Autor | Zpráva | ||
---|---|---|---|
BlanikKnight Profil |
Ahoj, včera mě šéfredaktorka jednoho WP webu, o který se starám upozornila na to, že "se jí tam zobrazilo nějaký vokýnko a že chce instalovat nějaký pluginy a že teda sem na nic neklikala.." Po zalogování (jako administrátor) se mi zobrazil dialog (neumím sem vložit obrázek):
ForceHTTPS reccommends the following free plugins: Speed demon -- Install now! Disable Gutenberg -- Install now! atd.. celkem 5 pluginů uri na těch odkazech vypadají "normálně", tedy ...wp-admin/update.php?action=install-plugin&plugin=speed-demon-littlebizzy&_wpnonce=blablabla... , ale samozřejmě jsem na ně neklikal ani já a později jsem se přepnul na jinou stránku a ta nabídka se už nikdy nezobrazila.
Force Https a ty nabízené pluginy jsou z dílny LittleBizzy littlebizy.com a tak jsem jim napsal slušný email, jestli mi k tomu něco řeknou. Nedostal jsem 24 hodin odpověď a tak jsem napsal ještě jednou. Slušně. Jen se ptám "..nevíte o tom něco?". Teď už mi odpověď přišla, od "jeffa", že mě dávají na jejich Public Spamlist. Od nich se tedy nic nedozvím. Na internetu o tom, zatím, nic není a - než začnu pátrat pořádně (co to tedy vlastně bylo), ptám se tady. Jestli jste to náhodou někdo taky nezaregistroval. Jsem si jistý, že nabídky na instalace pluginů by se neměly objevovat nikomu "nižšímu", než jsou admini / superadmini. Mohl to být tedy nějaký jejich "bug" (nebo třeba i finta), ale jak píšu, od nich se to asi nedozvím. Jsem si poměrně jistý, že i kdyby šéfredaktorka na něco klikla a něco by se nahrávalo, pak stejně musíte ten plugin aktivovat a ona tam tlačítko Plugins v menu nemá. V zásadě mi jde o to, že - pokud to nebylo to, co si myslím (tedy nějaká "nechtěná akce" LittleBizzy) - pak je to něco jiného ... a to by mohl být problém. Děkuju za případné reakce! Pavel |
||
BlanikKnight Profil |
Doplnění informace:
právě jsem si otevřel admin-notices.php v rámci pluginu Force Https a vidím to tam, je tam sekce Plugin suggestions, ve které je tahle 'notice' nastavená na 6 měsíců "reappear": private $days_dismissing_suggestions = 180; // 6 months reappear Takže můj hlavní dotaz je vyřešen. Na to, proč se to zobrazuje i Šéfredaktorům (s nabídkou instalace), se podívám později. Dodatek 2: aha, constructor té třídy pro admin-notices kontroluje jen tohle: // Check notices if (is_admin()) { $this->check_timestamps(); $this->check_suggestions(); $this->check_rate_us(); } current_user_can() ani nijak jinak. Pokud nejsem úplně blbej, bude se to zobrazovat úplně všem uživatelům, kteří vidí wp-admin.
Z mé strany vyřešeno. Děkuji za pozornost ;) |
||
Kajman Profil |
#3 · Zasláno: 28. 5. 2020, 08:01:56
Asi to byla jen reklama a instalace by zhavarovala na nedostatečná práva.
On se dá tuším wp nastavit tak, že přes web ani žádné instalace a aktualizace nelze dělat a je to řešeno po ssh přihlášení přes wp-cli. |
||
BlanikKnight Profil |
#4 · Zasláno: 28. 5. 2020, 09:30:44
Kajman:
Ahoj, děkuju za komentář. Ano, je to reklama. A dost "vhodná", myšleno tak, že redaktorka by moc ráda tam měla "nějaký plugin, aby se nemusela učit v Gutenbergu" .. lol Jsem si na 99% jistý, že máte pravdu, že by ten update prostě nešel, wp-admin/update.php už kontroluje práva, například tady pro update: if ( ! current_user_can( 'update_plugins' ) ) { wp_die( __( 'Sorry, you are not allowed to update plugins for this site.' ) ); } Já jsem ten web převzal zavirovaný, před asi 5 měsíci (teď už vím, že to nebylo 6, lol) a určitá úroveň paranoi je na místě .. znáte to, rádi byste si prošli VŠECHNY ty kódy :), ale není na to čas.. .. takže když pak na vás "vyjede něco podobnýho", snažíte se sice nepanikařit, ale - jak to bylo - There is always a good time to panic. (??) Už nevím... :) a samozřejmě se snažíte přijít na to, co by se stalo "kdyby se na to kliklo.." ... ale klikat se na to nebude... :) „On se dá tuším wp nastavit tak, že přes web ani žádné instalace a aktualizace nelze dělat a je to řešeno po ssh přihlášení přes wp-cli.“ Tohle je pro mě nové, děkuju! |
||
Časová prodleva: 2 měsíce
|
|||
webjak Profil |
@BlanikKnight
Měli byste říct pravdu.... Místo placení za členství jste opakovaně odesílali nevyžádané e-mailové adresy a požadovali bezplatnou pomoc hucksters.net/person/pavel-kratky Obtěžování jiných vývojářů namísto placení za čas a odborné znalosti ....?? |
||
Časová prodleva: 4 roky
|
0