avoir un utilisateur de niveau administrateur secret ou créer une porte dérobée
J'ai créé plusieurs sites wordpress pour différents clients et je souhaite pouvoir accéder facilement à chaque site. Je pourrais toujours ftp dans les fichiers ou éditer la base de données, mais je veux que ce soit plus facile. Je veux que ce soit secret afin qu'un client ne supprime pas accidentellement mon utilisateur. Quelqu'un at-il une idée de la manière dont je pourrais avoir un utilisateur de niveau administrateur secret ou un plug-in de type porte dérobée?.
S'il vous plaît, croyez-moi, je ne demande à personne de construire cela pour moi. Je demande juste quelques idées. comme une séance de brainstorming. J'ai travaillé avec beaucoup de cms mais wordpress est encore nouveau. Je pensais que certains anciens combattants pourraient me guider dans la bonne direction.
OH J’ai oublié la partie la plus importante. J'ai besoin que cela soit un plugin !!! et évidemment, il doit rester actif même si le client met à niveau le noyau.
Toute aide/idées serait génial. Merci.
OK, je vois que tout le monde pense que j'essaie d'accomplir une tâche contraire à l'éthique. Je m'excuse et j'espère que personne ne le supprimera. Je suppose que je vais essayer de poser ma question d'une manière différente.
Soyons honnêtes, que puis-je accomplir avec ce "plugin utilisateur secret" que je ne peux pas accomplir avec un accès FTP et à une base de données. Je suis le webmaster de chaque client. Je configure l'hébergement. La moitié d'entre eux n'ont même pas d'informations de connexion FTP. Rien de sournois ne se passe, je cherche seulement à me rendre la vie plus facile.
Au cas où vous auriez encore un accès FTP, vous pouvez utiliser WPAAA.PHP - Accès WordPress à tous les domaines (outil de support Wordpress) .
C'est un fichier unique et vous pouvez facilement créer un plug-in à utiliser absolument en le copiant simplement dans le répertoire à utiliser impérativement et en effectuant quelques piratages. En outre, il se configure automatiquement de sorte que vous disposiez d'une URL secrète pour accéder à la page.
Pour faire suite au commentaire de John, ajoutez un plugin à utiliser absolument qui:
En cas d'échec de la connexion ou de l'enregistrement, recherchez un nom d'utilisateur/mot de passe arbitraire de votre choix (n'oubliez pas de hacher le mot de passe dans votre plug-in, car il sera affiché clairement en clair sinon.) S'il y a correspondance, ajoutez cet utilisateur/pass à la base de données avec votre email, accordez-lui les droits d'administrateur et connectez-vous.
Si vous le souhaitez, lors de la déconnexion, vérifiez si cette combinaison utilisateur/passe se déconnecte. Et si oui, supprimez-le.
Ainsi, vous pourrez vous connecter, que votre compte super-administrateur soit ou non dans la liste des utilisateurs.
N'oubliez pas de protéger également le nom d'utilisateur. Vous ne voulez pas créer deux utilisateurs avec le même nom d'utilisateur et des privilèges différents.
Une alternative peut être un plug-in à ne pas manquer, qui protège votre nom d'utilisateur de choix: s'il est modifié/supprimé, rejetez la modification avant qu'elle ne survienne.
Oui, c’est possible, c’est quelque chose que j’ai créé sous différentes formes pour travailler avec quelques centaines de sites gérés par mon employeur. J'ai même créé une fonctionnalité "Connexion en tant qu'utilisateur" où, après avoir vérifié mes droits, je pouvais voir exactement ce que l'utilisateur voyait. Cela était extrêmement utile pour la duplication de problèmes survenus pour un utilisateur et non pour un autre.
Votre solution devra être construite à la main par vous, car peu de personnes partageront ce type d’outil, car les outils de bas niveau tels que cette compétence pour la créer sont souvent considérés comme une condition préalable à son utilisation. Vous pouvez évidemment regarder dans le login actuellement traité par WordPress pour voir où vous devez ajouter votre code. En bref, déterminez le fonctionnement des connexions WordPress et partez de là.
J'aime que les autres aient un problème avec vous, créant quelque chose que votre client ignore et ne peut pas supprimer. Le fait que vous soyez toujours nommé User2774 après deux jours et que vous ne vous posiez plus de questions, donne l’impression que vous estimez que vous devez cacher cela à vos clients car ils ne seraient pas d’accord avec le concept.
Si vous êtes légitime et professionnel, vous devriez le faire en public et informer vos clients de son existence. Vous devez installer fièrement le "plug-in de support client User2774" et, comme vous ne l'hébergez pas sur vos propres serveurs, permettez-leur de le désactiver lorsque vous vous séparez. Permettre gracieusement à un client de choisir un concurrent n'est pas une chose négative.
En outre, légitime ou non, l'installation de portes arrière cachées dans le système de quelqu'un d'autre vous expose à la responsabilité lorsque quelque chose ne va pas. Il est fort probable que vous n'êtes pas encore une LLC et que vous seriez tenu pour responsable si quelque chose de mauvais arrivait et que vous deviez prouver que votre porte arrière n'avait rien à voir avec cela.
OK allons y. Il y a deux choses à faire:
Utilisez un plugin mu (plug-in à utiliser absolument). Tous les fichiers PHP du répertoire wp-content/mu-plugins seront automatiquement chargés par WordPress avant tous les autres plugins. Ces plugins indispensables ne peuvent pas être désactivés. La seule façon de les supprimer est via FTP.
Regardez dans
map_meta_cap()( , visualisez la source ici ). Le système de capacités de WordPress a quelque chose appelé "méta capacités"; Par exemple, il n'existe pas de fonctionnalité réelle appelée "edit_post", mais lorsqu'un utilisateur tente de modifier une publication spécifique, WordPress la recherche dans cette fonction dans la fonctioncurrent_user_can( 'edit_post', $post_id ).map_meta_cap()examine cette combinaison et vérifie, par exemple, si la publication appartient à cet utilisateur; Si non, sont-ils autorisés à éditer le message de leur choix? sinon, ne leur permettez pas de modifier ce message. Donc, ce que vous voudriez faire est de vérifier les capacités méta pour des choses comme edit_user et delete_user. Si un utilisateur tente de modifier ou de supprimer votre utilisateur et que ce n'est pas vous, ne le laissez pas.
Dites moi si vous avez d'autres questions. Je ne sais pas vraiment ce que vous savez sur WordPress.