هک وردپرس با باگ wp/v2/users + آموزش رفع این باگ
دوست من سلام امیدوارم حالتون عالی و پر از انرژی باشید
یک باگ مهمی توی وردپرس وجود داره که میشه توسط این باگ یوزر نیم ورود و همچنین مشخصات پروفایل ادمین رو به دست آورد (البته بجز پسورد که اونم در ویدیو های آینده قرار خواهیم داد).
هک پسورد وردپرس
قبل از اینکه با این باگ بسیار مهم وردپرس آشنا بشیم نیازه که بهتون یاد اوری کنم اگر برای ورود به پنلتون از پسورد های ساده ای استفاده کنید مطمعن باشید که میشه پسورد رو به دست اورد.
شاید شما تصور کنید که اگر رمز ورودی پنل رو یه چیزی بزارید که قابل حدس نباشه حتما رمزتون از امنیت بالایی برخورد دارد هستش مثلا رمزتونو بزارید miladvakilializadehyekpanj و بگید خب هم تعداد کاراکتر زیاده هم یه چیزیه که کسی نمیتونه حدس بزنه اما اصلا اینطوری نیست این پسورد رو میشه با سیستم عامل هایی مثله لینوکس شاخه ی کالی لینوکس به راحتی به دست آورد (شایان ذکر هستش که کار راحتیم نیست که هر شخصی بتونه به دست بیاره ولی امنیت پسورد هم تا حدی که شما فکر می کنید بالا نیست).
بس غیر قابل حدس بودن پسورد دلیلی بر امنیت بالای پسورد نیست!
هک وردپرس
در این آموزش می خواهیم یاد بگیریم به چه شکلی می تونیم توسط باگ امنیتی wp/v2/users وردپرس اطلاعات ورودی ادمین رو به دست بیاریم و در پایان بهتون آموزش میدم به چه شکلی شما این باگ رو برطرف کنید.
ابتدا ادرس دامنه رو بزنید سپس در آخر آدرس عبارت wp-json/wp/v2/users رو وارد کنید
برای مثال : miladalizadeh.ir/wp-json/wp/v2/users اگر این باگ توسط برنامه نویس اون سایت حل نشده باشه خواهید دید که اطلاعات ورود ادمین از جمله یوزر / ایمیل / در صورتی که شمارتونو بزنید شماره تماستون و اگر رزومه ای نوشته باشید اونوقت رزومتون رو بهتون نمایش خواهد داد.
حالا وقتشه یاد بگیریم به چه شکلی می تونیم این باگ رو در سایت خودمون حل کنیم
کافیه وارد مسیر publice_html بشید سپس وارد پوشه ی wp-content بشید سپس وارد پوشه ی themes بشید سپس وارد پوشه ی قالبی که فعال کردین بشید سپس اون فایلی هستش به اسم functions.php اونو ادیت کنید و در آخر کد ها کدی که در زیر مشاهده می کنید رو قرار بدین.
add_filter( 'rest_endpoints', function( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ); } return $endpoints; });
حالا دوباره وارد ادرس باگ وردپرس بشید خواهید دید که با ارور 404 مواجه خواهید شد و هیچ دیتایی برای شما نمایش داده نمیشه
این مقاله صرفا جنبه ی اموزشی داشت و هر گونه سو استفاده از این اموزش بر عهده ی شخص می باشد.
منتظر نظرات شما هستیم تا با انرژی بیشتر دیگر آموزش هارو براتون ضبط کنیم
شاد و موفق و پر انرژی باشید

درباره میلاد علیزاده وکیلی
میلاد علیزاده هستم مدرس دوره های آموزش برنامه نویسی در شهر تبریز که فعالیت خودم رو از سال 95 در زمینه ی طراحی و میزبانی وبسایت شروع کردم. هدف من از راه اندازی این وبسایت ارائه ی آموزشی متفاوت همچنین اشتغال محور و پروژه محور هستش که هنرجو بعد از آموزش بتواند با دانش و تجربه ای کافی مستقیما وارد بازار کار شده و در زمینه ی برنامه نویسی کسب درامد کند.
نوشتههای بیشتر از میلاد علیزاده وکیلی6 Comments
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
بسیار عالی بود. ممنون از آموزش خوب و مفیدتون.
درود بر شما
خوشحالم که واستون مفید بود
سلم
ممنون از شما کمک بزرگی کردین🙏
درود بر شما
خوشحالم که تونستیم واستون مفید باشیم
مچکرم از راهنمایی شما عالی بود
درود بر شما
خوشحالم که واستون مفید بودیم
موفق و سربلند باشید