BuddyBoss揭示用户的电子邮件地址
- 此主题有1个回复,1个语音,上次更新1个月前通过
.
-
作者< / div >的帖子< / div >
-
你好,
我想我无意中发现了BuddyBoss的隐私/安全漏洞。或者至少在使用FluentCRM自动化BuddyBoss/WordPress注册过程时存在限制。我使用了与FluentCRM电子邮件字段和标签挂钩的element表单的基本工作流。然后,一个FluentCRM自动创建一个新的WordPress用户,如果他们有标签,并有双重选择。
它的工作圆滑....然而,
我注意到所有用户的电子邮件地址都可以在BuddyBoss网站上的每个成员的个人资料URL中找到。
因此,任何用户都可以输入:http://mysite.com/members/”,在每个成员的个人资料页面上,您可以看到以下URL:
http://mysite.com/members/memberemailaddressgmail-com
我做了一些测试,知道发生了什么。
所以当你注册时只需要一个电子邮件地址时,WordPress会把电子邮件地址放在[昵称]字段中。然后,昵称被硬编码到BuddyBoss中成员的配置文件URL中。即使更改BuddyBoss配置文件中的昵称,URL也保持不变。
我发现阻止这种情况的唯一方法是在注册时在我的element表单中请求一个昵称,该表单连接到FluentCRM字段中。然后他们输入的昵称会出现在BuddyBoss的配置文件URL中。
但是,如果他们选择与其他人相同的昵称,FluentCRM和Elementor都无法检查使用该昵称的现有用户。但是,如果使用BuddyBoss注册表单,它会告诉用户名称已被占用,这很好。
我真的不希望我的用户的电子邮件地址被窃取。地址真的都在那里等着你去挑选。
有办法改变BuddyBoss的URL吗?
< div >
< / div >
-
我想我找到解决办法了…
FluentForms和UncannyAutomator。
FluentForms做的比我想象的要多得多。它很好地与WordPress注册系统挂钩。
我现在的流程是这样的:
1.在wordpress页面上的一个fluentForm(样式为Elementor),询问潜在客户的电子邮件,并选择用户名,仅此而已。该密码在后端设置为自动生成。因此,当他们选择一个用户名,这是出现在BuddyBoss会员资料的URL,而不是他们的电子邮件地址。它也成为BuddyBoss的“昵称”和“名字”。
我觉得用户名比名字更容易成为障碍,他们可以在准备好后将自己的名字添加到BuddyBoss中。
2.FluentForms发送双选项电子邮件。(在实际创建WordPress用户之前需要)
3.Lead点击双选项按钮,然后直接进入会员区…自动登录。如何方便。这些都是由fluentForms完成的。
4.fluentForm/FluentCRM集成在lead中添加了一个标签,触发一个Uncanny Automator配方来发送一个定制的密码重置电子邮件(比默认的wordpress要好得多)。所以,他们在第一次访问时自动登录,现在不那么讨厌为以后的访问创建密码了。
FluentForms还添加了用于WPFusion访问会员资格的标签。
我可以使用Uncanny Automator而不是WPFusion来基于标签授予/删除访问权限。
我真的很喜欢FluentForms和Uncanny Automator。它在注册过程中提供了很大的灵活性,不需要任何编码。
