الحماية من استرجاع كلمة المررو للووردبريس


مصنفة في قسم  : نصائح
كتبت بتاريخ  : 25 يونيو 2013
عدد المشاهدات  : 
عدد التعليقات  : لا توجد تعليقات 

الحماية من استرجاع كلمة المررو للووردبريس

السلام عليكم ورحمة الله وبركاته

هذا الموضوع كتبته لاني مليت من الرسائل التي تصلني لاعادة تعيين الباسوورد لمدونتي والذي يبدوا لبعضكم انه امر بدون اهمية وينساق وراء الجملة المشهورة التي تأتي مع الرسالة “إذا كان هذا الطلب بالخطأ، فقط تجاهل هذه الرسالة ولن يحدث شئ.” كيف لن يحدث شيء لنفرض ان احد الاضافات التي استعمل مصابة بتغرة sql injection ولو انه ناذرا ما نسمع بثغرات من هذا النوع في سكريبت التدوين ووردبريس لكن لا احد يعلم ما هو قادم فالاحتياط واجب. المهم ندخل في صلب الموضوع

السبب وراء الغاء استرجاع الباسوورد

اول كما ذكرت سابقا كترت الرسائل اعادة تعين الباسوورد المملة وايضا خطورة الامر في حالة كانت هناك اضافة مصابة بتغرة sql injection او تغرة في الووردبريس نفسه كما هو معلوم عندما تصلك رسالة يكون بها رابط بهذا الشكل تقريبا :

http://www.mwordpress.net/wp-login.php?action=rp&key=3egPdfrxRBgLdwp&login=user
  1. 3egPdfrxRBgLdwp : هذا مفتاح التفعيل لاعادة تعين الباسوورد لليوزر
  2. user : عادة يكون admin وهو اسم المستخدم الذي سيتم تغير الباسوورد له

هنا سنتطرق لكيف يمكن للمخترق الحصول على مفتاح تفعيل اعادة تعين الباسوورد عبر حقن القاعدة بطبيعة الحال اذا وجدت ثغرة نلقى نظرة اولا على جدول wp_users للمشرف

table_wp_user

في حالة تم طلب اعادة تعيين كلمة المرور سيتم تسجيلها في خانة user_activation_key المشار لها بالسهم الاحمر قمت بحذف القيمة في الصورة , المهم هذه القيمة والتي مثلنها سابقا ب 3egPdfrxRBgLdwp المخترق يمكنه الحصول عليها فقط بواسطة حقن القاعدة عبر ثغرات sql injection

المهم انا هنا وضحت لك خطورة الموقف بالنسبة لموقعك اذا كان يهمك الامر تابع معي الخطوات التي يجب عليك القيام بها لكي تتجنب هذه المشكلة

منع اعادة تعيين كلمة المرور

هنا سنقوم بخطوتين فقط وهما اخفاء رابط استرجاع كلمة المرور واعادة توجيه من يطلب صفحة استرجاع كلمة المرور الى الصفحة الرئيسية

اخفاء رابط استرجاع كلمة المرور

لاخفاء رابط استرجاع كلمة المرور سنستعمل دالة لكي تقوم بازالة رابط اعادة تعيين الباسوورد الدالة وجدتها في الدعم الفني للووردبريس قمت بتعديل فقط جملة واشتغلت مع اني منذ مدة جربت احدى الاضافات لكن لم تشتغل. نفتح ملف functions.php ونضيف اخر الملف الدالة التالية :

function remove_password_reset_text ( $text ) {
if ( $text == 'هل فقدت كلمة مرورك ؟' ) {
$text = '';
} return $text;  }

function remove_password_reset() {
add_filter( 'gettext', 'remove_password_reset_text' );
}
add_action ( 'login_head', 'remove_password_reset' );

وهكذا سختفي الرابط

ملحوظة هذه الطريقة وحدها لن تنفع في منع طلب كلمة المرور لانه يمكن فقط كتابة ?action=lostpassword امام wp-login.php وسيتم عرض صفحة اعادة تعين كلمة المرور لهذا يرجى استعمال الطريقتين معا

اعادة توجيه من يطلب صفحة استرجاع كلمة المرور

بالنسبة لهذه الطريقة سنحتاج اضافة تقوم بالغرض وقد وجدت احدى الاضافة وهي  Redirection يمكنك تحميلها وتنصيبها على مدونتك الامر لا يحتاج شرح المهم بعدما تقوم بتنصيبها في مدونتك توجه الى قائمة الادوات من لوحة تحكم الووردبريس واختر redirection او توجيهات ان اشتغل لك التعريب المهم ستجد في اعلى صفحة اعداد الاضافة قائمة اختر groups كما في الصورة التالية :

Redirection-group

بعد الدخول الى صفحة المجموعات (groups) اضغط على Redirections كما في الصورة التالية :

Redirection-click-group

الان يجب عليك اضافة روابط التحويل الخاصة بموقعك كما هو موضح في الصورة التالية :

add-Redirection

غير الروابط المشار اليها بارقام الى روابط موقعك

بعد اضافة التوجيه سجل الخروج من لوحة التحكم ووردبريس وحاول تسترجع الباسورد الخاص بك عن طريق الرابط في الرقم 1 الخاص بموقعك ولاحظ الفرق

في حال اذا نسيت باسورد مدونتك فلا تحمل هم تعطيل الاضافة كل ما عليك هو تغييره عن طريق phpmyadmin يوجد شرح في هذه التدوينة كتبتها سابقا طرق استرجاع كلمة مرور المشرف لمدونة الوردبريس

الى هنا اعانكم الله والى اللقاء في تدونة اخرى ان شاء الله

الحماية من استرجاع كلمة المررو للووردبريس بواسطة مجلة ووردبريس, يمكنك نقل ومشاركة التدوينة مع ذكر المصدر الأصلي للموضوع ، مع رابطه, والتدوينة مرخصة بموجب المشاع الابداعي Creative Commons A-NC-SA 3.0.

الوسوم : , , , , , , , , , , ,

  • مجلة الوردبريس




1. المرجوا الابتعاد عن كتابة تعليقات بنمط (يعطيك العافية)، (روعة)، (ممتاز)، (مشكوووور)، (ابداع).

2. زاوية التعليقات هي جزء مكمّل للموضوع الذي قرأته للتو. حاول أن تحصر تعليقك في صلب الموضوع حتى نستثمر هذا التعليق لكسب المزيد من الفائدة سواءً عن طريق مناقشة الموضوع أو عن طريق إضافة معلومات مكمّلة أو إبداء ملاحظات أخرى في نفس السياق.