拥有秘密管理员级别用户或构建后门

时间:2011-01-27 作者:Steve Fischer

我已经为不同的客户创建了几个wordpress网站,我希望能够轻松访问每个网站。我总是可以通过ftp将文件传输到文件中或编辑数据库,但我希望它更简单。我希望它是机密的,这样客户端就不会意外删除我的用户。有人知道我怎么会有一个秘密的管理员级别的用户或者一个后门插件吗。

请相信我,我没有要求任何人为我建造这个。我只是想听听你的想法。就像头脑风暴会议。我用过很多cms,但wordpress还是新的。我想这里可能有一些退伍军人可以为我指明正确的方向。

哦,我忘了最重要的部分。我需要这是一个插件!!!显然,即使客户端升级了核心,它也需要保持活动状态。

任何帮助/想法都会很好。谢谢

好吧,我明白了,每个人都认为我在试图完成一项不道德的任务,这让我感到非常愤怒。很抱歉,希望没有人删除此内容。我想我会尝试用不同的方式问我的问题。

老实说,我能用这个“秘密用户插件”完成什么,而我不能用ftp和数据库访问来完成。我是每个客户的网站管理员。我设置了主机。其中一半甚至没有ftp登录信息。没有什么不正当的事情发生,我只是想让我的生活更轻松。

4 个回复
最合适的回答,由SO网友:hakre 整理而成

如果您仍有FTP访问权限,您可以使用WPAAA.PHP – WordPress Access All Areas (Wordpress Support Tool).

它是一个单一的文件,您只需将其复制到必用目录并进行一些破解,就可以轻松地从中创建一个必用插件。此外,它将自动配置自身,以便您有一个秘密URL来访问该页面。

SO网友:Denis de Bernardy

继John的评论之后,添加一个必用插件:

登录失败或注册失败时,请检查您选择的任意用户名/密码(不要忘记在插件中散列密码,否则密码将以明文显示)。如果匹配,请将该用户/密码与您的电子邮件一起添加到数据库,授予他管理权限,然后让他登录。

根据您的选择,在注销时,检查用户/密码组合是否正在注销。如果是,请删除他。

这样,无论超级管理员登录是否在用户列表中,您都可以登录。

不要忘记保护用户名。您不想创建两个具有相同用户名和不同权限的用户。

另一种选择是必须使用的插件,它坚持保护您选择的用户名:如果它被编辑/删除,请在更改发生之前拒绝更改。

SO网友:John P Bloch

好了,开始吧。您需要做两件事:

使用mu插件(必须使用插件)。wp-content/mu-plugins目录中的任何PHP文件都将在所有其他插件之前由WordPress自动加载。这些必须使用的插件无法停用。删除它们的唯一方法是通过FTP。

查看map_meta_cap() (view the source here). WordPress的能力系统有一种叫做“元能力”的东西;例如,没有称为“edit\\u post”的实际功能,但当用户尝试编辑特定帖子时,WordPress会在函数中检查该功能current_user_can( \'edit_post\', $post_id ). map_meta_cap() 查看该组合并检查帖子是否属于该用户;如果没有,他们是否可以编辑任何他们想要的帖子?如果没有,则不允许他们编辑此帖子。因此,您要做的是检查元功能,例如edit\\u user和delete\\u user。如果用户试图编辑或删除您的用户,但不是您,请不要让他们这样做。

如果您有更多问题,请告诉我。我真的不知道你对WordPress了解多少。

SO网友:Brian Layman

是的,这是可能的,我过去曾以多种形式创建过,用于与我的雇主运营的数百个网站合作。我甚至创建了一个“以用户身份登录”功能,在验证我的权限后,我可以准确地看到用户看到的内容。这对于复制一个用户而不是另一个用户发生的问题非常有用。

您的解决方案必须由您手工构建,因为很少有人会将这种类型的工具作为像这样的低级工具共享。创建它的技能通常被认为是使用它的先决条件。很明显,您可以查看WordPress现在处理的登录,以查看您需要在哪里添加代码。简而言之,了解WordPress登录的工作原理并从中着手。

我和其他人一样,对你创造一些你的客户不知道也无法删除的东西有意见。两天后,您仍然被命名为User2774,并且对您的名字没有任何其他问题,这让您觉得有必要向客户隐瞒这一点,因为他们不同意这一概念。

如果你是合法和专业的,你应该公开这样做,并告知你的客户它的存在。你应该自豪地安装“User2774客户端支持插件”,因为你不是在自己的服务器上托管它,所以当你分手时,允许他们停用它。优雅地允许客户选择竞争对手并不是一件坏事。

此外,无论合法与否,在其他人的系统中安装隐藏的后门会让你在出现问题时承担责任。很可能你还不是一家有限责任公司,如果发生了不好的事情,你会承担个人责任;必须证明你和你的后门无关。

标签: plugin-recommendation   admin   小码农  

相关推荐

Custom menu items in admin

我想将自己的自定义菜单项添加到Appearance > Menus. 如何做到这一点?描述我想做什么的最佳方式:

