web-dev-qa-db-fra.com

Erreur de sécurité WP 4.0 + WP pont phpbb

donc aujourd'hui j'ai mis à jour à 4.0 (content d'avoir la sauvegarde).

Tout fonctionnait bien jusqu'à ce que j'essaye de publier un post. Là j'ai eu Are you sure you want to do this. Avait aussi Cheatin' Uh sous apparence-> personnaliser. Des messages très informatifs en effet. Je me suis tourné vers Google et après quelques recherches sur Google et des expériences d'activation/désactivation de plug-ins, j'ai découvert lequel en était la cause.

C'était WP phpBB Bridge . C'est un plugin qui permet aux utilisateurs de se connecter à WP avec les comptes de phpBB. Après quelques recherches dans le code de ce plugin, j'ai trouvé que ce problème était causé par la fonction load_session_id() dans wp_phpbb_bridge.php, plus précisément la ligne wp_set_auth_cookie($userid, true, false);. Si je commente cette sortie lorsque je suis connecté, le problème sera résolu hélas, on peut difficilement dire que c'est une solution. Si je me déconnecte, je ne pourrai évidemment pas me connecter car je ne reçois pas de cookie d'authentification.

Et donc, je suis coincé et je ne sais pas comment résoudre ce problème.

pluginsplugin-developmentsecuritycookiesauthentication
3
Igor Yavych

Espérons que ceci est une solution temporaire pour vous. L'idée est de remplacer le nonce.

Ajouter ce qui suit dans un fichier functions.php ou dans le plugin lui-même

function wp_verify_nonce($nonce, $action = -1) { return 1; }

Pour l'instant, cela fonctionne sur le pont que j'utilise sur mon site (un pont différent pour un logiciel de forum différent). J'aimerais savoir comment utiliser WP_Session_Tokens pour le configurer afin que le nonce soit vérifié.

Peut-être que cette référence sera utile.

http://developer.wordpress.org/reference/classes/wp_session_tokens/get_instance/

ainsi que ce billet:

https://core.trac.wordpress.org/ticket/20276

IMHO: Je ne suis pas d'accord que la question est hors sujet. C’est un sujet très important car l’authentification externe a été modifiée dans WordPress 4.0 et peut causer des problèmes à de nombreuses personnes. Après tout, les développeurs ont ajouté le fichier de session et c’est probablement la racine du problème.

1
LPH