Dziś na jednej ze stron poświęconych WordPressowi trafiłem na opis pewnej wtyczki, która pozornie może wydawać się ciekawa, ale ostatecznie zadania, które realizuje (dużo) bardziej zaawansowany użytkownik WordPressa chyba prościej i szybciej wykona sam, a użytkownik mniej zaawansowany… nie powinien tego tematu raczej w ogóle ruszać.
Ale nie o wtyczce będzie, bo przy tej okazji pojawiła się sugestia by wtyczkę skopiować do katalogu „must use”, przez co inny użytkownik – bez bezpośredniego dostępu do plików – teoretycznie nie będzie mógł jej wyłączyć. Znam lepsze sposoby zarządzania uprawnieniami, zwłaszcza że taka operacja niesie ze sobą również potencjalnie poważne konsekwencje…
Mało która wtyczka w WordPressie powinna działać jako „must use”
Ogólnie z opcji „must use” w WordPressie chętnie korzystam, ale umieszczam tam tam zazwyczaj tylko i wyłącznie własne i relatywnie proste wtyczki, które albo muszą startować przed innymi, albo użytkownik nie powinien mieć możliwości ich wyłączenia, nawet jeśli może zarządzać pozostałymi wtyczkami (instalacja, aktywacja, dezaktywacja i kasowanie).
Znam też wtyczki rozbudowane wtyczki, dostępne m.in. w repozytorium WordPress.org, które dla poprawnego działania wymagają by jakiś plik (bibliotekę) z ich katalogu skopiować do katalogu „mu-plugins”. Trochę dziwne, że skoro mają dostęp do WordPressa nie zrobią tego same, ale…
Natomiast uważam, że niedopuszczalne jest skopiowanie zwykłej wtyczki, zwłaszcza o bardziej rozbudowanym kodzie do tego katalogu. Nawet nie chodzi o to, że nie każda wtyczka będzie prawidłowo działać w takim trybie. To kwestia bezpieczeństwa strony!
Błędy w oprogramowaniu cały czas się zdarzają. WordPress nie jest tu wyjątkiem, tak samo jak motywy i wtyczki. Ważne, że najczęściej takie błędy są relatywnie szybko naprawiane, wraz z aktualizacją oprogramowania/komponentu (no chyba, że jakiś „dowcipniś” wyłączy aktualizacje).
Problem w tym, że specyfika wtyczek „must-use” polega na tym, że nie tylko nie da się ich z panelu WordPressa wyłączyć (przynajmniej w prosty sposób), ale też nie da się ich zaktualizować. Co więcej – WordPress nawet nie będzie sprawdzał, czy dla takiej wtyczki są jakieś aktualizacje.
Dlatego jeśli kiedyś traficie na tego typu poradę, to przynajmniej ją zignorujcie. Do zarządzania uprawnieniami w WordPressie jest sporo gotowych rozwiązań (wtyczek). Wystarczy w repozytorium WordPress.org w wyszukiwarce wpisać np. „user role editor”.
- Zero Trust od Cloudflare, czyli prosty i bezpieczny sposób na dostęp do lokalnych zasobów z zewnątrz, bez publicznego adresu IP i otwierania portów na routerze - 1970-01-01
- Home Assistant i integracja z IMGW-PIB, czyli tworzymy automatyzację z powiadomieniami bazując na sensorach zagrożenie i alarm powodziowy - 1970-01-01
- Home Assistant 2024.9 i kolejne przydatne nowości w widoku „sekcje”, dzięki którym jeszcze lepiej można dopasować wygląd - 1970-01-01
Brakło linka do tej znalezionej porady ….a miło czasem poczytać takie głupotki dla rozluźnienia. :)
Celowy zabieg, choć wierz mi – troszkę kusiło. Ale jedni klikną wiedząc, by tak nie robić, inni… no cóż. Chyba nie ma tygodnia bym nie dostawał przynajmniej kilka e-maili (przez formularz kontaktowy) od osób, które wysłały jakiegoś SMSa Premium – czy to w konkursie, czy to by uzyskać dostęp do… – z reklamacją. Tylko dlatego, że kilka razy opisałem tego typu przekręty. A trafiają się też wiadomości z reklamacją „do operatora”, bo… opisałem jakąś usługę czy promocję. Dlatego lepiej nie ryzykować ;-)
Zresztą napisałem do autora, że warto by ten fragment skasować, bo wprawdzie w pewnym sensie rozumiem tok myślenia, to jednak…
Z tymi wtyczkami trzeba być ostrożnym. Bo zawsze może jakaś cholera wystąpić :)
Tu bardziej nie chodzi o samą wtyczkę, tylko o to, że nie każda wtyczka powinna trafić do katalogu mu-plugins. Więcej – prawie żadna nie powinna tam trafiać, choć jest to opcja bardzo przydatna, i sam z niej często korzystam na stronach moich klientów. Ale tylko z (relatywnie) prostymi wtyczkami, najlepiej mojego (lub kolegów) autorstwa.