Pull to refresh

Небезопасный код приостановленного проекта PHP Speedy для Wordpress

Reading time 1 min
Views 1.9K
Для решения задачи объединения множества CSS и JS файлов блога на Wordpress я не нашла ничего лучше, чем заброшенный проект PHP Speedy. (Web Optimizer не захотел устанавливаться из-за наличия конфликтующего плагина). Какого же было мое удивление, когда я случайно обнаружила вот такой небезопасный код:

// action function for above hook
function mt_add_pages() {
add_options_page('php_speedy_wp.php', 'PHP Speedy', 0, $this->home_url, array(&$this, 'menu_system'));
}

стр. 568 исходного кода

Обратите внимание на строку с функцией add_options_page(), которая отвечает за добавление пункта меню «PHP Speedy» в списке плагинов для его настройки. 3й параметр этой функции указывает уровень пользователя (от 0 до 10), которому будут доступны настройки плагина. И почему-то этот параметр 0, вместо 10. Это означает, что любой зарегистрированный пользователь вашего блога увидит в консоли этот пункт в меню, ну и конечно, сможет настроить плагин как угодно или даже деактивировать его.

Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.
Tags:
Hubs:
+3
Comments 0
Comments Leave a comment

Articles