ភាពងាយរងគ្រោះសម្រាប់ AMP ដ៏ពេញនិយមបំផុតសម្រាប់ WP WordPress Plugin ជាមួយនឹងការដំឡើងចំនួន 100 ពាន់ អនុញ្ញាតឱ្យអ្នកប្រើដែលចុះឈ្មោះបង្កើនសិទ្ធិរបស់ពួកគេ ដើម្បីទទួលសិទ្ធិចូលទៅកាន់គេហទំព័រ។ AMP សម្រាប់ WP គឺជាកម្មវិធីជំនួយដែលបម្លែង ការ បង្ហោះប្លក WordPress ទៅជាទម្រង់បង្កើនល្បឿនរបស់ Google ដែលអនុញ្ញាតឱ្យទំព័រផ្ទុកលឿន ជាងមុនក្នុងកម្មវិធីរុករក។
ដោយសារតែភាពងាយស្រួលក្នុងការប្រើប្រាស់ និងទទួល អត្ថប្រយោជន៍ពីម៉ាស៊ីនស្វែងរក ដែលអាចធ្វើទៅ ម្ចាស់ប្លកជាច្រើនប្រើកម្មវិធីជំនួយនេះ ដើម្បី ផ្តល់នូវទំព័រ AMP ទៅឲ្យអតិថិជនចូលមើល។ នៅថ្ងៃទី 20 ខែតុលា អ្នកបង្កើតកម្មវិធីជំនួយប្លក Sybre Waaijer រកឃើញភាពងាយរងគ្រោះនៅក្នុង AMP សម្រាប់កម្មវិធីជំនួយ WP ដែលទាក់ទងទៅនឹង របៀបដែលកម្មវិធីជំនួយពិនិត្យថាតើអ្នកប្រើត្រូវអនុញ្ញាតិឱ្យអនុវត្តសកម្មភាពគ្រប់គ្រងផ្សេងៗដែរឬទេ Administrative actions។
យោងតាម Waaijer សកម្មភាពទាំងនេះរួមបញ្ចូលការទាញយក និងអានឯកសារ ការផ្ទុកឯកសារ ការធ្វើបច្ចុប្បន្នភាព ការកំណត់កម្មវិធីជំនួយដាក់ចូលទៅក្នុងប្រកាស និងច្រើនទៀតដោយអ្នកប្រើ ដែលចុះឈ្មោះនៅក្នុងគេហទំព័រប្រើប្រាស់កម្មវិធីជំនួយនេះ។
លោក Waaijer ប្រាប់ BleepingComputer ថា ក្រៅពីការលើកលែងតិចតួចវាមិនមានការត្រួត ពិនិត្យសុវត្ថិភាពទាំងអស់ទេ។ នេះមានន័យថាអ្នកប្រើដែលចុះឈ្មោះនៅលើគេហទំព័រដើម្បី បង្ហោះមតិយោបល់អាចប្រើប្រាស់សិទ្ធិនេះដើម្បីអនុវត្តសកម្មភាពរដ្ឋបាលដែលគ្មានការអនុញ្ញាត។
ត្រួតពិនិត្យសុវត្ថិភាពមិនគ្រប់គ្រាន់សម្រាប់មុខងារគ្រប់គ្រង
ភាពងាយរងគ្រោះនេះត្រូវបង្កឡើងដោយកម្មវិធីជំនួយមិនត្រឹមត្រូវប្រើប្រាស់ WordPress nonces និងមុខងារ current_user_can () ក្នុងមុខងារគ្រប់គ្រងផ្សេងៗគ្នា។ WordPress nonces មានជីវិតខ្លី ដែលបង្កើតឡើងដោយប្លក WordPress ដែលធ្វើឱ្យប្រាកដថាមានតែអ្នកប្រើទេ ដែលមានការ អនុញ្ញាតអាចប្រើប្រាស់មុខងារពិសេស។ កម្មវិធីជំនួយប្លក WordPress អាចបង្កើត nonces និងបន្ថែម ពួកវាទៅខ្សែចង្វាក់អក្សរដោយបញ្ជូន URLs ទៅអនុគមន៍ wp_nonce_url () ទៅសំណុំបែបបទ ដោយ ប្រើអនុគមន៍ wp_nonce_field () និងដើម្បីបង្កើតសញ្ញា ដែលមិនមែនជារបស់អ្នក អ្នកអាចប្រើ អនុគមន៍ wp_create_nonce () ។
នៅពេលមុខងារអ្នកគ្រប់គ្រងត្រូវគេរំពឹងថានឹងផ្ទៀងផ្ទាត់អក្ខរាវិទូ ដែលប្រើអនុគមន៍ដូចជា wp_verify_nonce () និងអនុញ្ញាតឱ្យសកម្មភាពបន្ត ប្រសិនបើ nonce មានសុពលភាព។ នៅក្នុងកំណែងាយរងគ្រោះនៃ AMP សម្រាប់ WP មុខងារគ្រប់គ្រងជាច្រើនមិនត្រូវត្រួតពិនិត្យ ឱ្យត្រឹមត្រូវថាតើ nonce មួយត្រូវផ្តល់ ឬមិនប្រើប្រាស់ current_user_can () ដើម្បី ពិនិត្យមើលថាតើអ្នកប្រើមានការអនុញ្ញាតឱ្យអនុវត្តសកម្មភាពនេះដែរឬទេ។ ឧទាហរណ៍ក្នុងមុខងារ ampforwp_save_steps_data () ខាងក្រោមពីកំណែចាស់ គ្មានការត្រួតពិនិត្យទេ។
Not checking for a nonce in older AMP for WP version
នៅក្នុងការចេញផ្សាយចុងក្រោយភាពងាយរងគ្រោះនេះត្រូវជួសជុលដោយបន្ថែមការត្រួតពិនិត្យ nonce និង check_ current_user_can () ។
Nonce check added in version 0.9.97.20
បន្ថែមពីលើមុខងារខាងលើនេះការត្រួតពិនិត្យជាច្រើនទៀតត្រូវណែនាំទៅក្នុងកំណែថ្មីបំផុតដើម្បីបង្ការការរំលោភបំពាននៅក្នុងមុខងារផ្សេងទៀត។ ភាពងាយរងគ្រោះទាំងនេះត្រូវជួសជុលនៅក្នុង version 0.9.97.20 ដែលត្រូវចេញផ្សាយ កាលពីពីរសប្តាហ៍មុន ហើយវាអាចរកតាមរយៈ WordPress’s Automatic Update។ មានអ្នក បោះពុម្ពផ្សាយជាច្រើន មិនប្រើលក្ខណៈពិសេសនេះ ដូច្នេះពួកគេមិនមានការការពារទេ។ដើម្បីពិនិត្យមើលថាតើអ្នកកំពុងប្រើកម្មវិធីជំនួយចាស់ ឬមិនមែន អ្នកអាចចូលប្រើទំព័រកម្មវិធីជំនួយ ដោយចូលជាអ្នកគ្រប់គ្រង ហើយចុចលើតំណកម្មវិធីជំនួយនៅក្នុងរបារចំហៀងខាងឆ្វេង។ នៅទំព័រកម្មវិធីជំនួយរមូរចុះក្រោមហើយបញ្ជាក់ថា AMP សម្រាប់កម្មវិធីជំនួយ WP Plugin ដែលកំពុងប្រើគឺ 0.9.97.20 ឬខ្ពស់ជាងនេះ៕
ប្រភព៖