Публикация в группе: Плагин WP-Recall - Личный кабинет на WordPress

Категории группы: Обновления

Приветствую!

Буквально вчера на этом сайте и некоторых других была замечена активность одного деятеля, который активно пытался использовать уязвимости плагина Wp-Recall для своих хулиганских целей. Действия касались в первую очередь проверки возможности внедрения SQL-инъекций и загрузки файлов с вредоносным кодом на сервер. Неприятно, но факт - некоторые действия увенчались успехом.

Смысла для паники никакой нет, это всего лишь очередная возможность проанализировать слабые места в безопасности плагина и поработать над их устранением. В конце концов, где еще найдешь тестера, который будет бесплатно, на протяжении нескольких часов, стараться выявить уязвимости. Так что скажем упомянутому персонажу "спасибо" и перейдем к описанию новой версии плагина Wp-Recall.

Как сообщалось выше, основные изменения коснулись безопасности плагина, что делает данное обновление просто необходимым. Что то конкретно описывать в этих изменениях трудно, да и вряд ли полезно.

В процессе работы над обновлением встал вопрос о необходимости блокирования некоторых аккаунтов на сайте, что привело к созданию новой группы пользователей "Бан", куда можно будет отправить пользователей замеченных в нехороших действиях на сайте. Пользователю, который получил честь находится в этой группе, будет выводиться надпись "Поздравляем! Вы были забанены." и дальнейшие действия на сайте для него станут невозможны.

Также был решен вопрос с доработкой дополнения рейтинга, а именно функционала удаления пользователя, при котором также должна удаляться вся его рейтинговая активность на сайте и соответствующим образом изменяться рейтинг других пользователей на который он повлиял своими действиями. Ранее этот вопрос уже решался, но последующее обновление плагина Wp-Recall сделало невозможным корректную работу этого функционала. Надеюсь данный вопрос все же будет теперь закрыт и удаление пользователя и его активности будет работать как надо.

Тем, кто хочет удалить всю рейтинговую активность конкретного пользователя без удаления самого пользователя могу предложить использовать данный код:

function init_delete_rayt_user(){
    delete_all_rayt_user_rcl(123);
}
add_action('init','init_delete_rayt_user');

Где 123 - идентификатор нужного пользователя.

Внедряете этот код в файл функций, один раз перезагружаете свой сайт и после этого удаляете это код. В результате рейтинговая активность указанного пользователя будет полностью вычищена с сайта.

Ну и несколько мелких доработок.

Благодаря последним изменениям в дополнении Money Wallet стало возможным смотреть историю изменения баланса любого пользователя прямо со страницы "Пользователи" в админке.

Доработан вывод пользователей в шорткоде userlist с атрибутом usergroup, который описывался в предыдущем обновлении, теперь указанная группа пользователей выводиться более корректно.

Ну и на будущее, заложены основы с более гибкой работой с файлами различных типов в форме публикации.

1

Автор публикации

не в сети 56 минут

Андрей CS

12K
рассматриваю задания
Комментарии: 2744Публикации: 481Регистрация: 30-11--0001Продаж/Покупок: 0/0