1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

H-FileManager - Ein Dateimanager für WordPress

Dieses Thema im Forum "Plugin-Vorstellung" wurde erstellt von m266, 26. April 2013.

  1. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Dieses Plugin eignet sich besonders für das Dateimanagement im Dashboard. Der Administrator kann damit auf einfache Weise Dateien/Ordner bearbeiten, umbenennen, up- und downloaden, Dateirechte ändern usw. Das Plugin ersetzt/ergänzt für viele Aufgaben ein übliches FTP-Programm (z. B. Filezilla) und ist damit ein brauchbares Tool, mit welchem auch Einsteiger zurecht kommen sollten. Die zusätzliche Installation eines FTP-Clients kann dadurch ggf. entfallen.

    Link...
     
  2. overflow

    overflow New Member

    Registriert seit:
    11. Juli 2013
    Beiträge:
    1
    Zustimmungen:
    0
    Das Plugin lässt sich nicht Aktivieren, da es in der aktuellen WP Version einen kritischen Fehler erzeugt.
     
  3. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Das kann ich so nicht bestätigen. Ein Test mit einer frischen WP-Version sowie einer portablen WP-Version (jeweils 3.5.2) ergab keine Probleme.
     
  4. formateins

    formateins Gast

    Fehlermeldung gab es bei mir nicht.

    Aber:
    1. Das Plugin ist nicht über Wordpress installierbar. Traue niemals externen Quellen. (!)
    2. Es sind keinerlei Sicherheitsmaßnahmen implementiert. (!)
    3. Der verwendete eXtplorer ist für jeden über die URL aufrufbar. (!)
    4. Ein "chown" wird für Webspace-Besitzer nicht möglich sein.
    5. Dateien/Ordner auf dem Server beschreibbar zu machen ist schon ziemlich FATAL! (!)
    6. eXtplorer selbst ist ein Fork von QuiXplorer.
    7. Das Plugin verfügt über keinerlei Optionen und verlinkt nur auf den eXtplorer. (!)

    Nix für Ungut, aber genau das sind sehr gute Beispiele, wie man es _nicht_ machen sollte. Dem zitierten "Einsteiger" rate ich davon ab, sowas auf seinem Server zu installieren.
     
  5. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    @formateins:

    Das Plugin in WordPress zu hinterlegen kann ggf. später erfolgen. Momentan reicht der Download von meiner Website.

    Hast du meine Beschreibung mit Hinweis auf Änderung des Passwortes gelesen?

    Dies ist z. B. nur beim Provider all-inkl-com notwendig. Bei anderen Providern ist das nicht erforderlich.

    Das ist richtig. Für WP-User mit geringen Kenntnissen ist die Installation eines Plugins einfacher als den eXtplorer per FTP zu installieren.

    Wer sich auf meiner Website ein wenig umsieht weiß, was er von dieser Bemerkung halten soll.

    Das Plugin wurde von einigen WP-Entwicklern getestet und für gut befunden. Es ist also im produktiven Einsatz.
    Du musst es ja nicht benutzen...
     
  6. formateins

    formateins Gast

    Aha.

    Wenn sich Deine Einstellung (oder Kenntnis) zum Thema Sicherheit auf einen Hinweis zur Änderung des Passworts beschränkt.... TOP!


    Aha.

    Trotzdem kann bei fast ausnahmslos ALLEN Webspace-Anbietern der Owner _nicht_ auf www-data geändert werden!

    Was hat Deine Webseite damit zu tun?

    Dann wünsche ich den "WP-Entwicklern" und ihren profunden Kenntnissen viel Spaß damit!

    Werde ich auch nicht. Trotzdem warne ich - als erfahrener Programmierer - vor den Mißständen Deines Plugins. Zum Skill sage ich mal garnix... oder doch: return anstatt echo und einen Konstruktor ohne Klasse zu verwenden... Copy/Paste olé! :roll: Im Übrigen kann man den vermeintlichen Zugriff auf den Navigationslink umgehen, da Du nicht einmal überprüfst, ob der aktuelle Benutzer Admin-Rechte hat. Spielt aber nicht mal eine Rolle, weil man den eXtplorer eh über die URL aufrufen kann... :D

    Nuff said.
     
    #6 formateins, 11. Juli 2013
    Zuletzt von einem Moderator bearbeitet: 11. Juli 2013
  7. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    @formateins:
    Dazu beachte diese Text-Passage im ersten Beitrag:
    Der Administrator kann damit...

    Wer lesen kann, ist klar im Vorteil.

    Wenn der "erfahrene Programmierer" es auch einmal ausprobiert hätte, würde er feststellen, dass nur beim Admin das Plugin im Dashboard angezeigt wird. Benutzer mit anderen Rollen sehen es nicht und können es also auch nicht benutzen.

    Ich klinke mich nun aus dieser unnötigen und provozierenden Diskussion aus und überlasse es den geneigten Lesern dieses Forums, sich ihre eigene Meinung zu deinen Beiträgen zu bilden...

    Meine Zeit nutze ich gerne für wichtigere Dinge.
     
  8. formateins

    formateins Gast

    Das Plugin ist frei instanzierbar - da hilft Dir auch kein "Admin-Menü-Eintrag".

    Ich geh einen Schritt weiter - wer programmieren kann und die API von Wordpress versteht, ist im Vorteil. Davon abgesehen machst Du nicht unbedingt den Eindruck, irgendetwas verstehen zu wollen.

    Dein Plugin stellt ein erhebliches Sicherheitsrisiko dar, da der eXtplorer mit vordefiniertem Passwort außerhalb von Wordpress läuft. Keine Admin-Überprüfung, keinerlei Schutzmechanismen, nicht mal eine .htaccess. In meiner Entwicklungsumgebung (wo etwas lockerere Sicherheitseinstellungen gegeben sind) ist der Zugriff auf den kompletten Serverroot möglich gewesen. Das passiert bei einem Provider nicht, aber wer sowas in einer Produktivumgebung (sprich: Live-Webseite) einsetzt, ist selber schuld.

    Weiterhin wurde der eXtplorer bereits in anderen Systemen "frei Schnauze" als Modul offeriert mit dem gleichen Ergebnis, zu dem ich hier komme. Finger weg!

    Das der eXplorer auch selbst Sicherheitslücken hat/te, kann man bspw. hier nachlesen:
    http://www.cvedetails.com/vulnerability-list/vendor_id-12048/Extplorer.html

    Ich hoffe sogar, dass insbesondere die eher unbedarften Leser hier meine Beiträge lesen und dieses "Plugin" _nicht_ installieren!

    Ich melde auch den Beitrag, damit der Link entfernt wird. Sowas kann böse enden!
     
  9. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Wichtiger Hinweis:
    Derzeit sollte das Plugin nur in einer lokalen oder Test-Installation genutzt werden, bis die Sicherheit durch weitere Maßnahmen erhöht wurde.
     
  10. m266

    m266 Well-Known Member

    Registriert seit:
    21. April 2010
    Beiträge:
    575
    Zustimmungen:
    12
    Entwicklung eingestellt

    Die Weiterentwicklung dieses Plugins wurde aus Zeitgründen eingestellt.
    Eine brauchbare Alternative stellt das Plugin “WP-FileManager” dar.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden