Avisos
Vaciar todo

[Resuelto] Acceso a páginas protegidas sin estar logado.  

 
Ángel Mariano
 Ángel Mariano
Nuevo usuario

Buenas noches.
No sé si estoy haciendo la consulta en el lugar correcto, no obstante paso a exponeros la incidencia. En la web  https://asesoriajuridica.sersoe.es  tenemos instalado el plugin Ultimate Member. esta web contiene datos sensibles sobre situaciones jurídicas de diferentes personas que contactan con nuestra ONG. A cada persona que realiza una consulta que requiere el inicio de un procedimiento se la da de alta como usuaria de WordPress y en Ultimate Member, asignándose un perfil distinto a cada una de ellas. Cuando tenemos realizada la página con todos los datos pertinentes la incluimos en el menú de WordPress y restringimos el acceso a la misma mediante las opciones de Ultimate Member.
Hasta aquí todo es correcto, pero desde ayer hemos comprobado que hay páginas a las que se accede a través de las restricciones del menú, pero que también puedes acceder pegando la url de la página, por ejemplo el usuario Ibermutua con contraseña 24/10213603/89, nos deja ir a Procedimientos y reclamaciones/Carmen Castro Olmo/Ibermutua, pero si ponemos directamente la url sin estar logados https://asesoriajuridica.sersoe.es/12-carmen-castro-olmo-ibermutua también nos deja acceder al contenido. Sin embargo, si ponemos sin estar logados la url  https://asesoriajuridica.sersoe.es/social-no-4-p-o-310-2022/  nos redirecciona a la página de inicio.
Por favor, podéis indicarnos a que puede ser debido este fallo de seguridad.
Un saludo.
Ángel M.

Contenido solo visible a usuarios registrados

Respondido : 05/04/2024 12:03 am
Bruno
 Bruno
Soporte CMS Webempresa Moderator

Que tal Ángel,

En este caso segun comprendo hay paginas internas las cuales se encuentran restringidas solo a usuarios registrados pero aun son accesibles a visitantes convencionales, es correcto?

Si este es el caso lo ideal es que valides el comportamiento de las paginas que se supone deben ser privadas, recuerda que cada pagina tiene en sus opciones el siguiente apartado

image

En el cual podemos definir si la pagina se encuentra restringida, los roles de usuarios que pueden verla y que sucede cuando alguien que no cumple con las condiciones intenta acceder a ella

Si necesitas informacion mas definida te comparto la documentación que puede serte de ayuda

https://docs.ultimatemember.com/article/1543-how-to-hide-a-page-for-logged-out-users

Saludos!

Respondido : 05/04/2024 12:18 am

wpdoctor-revisa-la-salud-de-tu-wordpress

Ángel Mariano
 Ángel Mariano
Nuevo usuario

@bruno-vichetti

Buenas tardes, Bruno.

Muchas gracias por tu ayuda. La verdad es que esa opción no la tenía habilitada. Ya le he habilitado y el fallo de seguridad ha desaparecido.

Siempre había realizado las restricciones a través del menú de la página y me había funcionado. Tal vez, en su momento, la habilité y por error la deshabilité. Lo raro, o al menos a mí me lo parece (que de informática sé poco más que apagar y encender el ordenador) es que para unas páginas, desde la url, tuviera acceso y para otras no. 

Nuevamente, gracias.

Un cordial saludo.

Ángel M.

Respondido : 05/04/2024 6:48 pm
Bruno
 Bruno
Soporte CMS Webempresa Moderator

Hola Ángel,

Me alegra saber que has podido resolver la vulnerabilidad que te preocupaba, de igual forma siempre aprendemos algo nuevo cada dia 😊 

Cualquier otra duda que tengas estaremos por aca para ayudarte

Saludos!

Respondido : 05/04/2024 6:55 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación