מאמר זה נכתב על-ידי עמית מורנו ב-16 ביולי 2016

אחת השיטות הפופולריות לפרוץ לאתרי וורדפרס היא להגיע לשם המשתמש של ה-Administrator, ומשם להגיע אל הסיסמה שלו. כברירת מחדל, המשתמש הראשון שנוצר כאשר מתקינים אתר וורדפרס מקבל בדטאבייס ID מספר 1. משתמש זה הוא גם בעל הרשאת Administrator. כעת, אם האתר שאליו מנסים לפרוץ משתמש ב pretty permalinks (דבר שהוא נפוץ מאוד), ניתן בקלות להשיג את שם המשתמש של ה-Administrator על-ידי כניסה ל-url בסגנון הבא:

http://www.example.com/?author=1

כניסה לכתובת זו באתר המשתמש ב pretty permalinks תפנה אותנו ל-url המכיל את שם המשתמש. לדוגמה, למשהו בסגנון הזה:

http://www.example.com/admin

ראשית, אני מקווה מאוד שכולכם כבר יודעים שאסור להשתמש בשם משתמש בנוסח הזה ״admin״.

הטיפ שלי הפעם הוא לשנות את ה-id של ה-Administrator הראשוני של וורדפרס. כלומר שהוא לא יהיה 1, אלא משהו אחר.

ניתן לעשות זאת באמצעות שלוש פקודות SQL:

UPDATE wp_users SET ID = 532 WHERE ID = 1;
UPDATE wp_usermeta SET user_id = 532 WHERE user_id = 1;
UPDATE wp_posts SET post_author = 532 WHERE post_author = 1;

הפקודה הראשונה ממירה את ה ID של משתמש עם ID מספר 1 למספר 532 בטבלת המשתמשים בדטאבייס: wp_users, כמובן שמומלץ לבחור כאן מספר אקראי.

הפקודה השניה ממירה את ה ID של אותו משתמש בטבלה: wp_usermeta שאחראית על מידע נוסף הקיים אודות אותו משתמש.

ואילו הפקודה השלישית ממירה את ה ID של אותו משתמש בטבלת הפוסטים: wp_posts.

פקודות אלו יעבדו גם אצלכם בהנחה וקידומת הטבלאות בדטאבייס שלכם היא _wp (דבר שמאוד לא מומלץ), אם קידומת הטבלאות שלכם אינה כזו עדכנו גם את שלושת הפקודות לפני שאתם משתמשים בהן.

בהצלחה בבניית אתרי וורדפרס!