السلام عليكم و رحمة الله و بركاته
قراءت من ايام عن ثغرة xss في ووردبريس تتيح اضافة حساب Admin جديد بمجرد مررور الماوس على احد تعليقات السبام .
المهم اثناء تفقد احد مواقعي (موجود على استضافة مشتركة) اكتشف وجود ثلاثة حسابات ادمين جديدة root و Adminstator و admin اول شيء قمت به هو حذفهم جميعا , و اعتقد ان الحسابات أنشائت حديثا .
لا اعرف تحديدا متى انشائت هذه الحسابات لان الثغرة اصلحت في الاصدار 4.2 ولست متاكد ادا الحسابات انشائت عبرة ثغرة xss او عبر ثغرة في احدى الاضافات المتبثة عندي . + قمت بمراجعة ملفات الموقع ولم اجدي اي تغييرات ماعد تلك الحسابات .
الخلاصة
هل هناك طريقة لتجنب انشاء حسبات ادمين جديدة في ووردبريس و حتى حظر انشاء اي حساب جديد حتى من قبل ال Superadmin .
و ما افضل طريقة لفلترة ادخالات المستخدم (التعليقات مثلا) بحيث لا تحوي اكواد xss جديدة لا نعلم عنها بعد
هذه ذالة ووردبريس انشائتها لموقع آخر هل هي كافية للحماية من مثل هذه الاكواد لاني اريد اتاحة ادخال بعض اكواد HTML لزوار موقعي
$allowed_htmlarray = array( 'a' => array( 'href' => array(), 'title' => array() ),
'br' => array(), 'em' => array(), 'strong' => array(),
'p' => array(), 'img' => array(), 'li' => array(), 'ol' => array(), );
$allowed_protocols = array( 'http' , 'https' , 'mailto' ) ;
$cln = wp_kses( $cln , $allowed_html , $allowed_protocols ) ;