كما ذكرت سابقا كترت رسائل اعادة تعين الباسوورد المملة وايضا خطورة الامر في حالة كانت هناك اضافة مصابة بتغرة sql injection او تغرة في الووردبريس نفسه كما هو معلوم عندما تصلك رسالة يكون بها رابط بهذا الشكل تقريبا :
https://www.mwordpress.net/wp-login.php?action=rp&key=3egPdfrxRBgLdwp&login=user
في حالة تم طلب اعادة تعيين كلمة المرور سيتم تسجيلها في خانة user_activation_key المشار لها بالسهم الاحمر قمت بحذف القيمة في الصورة , المهم هذه القيمة والتي مثلنها سابقا ب 3egPdfrxRBgLdwp المخترق يمكنه الحصول عليها فقط بواسطة حقن القاعدة عبر ثغرات sql injection
المهم انا هنا وضحت لك خطورة الموقف بالنسبة لموقعك اذا كان يهمك الامر تابع معي الخطوات التي يجب عليك القيام بها لكي تتجنب هذه المشكلة
منع اعادة استرجاع الباسوورد
هنا سنقوم بخطوتين فقط وهما اخفاء رابط استرجاع كلمة المرور واعادة توجيه من يطلب صفحة استرجاع كلمة المرور الى الصفحة الرئيسية
اخفاء رابط استرجاع الباسوورد
لاخفاء رابط استرجاع كلمة المرور سنستعمل دالة لكي تقوم بازالة رابط اعادة تعيين الباسوورد الدالة وجدتها في الدعم الفني للووردبريس قمت بتعديل فقط جملة واشتغلت مع اني منذ مدة جربت احدى الاضافات لكن لم تشتغل. نفتح ملف functions.php ونضيف اخر الملف الدالة التالية :
function remove_password_reset_text ( $text ) { if ( $text == "هل فقدت كلمة مرورك ؟" ) { $text = ""; } return $text; } function remove_password_reset() { add_filter( "gettext", "remove_password_reset_text" ); } add_action ( "login_head", "remove_password_reset" ); وهكذا سختفي الرابط
ملحوظة هذه الطريقة وحدها لن تنفع في منع طلب كلمة المرور لانه يمكن فقط كتابة ?action=lostpassword امام wp-login.php وسيتم عرض صفحة اعادة تعين كلمة المرور لهذا يرجى استعمال الطريقتين معا
منع اعادة الباسوورد للمشرفين فقط
بالنسبة لهذه الطريقة سنحتاج اضافة تقوم بالغرض وقد وجدت الاضافة “Prevent Password Reset” يمكنك تحميلها وتنصيبها على مدونتك الامر لا يحتاج شرح المهم بعدما تقوم بتنصيبها في مدونتك توجه الىحساب الادمين وقم بوضع علامة على Password Reset كما هو موضح في الصورة التالية :
عند استعمال هذه الاضافة لن يستطيح احد استرجاع الباسوورد للادمين وستظهر له رسالة بالشكل التالي :
https://www.mwordpress.net/wp-login.php?action=rp&key=3egPdfrxRBgLdwp&login=user
- 3egPdfrxRBgLdwp : هذا مفتاح التفعيل لاعادة تعين الباسوورد لليوزر
- user : عادة يكون admin وهو اسم المستخدم الذي سيتم تغير الباسوورد له
في حالة تم طلب اعادة تعيين كلمة المرور سيتم تسجيلها في خانة user_activation_key المشار لها بالسهم الاحمر قمت بحذف القيمة في الصورة , المهم هذه القيمة والتي مثلنها سابقا ب 3egPdfrxRBgLdwp المخترق يمكنه الحصول عليها فقط بواسطة حقن القاعدة عبر ثغرات sql injection
المهم انا هنا وضحت لك خطورة الموقف بالنسبة لموقعك اذا كان يهمك الامر تابع معي الخطوات التي يجب عليك القيام بها لكي تتجنب هذه المشكلة
منع اعادة استرجاع الباسوورد
هنا سنقوم بخطوتين فقط وهما اخفاء رابط استرجاع كلمة المرور واعادة توجيه من يطلب صفحة استرجاع كلمة المرور الى الصفحة الرئيسية
اخفاء رابط استرجاع الباسوورد
لاخفاء رابط استرجاع كلمة المرور سنستعمل دالة لكي تقوم بازالة رابط اعادة تعيين الباسوورد الدالة وجدتها في الدعم الفني للووردبريس قمت بتعديل فقط جملة واشتغلت مع اني منذ مدة جربت احدى الاضافات لكن لم تشتغل. نفتح ملف functions.php ونضيف اخر الملف الدالة التالية :
function remove_password_reset_text ( $text ) { if ( $text == "هل فقدت كلمة مرورك ؟" ) { $text = ""; } return $text; } function remove_password_reset() { add_filter( "gettext", "remove_password_reset_text" ); } add_action ( "login_head", "remove_password_reset" ); وهكذا سختفي الرابط
ملحوظة هذه الطريقة وحدها لن تنفع في منع طلب كلمة المرور لانه يمكن فقط كتابة ?action=lostpassword امام wp-login.php وسيتم عرض صفحة اعادة تعين كلمة المرور لهذا يرجى استعمال الطريقتين معا
منع اعادة الباسوورد للمشرفين فقط
بالنسبة لهذه الطريقة سنحتاج اضافة تقوم بالغرض وقد وجدت الاضافة “Prevent Password Reset” يمكنك تحميلها وتنصيبها على مدونتك الامر لا يحتاج شرح المهم بعدما تقوم بتنصيبها في مدونتك توجه الىحساب الادمين وقم بوضع علامة على Password Reset كما هو موضح في الصورة التالية :
عند استعمال هذه الاضافة لن يستطيح احد استرجاع الباسوورد للادمين وستظهر له رسالة بالشكل التالي :