נכתב ע״י

אחת השיטות הפופולריות לפרוץ לאתרי וורדפרס היא להגיע לשם המשתמש של ה-Administrator, ומשם להגיע אל הסיסמה שלו. כברירת מחדל, המשתמש הראשון שנוצר כאשר מתקינים אתר וורדפרס מקבל בדטאבייס ID מספר 1. משתמש זה הוא גם בעל הרשאת Administrator. כעת, אם האתר שאליו מנסים לפרוץ משתמש ב pretty permalinks (דבר שהוא נפוץ מאוד), ניתן בקלות להשיג את שם המשתמש של ה-Administrator על-ידי כניסה ל-url בסגנון הבא:

http://www.example.com/?author=1
תמונה עם המון מצלמות אבטחה

כניסה לכתובת זו באתר המשתמש ב pretty permalinks תפנה אותנו ל-url המכיל את שם המשתמש. לדוגמה, למשהו בסגנון הזה:

http://www.example.com/admin

ראשית, אני מקווה מאוד שכולכם כבר יודעים שאסור להשתמש בשם משתמש בנוסח הזה ״admin״.

הטיפ שלי הפעם הוא לשנות את ה-id של ה-Administrator הראשוני של וורדפרס. כלומר שהוא לא יהיה 1, אלא משהו אחר.

ניתן לעשות זאת באמצעות שלוש פקודות SQL:

UPDATE wp_users SET ID = 532 WHERE ID = 1;
UPDATE wp_usermeta SET user_id = 532 WHERE user_id = 1;
UPDATE wp_posts SET post_author = 532 WHERE post_author = 1;

הפקודה הראשונה ממירה את ה ID של משתמש עם ID מספר 1 למספר 532 בטבלת המשתמשים בדטאבייס: wp_users, כמובן שמומלץ לבחור כאן מספר אקראי.

הפקודה השניה ממירה את ה ID של אותו משתמש בטבלה: wp_usermeta שאחראית על מידע נוסף הקיים אודות אותו משתמש.

ואילו הפקודה השלישית ממירה את ה ID של אותו משתמש בטבלת הפוסטים: wp_posts.

פקודות אלו יעבדו גם אצלכם בהנחה וקידומת הטבלאות בדטאבייס שלכם היא _wp (דבר שמאוד לא מומלץ), אם קידומת הטבלאות שלכם אינה כזו עדכנו גם את שלושת הפקודות לפני שאתם משתמשים בהן.

בהצלחה בבניית אתרי וורדפרס!

יש לך שאלה בנוגע למערכת וורדפרס?

הצטרף/י לקבוצת האקדמיה לוורדפרס בפייסבוק

מחפש/ת משרה שקשורה למערכת וורדפרס?

הצטרף/י לקבוצת וורדפרס דרושים בפייסבוק