هک وردپرس با باگ wp/v2/users + آموزش رفع این باگ
[pars-player mp4=”https://miladalizadeh.ir/wp-content/uploads/dl/hack-wordpress-user-information.mp4″ ads_html_select=”63189855″ id=”64337977″ ads-html=”true”]
دوست من سلام امیدوارم حالتون عالی و پر از انرژی باشید علیزاده هستم در خدمت شما هستم با یکی دیگر از مقالات آموزش رایگان وردپرس
یک باگ مهمی توی وردپرس وجود داره که میشه توسط این باگ یوزر نیم ورود و همچنین مشخصات پروفایل ادمین رو به دست آورد (البته بجز پسورد که اونم در ویدیو های آینده قرار خواهیم داد).
اگر در این مورد شک دارید که داخل سایت و هاست شما فایل آلوده ای هستش یا خیر ما یک مقاله ای تحت عنوان چگونه امنیت وبسایت را بررسی کنیم؟ در سایت ایجاد کردیم که برای مشاهده می توانید روی این لینک کلیک کنید و سایت خود را از نظر امنیت بررسی کنید
هک پسورد وردپرس
برای مشاهده مقاله ابتدا باید ثبت نام کنیدشاید شما تصور کنید که اگر رمز ورودی پنل رو یه چیزی بزارید که قابل حدس نباشه حتما رمزتون از امنیت بالایی برخورد دارد هستش مثلا رمزتونو بزارید miladvakilializadehyekpanj و بگید خب هم تعداد کاراکتر زیاده هم یه چیزیه که کسی نمیتونه حدس بزنه اما اصلا اینطوری نیست این پسورد رو میشه با سیستم عامل هایی مثله لینوکس شاخه ی کالی لینوکس به راحتی به دست آورد (شایان ذکر هستش که کار راحتیم نیست که هر شخصی بتونه به دست بیاره ولی امنیت پسورد هم تا حدی که شما فکر می کنید بالا نیست).
بس غیر قابل حدس بودن پسورد دلیلی بر امنیت بالای پسورد نیست!
هک وردپرس
در این آموزش رایگان وردپرس می خواهیم یاد بگیریم به چه شکلی می تونیم توسط باگ امنیتی wp/v2/users وردپرس اطلاعات ورودی ادمین رو به دست بیاریم و در پایان بهتون آموزش میدم به چه شکلی شما این باگ رو برطرف کنید.
ابتدا ادرس دامنه رو بزنید سپس در آخر آدرس عبارت wp-json/wp/v2/users رو وارد کنید
برای مثال : miladalizadeh.ir/wp-json/wp/v2/users اگر این باگ توسط برنامه نویس اون سایت حل نشده باشه خواهید دید که اطلاعات ورود ادمین از جمله یوزر / ایمیل / در صورتی که شمارتونو بزنید شماره تماستون و اگر رزومه ای نوشته باشید اونوقت رزومتون رو بهتون نمایش خواهد داد.
حالا وقتشه یاد بگیریم به چه شکلی می تونیم این باگ رو در سایت خودمون حل کنیم
قبل از اینکه بپردازیم به ادامه ی آموزش یک باگ امنیتی دیگری در وردپرس تحت عنوان xmlprc وجود داره که در این مقاله به صورت کامل بهتون آموزش دادم که چطوری می تونید جلوی این باگ رو بگیرید
کافیه وارد مسیر publice_html بشید سپس وارد پوشه ی wp-content بشید سپس وارد پوشه ی themes بشید سپس وارد پوشه ی قالبی که فعال کردین بشید سپس اون فایلی هستش به اسم functions.php اونو ادیت کنید و در آخر کد ها کدی که در زیر مشاهده می کنید رو قرار بدین.
add_filter( 'rest_endpoints', function( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ); } return $endpoints; });
حالا دوباره وارد ادرس باگ وردپرس بشید خواهید دید که با ارور 404 مواجه خواهید شد و هیچ دیتایی برای شما نمایش داده نمیشه
این مقاله صرفا جنبه ی اموزشی داشت و هر گونه سو استفاده از این اموزش بر عهده ی شخص می باشد.
راستی اگر در شهر تبریز هستید ما یک دوره تحت عنوان آموزش طراحی سایت در تبریز برگزار کرده ایم که در این دوره تمامی ملزومات وردپرس از جمله امنیت وردپرس بهینه سازی وردپرس کانفیگ سرور برای وبسایت های وردپرسی رفع خطاهای احتمالی در وردپرس اموزش کامل خود وردپرس و بیش از ۱۰ پلاگین پر استفاده در وردپرس را به صورت کامل یاد خواهید گرفت در صورت تمایل برای شرکت در این دوره با شماره تماس ۰۹۳۳۸۷۷۶۷۳۵در ارتباط باشید
منتظر نظرات شما هستیم تا با انرژی بیشتر دیگر آموزش هارو براتون ضبط کنیم
شاد و موفق و پر انرژی باشید
درباره میلاد علیزاده وکیلی
میلاد علیزاده هستم مدرس دوره های آموزش برنامه نویسی در شهر تبریز که فعالیت خودم رو از سال 95 در زمینه ی طراحی و میزبانی وبسایت شروع کردم. هدف من از راه اندازی این وبسایت ارائه ی آموزشی متفاوت همچنین اشتغال محور و پروژه محور هستش که هنرجو بعد از آموزش بتواند با دانش و تجربه ای کافی مستقیما وارد بازار کار شده و در زمینه ی برنامه نویسی کسب درامد کند.
نوشتههای بیشتر از میلاد علیزاده وکیلی14 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
بسیار عالی بود. ممنون از آموزش خوب و مفیدتون.
درود بر شما
خوشحالم که واستون مفید بود
سلم
ممنون از شما کمک بزرگی کردین🙏
درود بر شما
خوشحالم که تونستیم واستون مفید باشیم
مچکرم از راهنمایی شما عالی بود
درود بر شما
خوشحالم که واستون مفید بودیم
موفق و سربلند باشید
عالی بود . ممنون بابت سایت آموزشی و خدماتی که گذاشتید
درود بر شما
خوشحالم که اموزشمون براتون مفید بود 🌹
سلام وقتتون بخیر آیا باگی هست که از طریق آن پسورد هم لو برود؟
اگر هست بفرمایید
درود بر شما
اگر از پسورد ساده ای استفاده شده باشد بله که این کار نیازمنده اشنایی شما با کالی لینوکس می باشد
سلام آقای علیزاده. در آخر ارور 404 رو برام نمایش نداد
فقط دو خط کد برام اومد که با reset-no-route شروع میشد
درست پیش رفتم یا باید کار دیگری انجام میدادم؟
اگر همین مسیر رو رفتین و ارور ۴۰۴ گرفتین قطعا درست انجام دادین
در صورت تمایل ادرس سایت رو بفرستین براتون بررسی کنیم
بسیار عالی
سلامت باشید