[PHP] Wordpress Plugin Security

Mahjong · 3. April 2010

Wordpress Plugin Security

Moin,

zur Zeit arbeite ich gezwungenermaßen an einem Wordpress-Plugin, und komme eigentlich auch ganz gut voran - dennoch habe ich eine durchaus wichtige Frage, welche ich hoffe hier beantwortet zu bekommen .

Nehmen wir an das Plugin liegt in /wp-content/plugins/plugin , im Verzeichnis /wp-content/plugins/plugin/admin befinden sich einige PHP Dateien, welche für den Administrationsbereich bestimmt sind.

Wie funktioniert unter Wordpress die Absicherung dieser Dateien ? Sprich : Was muss ich tun um zu verhindern, dass Angreifer das System kompromittieren können, indem sie die Dateien(en) direkt aufrufen? (z.B. ...../plugins/plugin/admin/Datei-Um-Konfiguration-Zu-Schreiben.php)

(Bitte KEINE Erklärungen zu XSS, SQL-Injections etc.!)

Vielen Dank

Anzeige

Nanobyte · 3. April 2010

AW: Wordpress Plugin Security

Guck mal nach __FILE__ und $_SERVER['PHP_SELF'].

Damit solltest du am Anfang deiner PHP-Scripte prüfen können ob das Script direkt aufgerufen oder per Include/require läuft!

Timer · 3. April 2010

AW: Wordpress Plugin Security

ich überprüfe immer, ob die konstante ABSPATH aus der datei wp-config.php gesetzt wurde.

=> am anfang der jeweiligen datei:

PHP:

    if (! defined ( ABSPATH )) {
    die;
}

das hat auch einen bestimmten grund:
wenn die konstante nicht gesetzt ist, dann gibt es 2 möglichkeiten: entweder wird versucht die datei direkt aufzurufen, oder der ganze blog funktioniert nicht...

andererseits ist es auch möglich die seiten so in klassen zu kapseln, dass beim aufrufen der datei außerhalb von wordpress garnichts passiert...

Mahjong · 11. April 2010

AW: Wordpress Plugin Security

Vielen Dank für die Antworten,
ich komme also nicht drumherum mich selbst darum zu kümmern .

°EraZoR° · 11. April 2010

AW: Wordpress Plugin Security

Zitat von Mahjong: ↑

Moin,

zur Zeit arbeite ich gezwungenermaßen an einem Wordpress-Plugin, und komme eigentlich auch ganz gut voran - dennoch habe ich eine durchaus wichtige Frage, welche ich hoffe hier beantwortet zu bekommen .

Nehmen wir an das Plugin liegt in /wp-content/plugins/plugin , im Verzeichnis /wp-content/plugins/plugin/admin befinden sich einige PHP Dateien, welche für den Administrationsbereich bestimmt sind.

Wie funktioniert unter Wordpress die Absicherung dieser Dateien ? Sprich : Was muss ich tun um zu verhindern, dass Angreifer das System kompromittieren können, indem sie die Dateien(en) direkt aufrufen? (z.B. ...../plugins/plugin/admin/Datei-Um-Konfiguration-Zu-Schreiben.php)

(Bitte KEINE Erklärungen zu XSS, SQL-Injections etc.!)

Vielen Dank

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Mist bedankt..
Was meinst du denn mit Dateien, die für den Administrationsbereich bestimmt sind?!
Also ich habe bei Wordpress immer add_action() einen Punkt im Menü hinzugefügt:

Function Reference/add action « WordPress Codex

Da gibst du den Namen des Punktes und so an und die Funktion die aufgerufen wird...
Und da es die add_action-Funktion gar nicht, wenn man die ganzen Wordpress Includes nicht einbindet, dann bekommst nen Error und es passiert nix..
Sprich deine Funktion wird gar nicht ausgeführt

Nützliche Suchen

[PHP] Wordpress Plugin Security

Videos zum Themenbereich