Яндекс.Метрика

    Веб разработка

    Небезопасный код приостановленного проекта PHP Speedy для Wordpress

    Для решения задачи объединения множества CSS и JS файлов блога на Wordpress я не нашла ничего лучше, чем заброшенный проект PHP Speedy. (Web Optimizer не захотел устанавливаться из-за наличия конфликтующего плагина). Какого же было мое удивление, когда я случайно обнаружила вот такой небезопасный код:

    // action function for above hook
    function mt_add_pages() {
    add_options_page('php_speedy_wp.php', 'PHP Speedy', 0, $this->home_url, array(&$this, 'menu_system'));
    }

    стр. 568 исходного кода

    Обратите внимание на строку с функцией add_options_page(), которая отвечает за добавление пункта меню «PHP Speedy» в списке плагинов для его настройки. 3й параметр этой функции указывает уровень пользователя (от 0 до 10), которому будут доступны настройки плагина. И почему-то этот параметр 0, вместо 10. Это означает, что любой зарегистрированный пользователь вашего блога увидит в консоли этот пункт в меню, ну и конечно, сможет настроить плагин как угодно или даже деактивировать его.

    Так что, если вы еще используете этот плагин и у вас открыта регистрация, обязательно поправьте это недоразумение.