованные ссылки

И это правильно, поэтому хочется и нам аналогичный плагин иметь или хотя бы решение.

У меня на двух сайтах:

Вы не можете просматривать опубликованные ссылки
1
Вова (Otshelnik-Fm)
не в сети 1 неделя
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
6
13:44

у вас версия wp-recall какая?

0
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
7
13:47

Otshelnik-Fm сказал(а)

у вас версия wp-recall какая?

Самая последняя. Устанавливал с репозитория Wordpress прямо на странице плагинов (Версия 14.0.25).

Если отключить скрытие админки, то в стандартном режиме там wp-login.php прописывается:

Вы не можете просматривать опубликованные ссылки
0
Андрей CS
не в сети 15 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16925
8
14:04

Виктор сказал(а)

Я изучил исходный код страницы и вижу, что его у вас там нет (нигде)
И это правильно, поэтому хочется и нам аналогичный плагин иметь или хотя бы решение.

если от этого станет легче, то в данном случае это баг, который требует устранения.

0
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
9
14:08

Андрей Plechev сказал(а)
если от этого станет легче, то в данном случае это баг, который требует устранения.

Андрей, у вас на сайте "правильный баг", который скрывает админку, лучше внесите его в общий плагин, иначе все плагины по скрытию адреса админки становятся бесполезными.

Otshelnik-Fm сказал(а)
у вас версия wp-recall какая?

Вы можете просмотреть у себя на сайте, у вас тоже изменённый адрес, но плагин его вскрыл.

0
Андрей CS
не в сети 15 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16925
10
14:13

Виктор сказал(а)

Андрей, у вас на сайте "правильный баг", который скрывает админку, лучше внесите его в общий плагин

Позвольте мне судить что в данном случае правильно, а что нет.
Отсутствие урла в форме восстановления пароля делает невозможным собственно само восстановление и такой правильный баг можете оставить на своем сайте.

0
Виктор
не в сети 4 года
На сайте с 30.11.2014
Участник
11
14:29

Андрей Plechev сказал(а)

Виктор сказал(а)

Андрей, у вас на сайте "правильный баг", который скрывает админку, лучше внесите его в общий плагин

Позвольте мне судить что в данном случае правильно, а что нет.
Отсутствие урла в форме восстановления пароля делает невозможным собственно само восстановление и такой правильный баг можете оставить на своем сайте.

Я не считаю, что знаю лучше вас плагин и его работу. Я не пытаюсь вас учить писать код. Я не пытаюсь вас оскорбить. Я не говорю, что ошибка восстановления пароля это правильно. Я же в кавычки взял выражение "правильный баг".

Выражусь понятнее. При скрытии админки мы это делаем специально с определённой целью. Плагин WP-Recall отображает, то что мы скрывали. С точки зрения логики такое поведение плагина некорректное, если его рассматривать как часть общей экосистемы сайта, а не как плагин, которому не надо больше ни с кем взаимодействовать.

Скрывая админку мы и дальше хотим, чтобы админка была скрыта от посторонних глаз. Можно использовать плагины блокировки по IP при неверном введении пароля, однако таким образом мы можем заблокировать не одного пользователя, а группу лиц пользующихся одним провайдером и имеющих общий IP и т.д.

Поэтому огромная к вам просьба рассмотреть возможность улучшения функционала плагина в части восстановления пароля (возможно и в других местах), чтобы он не выводил ссылку на админку, а, к примеру, получал URL сразу перед отправкой запроса на восстановление пароля и отправлял уже данные по ней. Сейчас плагин получает ссылку и вписывает его сразу в "action". Возможно есть и другие способы решения данного вопроса, о которых я не подозреваю, к примеру, шифрование ссылки.

0
Андрей CS
не в сети 15 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16925
12
15:01

С точки зрения логики такое поведение плагина некорректное, если его рассматривать как часть общей экосистемы сайта

Смешно. С точки зрения логики данная фишка будет уместна на сайте, где регистрация и авторизация не подразумевается, но никак не на социально активном сайте. Попробуйте отключить плагин WP-Recall и объяснить чистому ВП, что он, с точки зрения логики, работает неверно, всячески засвечивая свою стандартную форму входа.

Я уже ответил выше, поэтому повторюсь кратко: я не вижу здесь никакой проблемы, админка и так скрыта от всех, а на форму входа достаточно поставить ограничение на подбор пароля и вопрос будет решен. Выдуманная вами возможность блокировки людей пачками не имела место быть за все время работы такой конфигурации на этом сайте.

А если хотите чего то там шифровать, то обратитесь к разработчикам этого плагина безопасности и спросите почему они этого до сих пор не сделали. Не надо на плагин личного кабинета пытаться навешивать лишний функционал.

