Autor Zpráva
BlanikKnight
Profil
Ahoj, včera mě šéfredaktorka jednoho WP webu, o který se starám upozornila na to, že "se jí tam zobrazilo nějaký vokýnko a že chce instalovat nějaký pluginy a že teda sem na nic neklikala.." Po zalogování (jako administrátor) se mi zobrazil dialog (neumím sem vložit obrázek):

ForceHTTPS reccommends the following free plugins:
Speed demon -- Install now!
Disable Gutenberg -- Install now!
atd.. celkem 5 pluginů


uri na těch odkazech vypadají "normálně", tedy ...wp-admin/update.php?action=install-plugin&plugin=speed-demon-littlebizzy&_wpnonce=blablabla..., ale samozřejmě jsem na ně neklikal ani já a později jsem se přepnul na jinou stránku a ta nabídka se už nikdy nezobrazila.

Force Https a ty nabízené pluginy jsou z dílny LittleBizzy littlebizy.com a tak jsem jim napsal slušný email, jestli mi k tomu něco řeknou. Nedostal jsem 24 hodin odpověď a tak jsem napsal ještě jednou. Slušně. Jen se ptám "..nevíte o tom něco?". Teď už mi odpověď přišla, od "jeffa", že mě dávají na jejich Public Spamlist.

Od nich se tedy nic nedozvím. Na internetu o tom, zatím, nic není a - než začnu pátrat pořádně (co to tedy vlastně bylo), ptám se tady. Jestli jste to náhodou někdo taky nezaregistroval.

Jsem si jistý, že nabídky na instalace pluginů by se neměly objevovat nikomu "nižšímu", než jsou admini / superadmini. Mohl to být tedy nějaký jejich "bug" (nebo třeba i finta), ale jak píšu, od nich se to asi nedozvím.

Jsem si poměrně jistý, že i kdyby šéfredaktorka na něco klikla a něco by se nahrávalo, pak stejně musíte ten plugin aktivovat a ona tam tlačítko Plugins v menu nemá.

V zásadě mi jde o to, že - pokud to nebylo to, co si myslím (tedy nějaká "nechtěná akce" LittleBizzy) - pak je to něco jiného ... a to by mohl být problém.

Děkuju za případné reakce! Pavel
BlanikKnight
Profil
Doplnění informace:
právě jsem si otevřel admin-notices.php v rámci pluginu Force Https a vidím to tam, je tam sekce Plugin suggestions, ve které je tahle 'notice' nastavená na 6 měsíců "reappear":
private $days_dismissing_suggestions = 180; // 6 months reappear

Takže můj hlavní dotaz je vyřešen.

Na to, proč se to zobrazuje i Šéfredaktorům (s nabídkou instalace), se podívám později.


Dodatek 2:
aha, constructor té třídy pro admin-notices kontroluje jen tohle:
// Check notices
if (is_admin()) {
  $this->check_timestamps();
  $this->check_suggestions();
  $this->check_rate_us();
}
a nikde už jsem nenašel testování proti funkci current_user_can() ani nijak jinak. Pokud nejsem úplně blbej, bude se to zobrazovat úplně všem uživatelům, kteří vidí wp-admin.

Z mé strany vyřešeno. Děkuji za pozornost ;)
Kajman
Profil
Asi to byla jen reklama a instalace by zhavarovala na nedostatečná práva.

On se dá tuším wp nastavit tak, že přes web ani žádné instalace a aktualizace nelze dělat a je to řešeno po ssh přihlášení přes wp-cli.
BlanikKnight
Profil
Kajman:
Ahoj, děkuju za komentář. Ano, je to reklama. A dost "vhodná", myšleno tak, že redaktorka by moc ráda tam měla "nějaký plugin, aby se nemusela učit v Gutenbergu" .. lol
Jsem si na 99% jistý, že máte pravdu, že by ten update prostě nešel, wp-admin/update.php už kontroluje práva, například tady pro update:
  if ( ! current_user_can( 'update_plugins' ) ) {
    wp_die( __( 'Sorry, you are not allowed to update plugins for this site.' ) );
}
a pak samozřejmě dál (pro instalaci, aktivaci atd...).
Já jsem ten web převzal zavirovaný, před asi 5 měsíci (teď už vím, že to nebylo 6, lol) a určitá úroveň paranoi je na místě .. znáte to, rádi byste si prošli VŠECHNY ty kódy :), ale není na to čas..
.. takže když pak na vás "vyjede něco podobnýho", snažíte se sice nepanikařit, ale - jak to bylo - There is always a good time to panic. (??) Už nevím... :) a samozřejmě se snažíte přijít na to, co by se stalo "kdyby se na to kliklo.." ... ale klikat se na to nebude... :)

On se dá tuším wp nastavit tak, že přes web ani žádné instalace a aktualizace nelze dělat a je to řešeno po ssh přihlášení přes wp-cli.
Tohle je pro mě nové, děkuju!
webjak
Profil
@BlanikKnight

Měli byste říct pravdu....

Místo placení za členství jste opakovaně odesílali nevyžádané e-mailové adresy a požadovali bezplatnou pomoc

hucksters.net/person/pavel-kratky

Obtěžování jiných vývojářů namísto placení za čas a odborné znalosti ....??

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0