tem o usuário secreto do administrador ou cria backdoor

Eu criei vários sites de wordpress para diferentes clientes e eu quero ter access fácil a cada site. Eu sempre poderia colocar no arquivo ou editar o database, mas eu quero que seja mais fácil. Eu quero que seja secreto para que um cliente não exclua acidentalmente meu usuário. Alguém tem alguma idéia de como eu poderia ter um usuário de nível de administrador secreto ou um plugin que é um backdoor.

Por favor, acredite em mim, não estou pedindo a ninguém que construa isso para mim. Estou apenas pedindo algumas idéias. como uma session de brainstorming. Eu trabalhei com muitos cms, mas o WordPress ainda é novo. Eu pensei que poderia haver alguns veteranos aqui que pudessem me apontar na direção certa.

OH ESQUEI A PARTE MAIS IMPORTANTE. Eu preciso que isso seja um plugin !!! e, obviamente, precisa ficar ativo, mesmo que o cliente atualize o núcleo.

Qualquer ajuda / ideias seria excelente. Obrigado.

OK, eu vejo que estou recebendo muito calor de todos, pensando que estou tentando realizar uma tarefa antiética. Peço desculpas e espero que ninguém exclua isso. Acho que vou tentar fazer a minha pergunta de uma maneira diferente.

Seja honesto o que posso fazer com este “plugin de usuário secreto” que não consigo realizar com o FTP e o access ao database. Eu sou o webmaster para cada cliente. Eu configurei a hospedagem. A metade deles nem tem informações de log-ftp. Nada tortuoso está acontecendo. Só estou tentando facilitar minha vida.

Solutions Collecting From Web of "tem o usuário secreto do administrador ou cria backdoor"

Apenas no caso de você ainda ter access ao FTP, você pode usar o WPAAA.PHP – WordPress Access All Areas (WordPress Support Tool) .

É um único arquivo e você pode facilmente criar um plugin de uso obrigatório fora dele apenas copiando-o para o diretório de uso obrigatório e fazendo alguns hacks. Além disso, ele se auto-configurará para que você tenha um URL secreto para acessar a página.

Seguindo o comentário de John, adicione um plugin para uso obrigatório que:

No login com falha ou no registro, verifique se há um nome de usuário / senha arbitrário de sua escolha (não se esqueça de ter a senha no seu plugin, já que estará em um texto claro se não estiver). Se corresponder, adicione esse usuário / passe para o database com seu e-mail, conceda-lhe os direitos de administrador e registre-o.

Na sua opção, no logout, verifique se é que o usuário / pass combo está se desconectando. E se assim for, apague-o.

Dessa forma, você poderá fazer login independentemente de o seu login de super-administrador estar na lista de usuários.

Não se esqueça de proteger o nome de usuário também. Você não quer criar dois usuários com o mesmo nome de usuário e privilégios diferentes.

Uma alternativa pode ser um plugin de uso obrigatório que serve para proteger seu nome de usuário de eleição: se ele for editado / excluído, rejeite a alteração antes que ocorra.

OK, vamos lá. Há duas coisas que você precisa fazer:

  1. Use um plugin mu (plugin para uso obrigatório). Todos os arquivos PHP no diretório wp-content / mu-plugins serão automaticamente carregados pelo WordPress antes de todos os outros plugins. Esses plugins de uso obrigatório não podem ser desativados. A única maneira de removê-los é via FTP.

  2. Olhe para map_meta_cap() ( veja a fonte aqui ). O sistema de capacidades do WordPress tem algo chamado ‘meta-capacidades’; Por exemplo, não existe uma capacidade real chamada ‘edit_post’, mas quando um usuário tenta editar uma publicação específica, o WordPress verifica essa capacidade na function current_user_can( 'edit_post', $post_id ) . map_meta_cap() essa combinação e verifica se a postagem pertence a esse usuário; se não, eles podem editar qualquer publicação que desejem? Caso contrário, não permita que eles editem esta publicação. Então, o que você quer fazer é verificar as capacidades de meta para coisas como edit_user e delete_user. Se um usuário estiver tentando editar ou excluir seu usuário e não é você, não os deixe.

Deixe-me saber se você tem mais perguntas. Eu realmente não sei o quanto você sabe sobre o WordPress.

Sim, isso é possível e algo que eu criei em várias formas no passado por trabalhar com algumas centenas de sites administrados pelo meu empregador. Eu até criei um recurso “Log in como usuário”, onde depois de verificar meus direitos, eu poderia ver exatamente o que o usuário estava vendo. Foi incrivelmente útil para a duplicação de problemas que ocorreram para um usuário e não para outro.

Sua solução terá que ser construída manualmente por você, pois poucas pessoas vão compartilhar esse tipo de ferramenta, pois ferramentas de baixo nível, como essa, a habilidade para criar é muitas vezes considerada um pré-requisito para usá-lo. Você pode, obviamente, procurar o login é processado agora pelo WordPress para ver onde você precisa adicionar seu código. Em suma, descubra como os logins do WordPress funcionam e vão de lá.

Gosto que outros tenham um problema com você criando algo que seu cliente não conhece e não pode remover. O fato de você ainda ser chamado de User2774 após dois dias e não tem outras perguntas para o seu nome certamente faz parecer que você sente que precisa esconder isso de seus clientes porque eles não concordariam com o conceito.

Se você é legítimo e profissional, você deve fazer isso em aberto e informar seus clientes que existe. Você deve orgulhosamente instalar o “User2774 Client Support Plugin” e, como você não o está hospedando em seus próprios servidores, permita que eles o desativem quando se separam. Graciosamente permitir que um cliente escolha um competidor não é uma coisa negativa.

Além disso, legítimo ou não, a instalação de portas traseiras ocultas no sistema de outra pessoa abre sua responsabilidade quando algo dá errado. As chances são de que você ainda não é uma LLC e seria responsável se alguma coisa ruim acontecesse e tenha que provar que você e sua porta dos fundos não tiveram nada a ver com isso.