WP 在外掛Ultimate Member – 設置裡若有設定 [會員 頁面]及[會員列表 頁面]而無防制的,有個資外洩的風險

偶然在追蹤來訪客戶軌跡時發現有自Google搜尋進來直接往用戶資料的頁面

這可不得了,追查之下原來是外掛Ultimate Member所造成的

原因在於Ultimate Member – 設置裡有設定[會員 頁面]及[會員列表 頁面]而無防制

此時直接連結 https://www…com/members/ 時就會把網站的成員全部給列了出來,點選下去之後個人資料就漏出來了

但很奇怪一但登入之後權限反而受到控管,除了管理者或被授權之外就只能看到自己的了

解決之道,最簡單的方式就是當連入[會員 頁面]及[會員列表 頁面]這兩個頁面時,若沒有登入就直接把他導入WP登入畫面

寫一個 若沒有登入就直接把他導入WP登入畫面 的短代碼 ［nologon2logon］

add_shortcode('nologon2logon', function () {
	if(!is_user_logged_in()) {
        auth_redirect();
    }
	return;
} );

然後再於[會員 頁面]及[會員列表 頁面]這兩個頁面補上上述短代碼

此時直接連結 https://www…..com/members/ 若未登入時就會自動導引至登入畫面了

＜文章提供＞

亞巨多媒體有限公司

亞巨多媒WordPress的架站實例

jean@aibab.tv