Вы задумывались когда-нибудь о том, куда пропадают ваши читатели, оставившие вам комментарий и без следа пропавшие с вашего блога.
А ведь плагин Subscribe To Comment и отвечает за то, чтобы возвращать вам ваших комментаторов для получения ответов на заданные вопросы. Но есть в нём скрытый функционал, который является уязвимостью и нарушением конфиденциальности пользователей вашего блога.
Без лишних слов и на примере:
Некий блог в сети с средний посещаемостью в 500 человек. На блоге ведется активное комментирование статей с одной стороны благодаря конкурсу «Лучший комментатор месяц», с другой — активной социальной позиции самого автора.
На каждый же единоразовый комментарий приходится от 5 до 10 возвратов с ответами через оповещение данного плагина.
Но всего этого можно лишится в одночасье.
Мало кому известно, но в данном плагине присутствует скрытый чаще всего от глаз пользователей и самого автора функционал «Редактирование подписок» (Comment Manager).
Попасть на данную страницу автор блога (администратор) может перейдя по ссылке:
домен/?wp-subscription-manager=1
Пользователь же, пожелавший получать уведомления об ответах, по автоматически генерируемой ссылке, приходящей на email подписчика и (внимание!) часто публикуемой на самой странице с комментариями.
И с помощью данной ссылки можно получить довольно много полезной информации о комментируемых страницах или просто удалить все подписки, оставив автора без возвратов на блог.
Как получить ссылку на редактирование подписки
Достаточно ввести те же данные, что вводит настоящий автор комментариев: имя, email и сайт.
Имя и сайт, если он указан, вы можете узнать прямо на сайте, а в получение email поможет вам горячо любимый Gravatar, используемый практически всеми комментаторами. Не буду пока публиковать способа получения email через Gravatar, иначе вместо предостережения и помощи получится кейс по взлому блогов.
Оставляем совершенно любой комментарий и переходим по ссылке, нажимаем «Заблокировать». Автор лишился одного из самых активных комментаторов. И так далее.
Как решить проблему уязвимости плагина Subscribe To Comment
Четыре клика и проблема решена:
- Админ панель WordPress вашего блога — Настройки,
- Вкладка Subscribe To Comment,
- Удаляем содержимое полей: Subscribed text и Entry author text,
- Нажимаем «Save Changes».
Больше данная ссылка не будет публиковаться на страницах вашего блога, а редактирование её будет доступно исключительно администратору и настоящему автору (владельцу указанной почты) через ссылку в тексте оповещения.
В статистике официальной страницы плагина указана цифра 458,477 скачиваний. Из блогов с установленным плагином, которые читаю я, только у двух закрыта данная ссылка. Все остальные предоставляют информацию о собственных подписчиках всем желающим.
В плагине Subscribe To Comment Reload данная уязвимость закрыта, отключен функционал «Управления подписками»
Поделитесь данной статьей со своими «коллегами по цеху», авторами блогов, где установлен плагин Subscribe To Comment, и блогинг станет безопаснее.
Уязвимость, конечно, не самая серьёзная, но всё же нежелательно чтобы посторонние люди могли так легко получить доступ к данным подписчиков.
На своём блоге закрыл данную лазейку, только не стал полностью удалять содержимое полей, а просто удалил оттуда ссылку.
Это вполне решает проблему с конфиденциальностью.
Да, статья написана давненько, сейчас неактуально это.
Не понял вашей фразы, статья написана 14.09.2016, а проблема эта у каждого второго блога с установленным плагином. Я это на примере и показал.
Доброго дня вам Максим! Спасибо большое за предупреждение! Сделал все, как вы написали.