拥有秘密管理员级别用户或构建后门 - 小码农CODE - 行之有效找到问题解决它

拥有秘密管理员级别用户或构建后门

时间:2011-01-27 作者:Steve Fischer

我已经为不同的客户创建了几个wordpress网站,我希望能够轻松访问每个网站。我总是可以通过ftp将文件传输到文件中或编辑数据库,但我希望它更简单。我希望它是机密的,这样客户端就不会意外删除我的用户。有人知道我怎么会有一个秘密的管理员级别的用户或者一个后门插件吗。

请相信我,我没有要求任何人为我建造这个。我只是想听听你的想法。就像头脑风暴会议。我用过很多cms,但wordpress还是新的。我想这里可能有一些退伍军人可以为我指明正确的方向。

哦,我忘了最重要的部分。我需要这是一个插件!!!显然,即使客户端升级了核心,它也需要保持活动状态。

任何帮助/想法都会很好。谢谢

好吧,我明白了,每个人都认为我在试图完成一项不道德的任务,这让我感到非常愤怒。很抱歉,希望没有人删除此内容。我想我会尝试用不同的方式问我的问题。

老实说,我能用这个“秘密用户插件”完成什么,而我不能用ftp和数据库访问来完成。我是每个客户的网站管理员。我设置了主机。其中一半甚至没有ftp登录信息。没有什么不正当的事情发生,我只是想让我的生活更轻松。

4 个回复
最合适的回答,由SO网友:hakre 整理而成

如果您仍有FTP访问权限,您可以使用WPAAA.PHP – WordPress Access All Areas (Wordpress Support Tool).

它是一个单一的文件,您只需将其复制到必用目录并进行一些破解,就可以轻松地从中创建一个必用插件。此外,它将自动配置自身,以便您有一个秘密URL来访问该页面。

SO网友:Denis de Bernardy

继John的评论之后,添加一个必用插件:

登录失败或注册失败时,请检查您选择的任意用户名/密码(不要忘记在插件中散列密码,否则密码将以明文显示)。如果匹配,请将该用户/密码与您的电子邮件一起添加到数据库,授予他管理权限,然后让他登录。

根据您的选择,在注销时,检查用户/密码组合是否正在注销。如果是,请删除他。

这样,无论超级管理员登录是否在用户列表中,您都可以登录。

不要忘记保护用户名。您不想创建两个具有相同用户名和不同权限的用户。

另一种选择是必须使用的插件,它坚持保护您选择的用户名:如果它被编辑/删除,请在更改发生之前拒绝更改。

SO网友:John P Bloch

好了,开始吧。您需要做两件事:

使用mu插件(必须使用插件)。wp-content/mu-plugins目录中的任何PHP文件都将在所有其他插件之前由WordPress自动加载。这些必须使用的插件无法停用。删除它们的唯一方法是通过FTP。

查看map_meta_cap() (view the source here). WordPress的能力系统有一种叫做“元能力”的东西;例如,没有称为“edit\\u post”的实际功能,但当用户尝试编辑特定帖子时,WordPress会在函数中检查该功能current_user_can( \'edit_post\', $post_id ). map_meta_cap() 查看该组合并检查帖子是否属于该用户;如果没有,他们是否可以编辑任何他们想要的帖子?如果没有,则不允许他们编辑此帖子。因此,您要做的是检查元功能,例如edit\\u user和delete\\u user。如果用户试图编辑或删除您的用户,但不是您,请不要让他们这样做。

如果您有更多问题,请告诉我。我真的不知道你对WordPress了解多少。

SO网友:Brian Layman

是的,这是可能的,我过去曾以多种形式创建过,用于与我的雇主运营的数百个网站合作。我甚至创建了一个“以用户身份登录”功能,在验证我的权限后,我可以准确地看到用户看到的内容。这对于复制一个用户而不是另一个用户发生的问题非常有用。

您的解决方案必须由您手工构建,因为很少有人会将这种类型的工具作为像这样的低级工具共享。创建它的技能通常被认为是使用它的先决条件。很明显,您可以查看WordPress现在处理的登录,以查看您需要在哪里添加代码。简而言之,了解WordPress登录的工作原理并从中着手。

我和其他人一样,对你创造一些你的客户不知道也无法删除的东西有意见。两天后,您仍然被命名为User2774,并且对您的名字没有任何其他问题,这让您觉得有必要向客户隐瞒这一点,因为他们不同意这一概念。

如果你是合法和专业的,你应该公开这样做,并告知你的客户它的存在。你应该自豪地安装“User2774客户端支持插件”,因为你不是在自己的服务器上托管它,所以当你分手时,允许他们停用它。优雅地允许客户选择竞争对手并不是一件坏事。

此外,无论合法与否,在其他人的系统中安装隐藏的后门会让你在出现问题时承担责任。很可能你还不是一家有限责任公司,如果发生了不好的事情,你会承担个人责任;必须证明你和你的后门无关。

标签: plugin-recommendation   admin   小码农  

相关推荐

WP-ADMIN:“对不起,您不能访问此页面。”

两周后不使用我们的WP站点,登录/wp-admin/ 出现白屏错误:抱歉,不允许您访问此页面。我有:重命名plugins 到plugins.temp.通过phpMyAdmin创建了一个新的管理员用户。新用户已user_meta 的作用a:1:{s:13:"administrator";s:1:"1";}.</已重命名themes 到themes.temp.</删除核心WordPress文件,并替换为新上载的文件</已替换.htaccess 使用默认