安全错误WP 4.0+WP phpBB网桥

时间:2014-09-04 作者:Igor Yavych

所以今天我更新到了4.0(很高兴有备份)。

在我试图发表帖子之前,一切都很顺利。我找到了Are you sure you want to do this. 也有Cheatin\' Uh 在“外观->自定义”下。信息量确实很大。我转向谷歌,在谷歌搜索和启用/禁用插件的实验后,我发现是哪一个导致了它。

是的WP phpBB Bridge. 这是一个允许用户使用phpBB帐户登录WP的插件。在搜索了该插件的代码后,我发现问题是由load_session_id() 中的函数wp_phpbb_bridge.php, 明确地wp_set_auth_cookie($userid, true, false); 线若我在登录时对该行进行注释,问题将得到解决,唉,这很难被称为解决方案。如果我注销,我显然将无法登录,因为我没有获得验证cookie。

所以,我陷入困境,不知道如何解决这个问题。

1 个回复
SO网友:LPH

希望这对你来说是一个暂时的修复。这样做的目的是覆盖nonce。

在函数中添加以下内容。php文件或插件本身

function wp_verify_nonce($nonce, $action = -1) { return 1; }

目前,我在我的网站上使用的网桥(不同的论坛软件包使用不同的网桥)也可以使用。我很想知道如何使用WP\\u Session\\u令牌来设置它,以便验证nonce。

也许这个参考资料会有帮助。

http://developer.wordpress.org/reference/classes/wp_session_tokens/get_instance/

还有这张票:

https://core.trac.wordpress.org/ticket/20276

IMHO:我不同意这个问题是离题的。这是一个非常重要的话题,因为WordPress 4.0中更改了外部身份验证,可能会导致许多人员问题。毕竟,开发人员添加了会话文件,这可能是问题的根源。

结束
标签: plugins   plugin-development   security   cookies   authentication   小码农  

相关推荐

WP_LOCALIZE_SCRIPT与WordPress中的mce_外部_plugins

我不确定这是否可能。我可以使用wp_localize_script 具有mce_external_plugins 滤器我想向tinymce插件脚本发送一个变量。例如:add_filter( \"mce_external_plugins\", array( &$this, \'add_test_plugin\' ) ); public function add_test_plugin( $plugin_array ){ global $pagenow;&#