امنیتتست نفوذتست نفوذ وب سایتجمع آوری اطلاعات

آموزش پیدا کردن نام کاربری ادمین سایت های وردپرسی

آموزش پیدا کردن نام کاربری ادمین سایت های وردپرسی

wordpress یک سیستم مدیریت محتوا بسیار محبوب می باشد که توانسته است بیش از ۳۵ درصد از وب سایت های جهان را به خود اختصاص دهد. به طور کلی وردپرس یک سیستم مدیریت سایت و ساخت وبلاگ است که کاملا رایگان میباشد و به همین دلیل کاربران بسیاری را برای مدیریت و ساخت وب سایت به خود جذب کرده است. سیستم های مدیریت محتوای بسیار زیادی وجود دارند اما از بزرگ ترین آن ها می توان وردپرس را نام برد که با استفاده از افزونه ها و قالب های متنوع خود و یا اختصاصی میتوان ان را گسترش داد.

برای اسکن آسیب پذیری های موجود در وب سایت های وردپرس میتوان از wpscan و wpseku استفاده کرد که در این آموزش هم در یکی از روش ها برای یافتن نام کاربری وب سایت وردپرسی از wpscan استفاده میکنیم.

پیدا کردن ادمین سایت وردپرسی

روش اول

این روش در اکثر سایت های وردپرسی پاسخگو است و روش انجام آن نیز بسیار ساده می باشد. به مثال زیر توجه کنید.

www.target.com

کافی است عبارت زیر را به آخر لینک سایت اضافه کنید. با این کار یک سری اطلاعت به ما نمایش داده می شود که مقابل عبارت name نام کاربری مورد نظر شما است.

wp-json/wp/v2/users

نتیجه کار:

www.target.com/wp-json/wp/v2/users

روش دوم

در روش دوم ما از ابزار قوی wpscan استفاده می کنیم که به صورت پیشفرض در سیستم عامل کالی لینوکس موجود می باشد و طرز کار آن به صورت زیر است.

wpscan –url [wordpress url] –enumerate u

نتیجه ای که دستور بالا برای ما خواهد داد به صورت شکل زیر میباشد.

پیدا کردن نام کاربری ادمین سایت های وردپرسی
پیدا کردن نام کاربری ادمین سایت های وردپرسی

روش سوم

این روش از طریق لینک سایت است به عنوان مثال لینک زیر را در نظر داشته باشید.

https://site.com/?author=1

کافی است تا به اخر لینک سایت عبارت زیر را اضافه کنید.

?author=1

با این کار بعد از باز کردن لینک، به یک لینک دیگر ریدایرکت می شوید که نام کاربری در آن قابل مشاهده است.

https://site.com/author/kaliboys/

نام کاربری ادمین سایت در لینک بالا “kaliboys” می باشد. همچنین با تغییر عدد در author=1 می توانید لیست تمامی ادمین های سایت وردپرسی را بدست بیاورید.


مطالب مرتبط:

پیدا کردن اطلاعات سایت وردپرسی

تست نفوذ وردپرس با WPForce

چند نکته برای امنیت وردپرس

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

‫4 نظرها

  1. سلام من اموزش پیدا کردن یوزر سایت های وردپرسی را نگاه کردم ایا راهی هست که این روش روی سایت خودم انجام نشه؟

    1. سلام برای مخفی کردن ادمین سایت میتونید از برخی افزونه های امنیتی استفاده کنید. همچنین کافیه کد زیر رو کپی کنید و انتهای فایل functions.php قالبتون قرار بدید که در این صورت نیاز به نصب هیچ پلاگینی نیست اینطوری ادمین مخفی میشه.
      add_filter( 'rest_endpoints', function( $endpoints ){
      if ( isset( $endpoints['/wp/v2/users'] ) ) {
      unset( $endpoints['/wp/v2/users'] );
      }
      if ( isset( $endpoints['/wp/v2/users/(?P[\d]+)'] ) ) {
      unset( $endpoints['/wp/v2/users/(?P
      [\d]+)'] );
      }
      return $endpoints;
      });

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا