مقدمه
با عرض سلام و وقت به خیر خدمت کاربران سایت پی وی لرن به ویژه کاربرانی که به سیستم مدیریت محتوای قدرتمند وردپرس علاقمند هستند.
به ” دوره متخصص وردپرس ” خوش آمدید!
در این دوره قرار است توسعه و ارتقاء پلاگین های وردپرس را به صورت جامع و کامل بیاموزیم.
فرقی نمی کند که در شرف نوشتن اولین پلاگین خود هستید و یا این که پنجاهمین پلاگین خود را می نویسید! امیدوارم این دوره برایتان مفید باشد.
در جلسه قبل مقدمه ای بر مبحث امنیت پلاگین ها داشتیم.
این جلسه با موضوع ” تعیین قابلیت کاربری پلاگین ” رسماً به بررسی ایمنی سازی پلاگین ها می پردازیم.
تعیین قابلیت کاربری پلاگین
اگر پلاگین ساخته شده تان به کاربران اجازه درج داده را می دهد- در بخش ادمین و یا بخش عمومی سایت – باید برای آن قابلیت های کاربری را بررسی کرد.
نقش ها و توانایی های کاربر
مهمترین گام در ایجاد یک لایه امنیتی کارآمد، داشتن یک سیستم مجوز کاربری است.
وردپرس این اولویت مهم را در قالب نقشها و توانایی های کاربر فراهم می کند.
هر کاربری که به وردپرس وارد شده است، به طور خودکار قابلیت های خاص کاربر را براساس نقش کاربر خود تعیین می کند.
نقش کاربر فقط یک روش فانتزی است که می گوید کدام گروه کاربر متعلق به آن است.
در واقعیت هر گروه دارای یک مجموعه خاص از قابلیت های از پیش تعریف شده است.
به عنوان مثال:
کاربر اصلی وب سایت شما، نقش کاربر یک Administrator را در اختیار یکی از کاربران قرار می دهد.
در حالی که سایر کاربران ممکن است نقش هایی مانند ویرایشگر یا نویسنده داشته باشند.
شما می توانید بیش از یک کاربر را به یک نقش اختصاص دهید، به عنوان مثال ممکن است دو مدیر برای یک وب سایت وجود داشته باشد.
قابلیت های کاربر مجوز های خاصی است که شما به هر کاربر و یا یک نقش کاربر اختصاص می دهید.
به عنوان مثال، مدیران توانایی مدیریت “manage_options” را دارند که به آنها امکان می دهد تا گزینه ها را برای وب سایت مشاهده، ویرایش و ذخیره کنند.
این امر موجب می شود که ویراستاران این قابلیت را از دست دهند.
بدون این قابلیت توانیی تعامل با گزینه ها را از اختیار آن ها خارج می شود.
بنابرین این قابلیت ها در نقاط مختلف درون مدیریت بررسی می شوند.
بسته به قابلیت های تعیین شده برای نقش؛ منوها، قابلیت ها و سایر جنبه های وردپرس ممکن است اضافه یا حذف شوند.
پس هنگام ساخت یک پلاگین فقط زمانی که کاربر فعلی قابلیت های لازم را داشته باشد؛ کد خود را اجرا کنید.
سلسله مراتب
هر چه نقش کاربر بالاتر باشد، قابلیت های بیشتری نیز در اختیار این کاربر قرار خواهد گرفت.
هر نقش کاربر نقش های قبلی در سلسله مراتب کاربران را به ارث می برد.
به عنوان مثال، “Administrator”، که بالا ترین نقش را در یک سایت دارد، نقش های زیر و توانایی های آنها را به ارث می برد:
“Subscriber”، “Contributor”، “Author” و “Editor”.
به عنوان پایان مبحث تعیین قابلیت کاربری پلاگین ، چند مثال دیگر را نیز بررسی می کنیم.
مثال ها
کاربران بدون محدودیت
مثال زیر ظاهراً یک لینک ایجاد می کند که امکان ارسال پست ها را دارد.
از آنجا که این کد قابلیت های کاربر را بررسی نمی کند، به هر بازدیدکننده ای به سایت اجازه می دهد که پست ها را حذف کند!
مثال :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 | <?php /** * generate a Delete link based on the homepage url */ function wporg_generate_delete_link($content) { // run only for single post page if (is_single() && in_the_loop() && is_main_query()) { // add query arguments: action, post $url = add_query_arg( [ 'action' => 'wporg_frontend_delete', 'post' => get_the_ID(), ], home_url() ); return $content . ' <a href="' . esc_url($url) . '">' . esc_html__('Delete Post', 'wporg') . '</a>'; } return null; } /** * request handler */ function wporg_delete_post() { if (isset($_GET['action']) && $_GET['action'] === 'wporg_frontend_delete') { // verify we have a post id $post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null); // verify there is a post with such a number $post = get_post((int)$post_id); if (empty($post)) { return; } // delete the post wp_trash_post($post_id); // redirect to admin page $redirect = admin_url('edit.php'); wp_safe_redirect($redirect); // we are done die; } } /** * add the delete link to the end of the post content */ add_filter('the_content', 'wporg_generate_delete_link'); /** * register our request handler with the init hook */ add_action('init', 'wporg_delete_post'); |
محدود به یک قابلیت خاص
مثال فوق اجازه می دهد تا هر بازدید کننده ای به سایت بر روی لینک “حذف” کلیک کرده و پست را حذف کند.
با این حال، ما فقط می خواهیم ویراستاران و نقش های بالاتر از آن را قادر به کلیک بر روی لینک “حذف”نماید.
برای انجام این کار، بررسی می کنیم که کاربر فعلی دارای قابلیت edit_others_posts هست یا خیر.
این قابلیت تنها در اختیاران ویراستاران یا نقش های بالاتر از آن است :
مثال :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 | <?php /** * generate a Delete link based on the homepage url */ function wporg_generate_delete_link($content) { // run only for single post page if (is_single() && in_the_loop() && is_main_query()) { // add query arguments: action, post $url = add_query_arg( [ 'action' => 'wporg_frontend_delete', 'post' => get_the_ID(), ], home_url() ); return $content . ' <a href="' . esc_url($url) . '">' . esc_html__('Delete Post', 'wporg') . '</a>'; } return null; } /** * request handler */ function wporg_delete_post() { if (isset($_GET['action']) && $_GET['action'] === 'wporg_frontend_delete') { // verify we have a post id $post_id = (isset($_GET['post'])) ? ($_GET['post']) : (null); // verify there is a post with such a number $post = get_post((int)$post_id); if (empty($post)) { return; } // delete the post wp_trash_post($post_id); // redirect to admin page $redirect = admin_url('edit.php'); wp_safe_redirect($redirect); // we are done die; } } if (current_user_can('edit_others_posts')) { /** * add the delete link to the end of the post content */ add_filter('the_content', 'wporg_generate_delete_link'); /** * register our request handler with the init hook */ add_action('init', 'wporg_delete_post'); } |
کلام آخر
عدم تعیین درست قابلیت و نقش های یک کاربر می تواند مشکلات زیادی ایجاد نماید.
در این جلسه به بررسی تعیین قابلیت کاربری پلاگین پرداختیم و با نقش های مختلف یک کاربر برای یک پلاگین آشنا شدیم.
در جلسه بعدی به بررسی اعتبار سنجی داده ها می پردازیم.
با پی وی لرن همراه باشید.
فروشگاه
فیلم های آموزشی
کتاب های آموزشی
مقالات آموزشی
وردپرس
