تعرف علي السبب وراء الغاء استرجاع الباسوورد

raheel · 07-04-2019, 06:33 PM

كما ذكرت سابقا كترت رسائل اعادة تعين الباسوورد المملة وايضا خطورة الامر في حالة كانت هناك اضافة مصابة بتغرة sql injection او تغرة في الووردبريس نفسه كما هو معلوم عندما تصلك رسالة يكون بها رابط بهذا الشكل تقريبا :
https://www.mwordpress.net/wp-login.php?action=rp&key=3egPdfrxRBgLdwp&login=user

3egPdfrxRBgLdwp : هذا مفتاح التفعيل لاعادة تعين الباسوورد لليوزر
user : عادة يكون admin وهو اسم المستخدم الذي سيتم تغير الباسوورد له

هنا سنتطرق لكيف يمكن للمخترق الحصول على مفتاح تفعيل اعادة تعين الباسوورد عبر حقن القاعدة بطبيعة الحال اذا وجدت ثغرة نلقى نظرة اولا على جدول wp_users للمشرف

في حالة تم طلب اعادة تعيين كلمة المرور سيتم تسجيلها في خانة user_activation_key المشار لها بالسهم الاحمر قمت بحذف القيمة في الصورة , المهم هذه القيمة والتي مثلنها سابقا ب 3egPdfrxRBgLdwp المخترق يمكنه الحصول عليها فقط بواسطة حقن القاعدة عبر ثغرات sql injection
المهم انا هنا وضحت لك خطورة الموقف بالنسبة لموقعك اذا كان يهمك الامر تابع معي الخطوات التي يجب عليك القيام بها لكي تتجنب هذه المشكلة
منع اعادة استرجاع الباسوورد

هنا سنقوم بخطوتين فقط وهما اخفاء رابط استرجاع كلمة المرور واعادة توجيه من يطلب صفحة استرجاع كلمة المرور الى الصفحة الرئيسية
اخفاء رابط استرجاع الباسوورد

لاخفاء رابط استرجاع كلمة المرور سنستعمل دالة لكي تقوم بازالة رابط اعادة تعيين الباسوورد الدالة وجدتها في الدعم الفني للووردبريس قمت بتعديل فقط جملة واشتغلت مع اني منذ مدة جربت احدى الاضافات لكن لم تشتغل. نفتح ملف functions.php ونضيف اخر الملف الدالة التالية :
function remove_password_reset_text ( $text ) { if ( $text == "هل فقدت كلمة مرورك ؟" ) { $text = ""; } return $text; } function remove_password_reset() { add_filter( "gettext", "remove_password_reset_text" ); } add_action ( "login_head", "remove_password_reset" ); وهكذا سختفي الرابط
ملحوظة هذه الطريقة وحدها لن تنفع في منع طلب كلمة المرور لانه يمكن فقط كتابة ?action=lostpassword امام wp-login.php وسيتم عرض صفحة اعادة تعين كلمة المرور لهذا يرجى استعمال الطريقتين معا

منع اعادة الباسوورد للمشرفين فقط

بالنسبة لهذه الطريقة سنحتاج اضافة تقوم بالغرض وقد وجدت الاضافة “Prevent Password Reset” يمكنك تحميلها وتنصيبها على مدونتك الامر لا يحتاج شرح المهم بعدما تقوم بتنصيبها في مدونتك توجه الىحساب الادمين وقم بوضع علامة على Password Reset كما هو موضح في الصورة التالية :

عند استعمال هذه الاضافة لن يستطيح احد استرجاع الباسوورد للادمين وستظهر له رسالة بالشكل التالي :

المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress

07-04-2019, 06:33 PM	#1
raheel تاريخ التسجيل: Feb 2019 العمر: 38 المشاركات: 1,149 التقييم: 10	raheel تاريخ التسجيل: Feb 2019 العمر: 38 المشاركات: 1,149 التقييم: 10 تعرف علي السبب وراء الغاء استرجاع الباسوورد تعرف علي السبب وراء الغاء استرجاع الباسوورد كما ذكرت سابقا كترت رسائل اعادة تعين الباسوورد المملة وايضا خطورة الامر في حالة كانت هناك اضافة مصابة بتغرة sql injection او تغرة في الووردبريس نفسه كما هو معلوم عندما تصلك رسالة يكون بها رابط بهذا الشكل تقريبا : https://www.mwordpress.net/wp-login.php?action=rp&key=3egPdfrxRBgLdwp&login=user 3egPdfrxRBgLdwp : هذا مفتاح التفعيل لاعادة تعين الباسوورد لليوزر user : عادة يكون admin وهو اسم المستخدم الذي سيتم تغير الباسوورد له هنا سنتطرق لكيف يمكن للمخترق الحصول على مفتاح تفعيل اعادة تعين الباسوورد عبر حقن القاعدة بطبيعة الحال اذا وجدت ثغرة نلقى نظرة اولا على جدول wp_users للمشرف في حالة تم طلب اعادة تعيين كلمة المرور سيتم تسجيلها في خانة user_activation_key المشار لها بالسهم الاحمر قمت بحذف القيمة في الصورة , المهم هذه القيمة والتي مثلنها سابقا ب 3egPdfrxRBgLdwp المخترق يمكنه الحصول عليها فقط بواسطة حقن القاعدة عبر ثغرات sql injection المهم انا هنا وضحت لك خطورة الموقف بالنسبة لموقعك اذا كان يهمك الامر تابع معي الخطوات التي يجب عليك القيام بها لكي تتجنب هذه المشكلة منع اعادة استرجاع الباسوورد هنا سنقوم بخطوتين فقط وهما اخفاء رابط استرجاع كلمة المرور واعادة توجيه من يطلب صفحة استرجاع كلمة المرور الى الصفحة الرئيسية اخفاء رابط استرجاع الباسوورد لاخفاء رابط استرجاع كلمة المرور سنستعمل دالة لكي تقوم بازالة رابط اعادة تعيين الباسوورد الدالة وجدتها في الدعم الفني للووردبريس قمت بتعديل فقط جملة واشتغلت مع اني منذ مدة جربت احدى الاضافات لكن لم تشتغل. نفتح ملف functions.php ونضيف اخر الملف الدالة التالية : function remove_password_reset_text ( $text ) { if ( $text == "هل فقدت كلمة مرورك ؟" ) { $text = ""; } return $text; } function remove_password_reset() { add_filter( "gettext", "remove_password_reset_text" ); } add_action ( "login_head", "remove_password_reset" ); وهكذا سختفي الرابط ملحوظة هذه الطريقة وحدها لن تنفع في منع طلب كلمة المرور لانه يمكن فقط كتابة ?action=lostpassword امام wp-login.php وسيتم عرض صفحة اعادة تعين كلمة المرور لهذا يرجى استعمال الطريقتين معا منع اعادة الباسوورد للمشرفين فقط بالنسبة لهذه الطريقة سنحتاج اضافة تقوم بالغرض وقد وجدت الاضافة “Prevent Password Reset” يمكنك تحميلها وتنصيبها على مدونتك الامر لا يحتاج شرح المهم بعدما تقوم بتنصيبها في مدونتك توجه الىحساب الادمين وقم بوضع علامة على Password Reset كما هو موضح في الصورة التالية : عند استعمال هذه الاضافة لن يستطيح احد استرجاع الباسوورد للادمين وستظهر له رسالة بالشكل التالي : المصدر: منتديات رحيل لكل العرب - من قسم: قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress
	اقتباس

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
ما السبب وراء رائحة الكتب القديمة , روائح الكتب	مهرة النجدية	المواضيع العامة	1	09-07-2019 12:52 PM
ما هو السبب وراء الم البطن عند الاطفال	raheel	عالم حواء وتربية الأطفال	0	15-04-2019 04:27 PM
ما هو السبب وراء ظهور ملايين المواقع كغير آمنة على متصفح جوجل كروم 68	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	10-04-2019 09:29 PM
السبب وراء فشل الربح من الانترنت	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	07-04-2019 08:13 PM
ما هو السبب وراء اختيار Angular ؟	raheel	قسم تطوير المواقع ومحركات البحث والسيو Seo والووردبريس WordPress	0	01-04-2019 07:17 PM

اسم العضو		حفظ البيانات؟
كلمة المرور

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)