וורדפרס היא באופן כללי מערכת דיי מאובטחת, עם זאת, קיימת בעיית אבטחה קטנה שכדאי לסגור.
הבעיה קורת בעיקר שהאקרים משיגים גישת קריאה למסד הנתונים שלנו (אם יש להם גישת כתיבה, שום דבר לא יעזור).
איך האקרים יכולים להשיג גישה שכזאת? הם לא אמורים, אבל שום מערכת אינה מושלמת וקורה שבעיות כאלה ואחרות, בעיקר בתוספים לא מאובטחים תגרום לפריצה שכזו.
ההגנה עלייה אני אכתוב בפוסט זה, משמשת כהגנה במקרה הגרוע ביותר, אנחנו כמובן צרכים לעשות הכל כדי שלהאקרים בכלל לא תיהיה גישה למסד הנתונים.
אבל מה קורה אם האקר אכן הצליח להשיג את מסד הנתונים שלנו, ראשית צריך להבין שהחבר'ה של וורדפרס, השיכלו לדאוג לכך הסיסמאות של המשתמשים יהיו מקודדות.
כלומר, גם אם חלילה האקר הצליח להשיג את מסד הנתונים, עדיין לא תיהיה לו גישה לניהול האתר.
עם זאת, הקוד של "שחזור הסיסמא" איננו מקודד וזה בידיוק חור האבטחה.
מה שהאקר המומצע יעשה ברגע שהוא השיג גישה למסד הנתונים, זה לדף הכניסה של המשתמש (wp-admin) וללחוץ על הכפתור שחזור סיסמא.
מה שבעצם יקרה עכשיו זה שקישור ובו קוד שחזור סיסמא ישלח לכתובת הדוא"ל של מנהל האתר.
הבעיה היא שאותו הקוד נשמר במסד הנתונים בצורה לא מקודדת.
עכשיו יוכל האקר פשוט להכנס לכתובת :
wp-login.php?action=rp&key=HEREISTHEKEY
ולכתוב איזה סיסמא חדשה שהוא ירצה.
והופ, יש לו גישה מלאה לאתר.
אז מה עושים? פשוט מאוד, צריך לנטרל את האפשרות לשחזור סיסמא של מנהל האתר…
ואת זה עושים ע"י התוסף הזה.
אחרי התקנת התוסף, פשוט הולכים בפאנל הניהול למשתמשים, שם בוחרים את המשתמש המנהל (בדרך כלל המשתמש שלכם) ובוחרים שלא יהיה אפשר לשחזר לו את הסיסמא.
עכשיו נשאלת השאלה – אם אי אפשר לשחזר סיסמא, מה יקרה אם אני אשכח את הסיסמא שלי?
אבכן, ישנם מספר דרכים שאפשר לשחזר סיסמא בוורדפרס מלבד הדרך ה"מסורתית", דרך ה FTP ודרך שינוי במסד הנתונים. על כך הדון בפוסט – מדריך לאיפוס סיסמא בוורדפרס.