0
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
13
15:02

В чем смысл я не понимаю?
Вы меняете имя wp-login что бы в него:
1. не долбились боты. Они не додумаются узнать новое имя wp-login.php через форму восстановления на сайте, уверяю.
2.Или что бы люди то же не долбились? Так даже если "wp-login" будет скрыт - долбиться все равно будут, но только уже не в него, а в ?rcl_action=login (это пример, точный параметр я не помню)

0
Вова (Otshelnik-Fm)
не в сети 1 неделя
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
14
15:18

Человек урл всегда узнает - к примеру когда к нему придет восстановление пароля. Уж если очень надо и это будет закрыто - он все равно узнает куда идти.
Все эти меры с автоботами - которых 99%. И смена wp-login спасает. Оставшийся 1% распределится по остальным лазейкам. Но 99% (которые и создают основную нагрузку) мы отсеем. Если среди них будет человек, злонамеренно нацелен на сайт - и хорошего склада ума, ему интересно будет поиграться в кошки мышки.

0
Roman Onipko
не в сети 7 лет
На сайте с 10.08.2015
Участник
Тем 19
Сообщения 96
15
17:26

Виктор
Ставим код:

add_filter( 'logout_url', 't5_custom_logout_url', 10, 2 );
add_action( 'wp_loaded', 't5_custom_logout_action' );
function t5_custom_logout_url( $logout_url, $redirect )
{
    $url = add_query_arg( 'logout', 1, home_url( '/' ) );
    if ( ! empty ( $redirect ) )
        $url = add_query_arg( 'redirect', $redirect, $url );
    return $url;
}
function t5_custom_logout_action()
{
    if ( ! isset ( $_GET['logout'] ) )
        return;
    wp_logout();
    $loc = isset ( $_GET['redirect'] ) ? $_GET['redirect'] : home_url( '/' );
    wp_redirect( $loc );
    exit;
}

в "голове" rcl-functions.php
Убираем:

<a href="#" class="link-remember-rcl link-tab-rcl "><?php _e('Forgot your password','rcl'); ?></a>

в form-sign.php
Удаляем form-remember.php
И будет счастье. Код в функшене скроет изменённый адрес входа (который, кстати виден толко зарегистрированным пользователям которые вошли в собственный акааунт - другим нет).
Отсальные две операции устраняют проблему восстановления пароля. Пусть и жестко, но если стоит цель решить проблему - пожертвовать этим, я думаю возможно 😉

0
Вова (Otshelnik-Fm)
не в сети 1 неделя
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
16
18:00

Roman Onipko - Ваш совет - выпилить форму восстановления пароля? - сомнительный и вредный совет.

0
Roman Onipko
не в сети 7 лет
На сайте с 10.08.2015
Участник
Тем 19
Сообщения 96
17
21:11

Otshelnik-Fm сказал(а)

Ваш совет - выпилить форму восстановления пароля?

Нет, мой совет изначально заключался в предложении добавить соответствующий код в rcl-functions.php, который скроет изменённый адрес, в исходном коде страницы. Выпиливать или нет форму напоминания пароля - это уже решать топик стартеру. Но, безусловно, наличие формы напоминания пароля делает первое предложение практически бесполезным. Ведь в таком случае сокрытие изменённого адреса в исходном коде страницы полностью нивелируется его наличием в адресной строке страницы смены (напоминания пароля).

0
Вова (Otshelnik-Fm)
не в сети 1 неделя
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
18
21:38

вы удивитесь - но в письме на восстановление пароля вам придет тщательно скрываемый вами путь))

Борьба с ветряными мельницами - просто бьет по карману (оплата хостеру, за установленные плагины безопасности). Отбивать надо 99% атак простыми и дешевыми средствами. 1% - это как раз то, чем занимаются плагины безопасности. Только вот движок они грузят ой ёй ёй и на все 100%

1
Roman Onipko
не в сети 7 лет
На сайте с 10.08.2015
Участник
Тем 19
Сообщения 96
19
21:49

Otshelnik-Fm сказал(а)

вы удивитесь - но в письме на восстановление пароля вам придет тщательно скрываемый вами путь))

Безусловно, если есть функция восстановления пароля. Поэтому я и предложил от нее избавиться 🙂 В довесок к предложению с внедрением кода в файл функций.

Борьба с ветряными мельницами - просто бьет по карману (оплата хостеру, за установленные плагины безопасности). Отбивать надо 99% атак простыми и дешевыми средствами. 1% - это как раз то, чем занимаются плагины безопасности. Только вот движок они грузят ой ёй ёй и на все 100%

Полностью с Вами согласен. Была бы возможность, я бы не использовал плагины вовсе. Но увы, я далеко не так хорошо владею программированием, чтобы реализовать то, что мне необходимо самостоятельно, без использования плагинов 🙂

1
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
20
00:13

Зачем так тщательно скрывать восстановление пароля?

0
Roman Onipko
не в сети 7 лет
На сайте с 10.08.2015
Участник
Тем 19
Сообщения 96
21
18:33

Preci сказал(а)

Зачем так тщательно скрывать восстановление пароля?

Не восстановление пароля, а вход в админку 🙂

0
Вова (Otshelnik-Fm)
не в сети 1 неделя
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
22
18:59

Тема, изначально не имевшая проблему, скатилась во флуд. Закрыто

0
Тема закрыта. Публикация новых сообщений запрещена.