وردپرس یکی از محبوب ترین سایت سازهای رایگان توی دنیا هستش و خیلی از کاربران از آن استفاده میکنند. ولی چندتا عیب داره و اونم اینکه باید به صورت کامل به این سیستم مدیریت محتوا شناخت داشته باشید.
هسته وردپرس درسته که امن هستش ولی چندتا مشکل داره که باید آنها رو رفع کنید و همیشه سعی کنید آخرین نسخه رو استفاده کنید. از افزونه های غیر معتبر استفاده نکنید و افزونه هایی که نیاز ندارید رو غیرفعال کنید. نکته دوم قالب های پیش فرض رو حتما از هاستتون پاک کنید.
خب بریم سراغ پیدا کردن نام کاربری ادمین وب سایت های وردپرسی، برای اسکن آسیب پذیری های موجود در وب سایت های وردپرس میتوان از wpscan و wpseku استفاده کرد ولی خب ما اینجا از هیچ کدومشون استفاده نمیکنیم. چندتا راه ساده تر خدمتتون عرض میکنم امیدوارم به کارتون بیاد.
اولین راه برای به دست آوردن نام کاربری یه وب سایت وردپرسی رفتن به مسیر زیر هست :
www.target.com/wp-json/wp/v2/users
کافی توی سایت با کلید ترکیبی CRTL+F به دنبال کلمه author بگردید با تعجب میبینید که کلی نام کاربری مشاهده میکنید. موارد بعدی هم که دست خودتونه 😁
دومین راه برای به دست آوردن نام کاربری یه وب سایت وردپرسی این که به انتهای ادرس سایت مقدار ?author=1 رو اضافه کنیم. به عنوان مثال :
https://site.com/?author=1
اگه این بخش هم غیرفعال نشده باشه بازم میتونید نام کاربری ادمین یا ادمین های سایت رو مشاهده کنید.
برای رفع مشکل مورد یک کافیه که به پوشه قالب سایتمون بریم بعدش فایل functions.php رو ویرایش کنیم و این کد رو اخر کدها قرار بدیم :
add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P[\d]+)'] ) ) {
unset( $endpoints['/wp/v2/users/(?P[\d]+)'] );
}
return $endpoints;
});
برای تست اینکه ببینید مشکل هنوز هست یا خیر مجددا به آدرس www.target.com/wp-json/wp/v2/users برید مشاهده میکنید که دیگه نام کاربری های سایت وجود نداره.
راه حل برای مشکل دوم هم که شاید ساده ترین راهش باشه اینکه نام کاربری نمایش داده شده با نام کاربری که داخل دیتابیس ذخیره میشه متفاوت باشه . تا حدودی این مشکل رو برطرف میکنه.
همینطور اگه از افزونه Yoast استفاده میکنید بخش author-sitemap.xml رو هم میتونید غیرفعال کنید. اما اگه چندتا نویسنده داخل سایتتون داشته باشید کار درستی نیست.
امیدوارم مفید باشه اگه دوستان دیگه تجربه ای در این خصوص دارن خوشحال میشم با بقیه به اشتراک بزارن.
به میثم کمک کنید تا مشکل خودش را حل کند؛ اینطور میتوانیم با هم پیشرفت کنیم.
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