wordpress & user name
14420
post-template-default,single,single-post,postid-14420,single-format-standard,ajax_fade,page_not_loaded,,show_loading_animation,wpb-js-composer js-comp-ver-4.12,vc_responsive

Πόσο εύκολα μπορεί κάποιος να βρει το username σας στο wordpress;

q

Πόσο εύκολα μπορεί κάποιος να βρει το username σας στο wordpress;

Πιστεύετε ότι το να βρείτε το username του διαχειριστή ενός wordpress είναι μια δύσκολη υπόθεση; Νομίζουμε μετά την ανάγνωση αυτού του σύντομου άρθρου θα δείτε ότι δεν είναι και ευελπιστούμε να αποτελέσει έναυσμα , ένα καμπανάκι κινδύνου, για εσάς και την ασφάλεια της ιστοσελίδας σας.

Αντιλαμβανόμαστε όλοι ότι η εύρεση του username του διαχειριστή μιας ιστοσελίδας, είναι μια κρίσιμη πληροφορία που θα μας διευκολύνει να αποκτήσουμε πρόσβαση στη διαχείρισή της ιστοσελίδας.

Στην προκαθορισμένη εγκατάσταση του wordpress (default installation) είναι εύκολο να βρούμε τους χρήστες της ιστοσελίδας διατρέχοντας τον αύξοντα αριθμό τους (user id) μέσω του URL.

Αυτό μπορούμε να το καταφέρουμε προσθέτοντας «/?author=1» δίπλα στο URL.

Για παράδειγμα:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

κ.ο.κ.

Για παράδειγμα, ας δοκιμάσουμε να βρούμε το username του διαχειριστή της σελίδας:

http://dreamweaver.gr/ ( μια δυναμική ιστοσελίδα που κατασκευάστηκε με την χρήση του wordpress

Εάν βάλουμε:

http://dreamweaver.gr/?author=1

τότε θα πάρουμε την απάντηση:

«The page you requested does not exist»

Αυτό σημαίνει ότι δεν μπορούμε να βρούμε το username του διαχειριστή της ιστοσελίδας http://dreamweaver.gr/ κάτι που αποδεικνύει την ύπαρξη κάποιων μέτρων ασφαλείας σε αυτήν.

Αντίθετα, αν δοκιμάσουμε να βρούμε το username του διαχειριστή της σελίδας:

http://www.hace.gr/

τότε θα γράψουμε το παρακάτω στη γραμμή διεύνσεων του browser:

http://www.hace.gr/?author=1

και θα δούμε οτι το username του διαχειριστή είναι «hace»

Αυτό σημαίνει ότι αν καταφέρουμε να εντοπίσουμε και το password, θα έχουμε πλήρη πρόσβαση στη διαχείριση της ιστοσελίδας.

Παρότι αυτό το βήμα δεν αρκεί από μόνο του για την παραβίαση ενός wordpress αναντίλεκτα η γνώση του username των διαχειριστών είναι το πρώτο βήμα για να ξεκινήσουμε επίθεση brute forcing.

Σύμφωνα με αυτή τη μέθοδο, θα πρέπει να χρησιμοποιήσουμε ένα λογισμικό για να στείλουμε διαδοχικές προσπάθειες σύνδεσης στο περιβάλλον διαχείρισης της ιστοσελίδας.

Συνήθως το URL που χρησιμοποιείται για να κάνουμε login είναι το:

wordpressexample.com/wp-admin. Εάν αλλάξουμε το «wp-admin», τότε θα δυσκολέψουμε τον επίδοξο εισβολέα και σίγουρα πολλά λογισμικά που σκανάρουν τον κυβερνοχώρο και ψάχνουν ανάλογα url

Εάν περιορίσουμε τη δυνατότητα εύρεσης των username (όπως είδαμε οτι έγινε στη σελίδα της dreamweaver.gr), τότε πάλι θα δυσκολέψουμε τον επίδοξο εισβολέα (ακόμα περισσότερο).

Ο τρόπος με τον οποίο μπορούμε να αποκτήσουμε αυτή την προστασία θα παρουσιαστεί σε επόμενο άρθρο με σίγουρο ότι η φιλοξενία ενός wordpress είναι μια υπόθεση στην οποία ο παροχέας φιλοξενίας σας καλείται να διαδραματίσει σημαντικό ρόλο όπως όμως επίσης και ο διαχειριστής του wordpress σας.

Σύντομα θα ακολουθήσουν σειρά άρθρων που θα πραγματεύονται το ζήτημα της ασφάλειας στο wordpress σας.

Tags:

No Comments

Leave a Comment

* Checkbox GDPR is required

*

I agree