Seo-Бизнес блог Progress-project

Все о создании, продвижении сайтов и заработке в интернете

Обновлённый дизайн блога Progress-project
logotip «Progress-project»
logotip «Progress-project»

Безопасность wordpress, защищаем логин администратора

Здравствуйте, рад приветствовать Вас на «Progress-project», сегодня мы затронем тему настройки безопасности wordpress ресурсов, рассмотрим, как защитить логин администратора и через какие именно дыры wordpress, злоумышленники чаще всего собирают начальную информацию для взлома.

Конечно вся тема безопасности wordpress довольно широка и поэтому сегодня мы коснёмся только края, защиты админки wordpress. А именно логина администратора, о защите пароля речь у нас с Вами пойдёт в одной из следующих статей, подпишитесь на обновления, чтобы не пропустить.

Почему же я решил начать именно с защиты логина администратора?
Да просто потому что в большинстве случаев у начинающих и не только веб-мастеров именно логин администратора находится без малейшего преувеличения на самом видном месте! Да да именно так и вполне возможно, что и у вас тоже, конечно если вы используете стандартную, бесплатную тему.

Дыры в безопасности wordpress или, как легко узнать логин администратора

Итак, давайте рассмотрим самые распространённые дыры wordpress тем из которых легко можно узнать логин администратора, проанализируем свой ресурс и при выявлении постараемся их залатать.

И здесь думаю следует начать с самого распространённого, можно даже сказать классического способа определения реального логина администратора, с помощью его ответов на комментарии.

Просто выделяем имя и смотрим его исходный код, логин здесь будет либо задан в классе css стилей либо же в самом имени:

То есть в данном случае логин администратора: sanyok (санёк):

<li class="comment byuser comment-author-sanyok bypostauthor odd alt depth-2 parent" id="comment-2">

Вот ещё один похожий пример с одного довольно известного СЕО блога:

Думаю автор не сильно на меня обидится увидев здесь логин своего ресурса:

  • 77fbd607729bb18607219b2e46fc10ee

Как видите сколько человек не старался придумать для своего блога надёжный, замысловатый логин, это не может гарантировать надёжную защиту, так как находится он в общем доступе.

Если у Вас так же логин администратора выводится в имени или css стилях, давайте будим от этого избавляться.

Итак, самый лучший и надёжный способ скрытия логина из комментариев, это установка в файл темы functions.php, специального кода:

function hide_login_in_name($author){
 if(strstr($author,"admin")) {
 // меняем admin на свой логин
 return "Ваше имя";
 }
 // т.е. вместо логина можно выводить например Ваше имя
 return $author;
}
 
add_filter('get_comment_author', 'hide_login_in_name');

Открываем данный файл темы для редактирования, опускаемся в самый его низ и перед значком: ?> вставляем код, далее изменяем: admin на ваш логин, указываем имя или что либо ещё и сохраняем изменения.

Чтобы избавится от логина в классе CSS стилей, в этот же файл вставляем следующий код:

function hide_login_in_css_class( $classes ) {
 foreach( $classes as $key => $class ) {
 if(strstr($class, "comment-author-admin")) {
 // меняем admin на свой логин
 $classes[$key] = 'comment-author-admin';
 // здесь так же вместо admin указываем новый css класс к комментаиям администратора
 }
 }
 return $classes;
}
 
add_filter('comment_class', 'hide_login_in_css_class');

Если css класс оставить в коде без изменения, можно немного запутать злоумышленников, так как в этом случае они посчитают, что у вас используется стандартный логин wordpress.

Ещё один способ, как узнать логин администратора WordPress

Данный вариант так же прост и достаточно распространён, Вам всего навсего достаточно будет ввести в адресную строку браузера, следующий запрос:

https://адрес сайта.ru/?author=1

Цифрой 1 мы выбрали именно администратора ресурса, поменяв её на 2, 3 и т д, можно узнать логины всех зарегистрированных пользователей:

Как видите и здесь у нас всё, как на ладони.
Так же проверяем свой сайт или блог и при необходимости затыкаем эти дыры wordpress.

Сделать этом можно с помощью файла: «.htaccess», прописав в самый низ следующую строку:

RedirectMatch Permanent ^/author/Логин$ https://сайт.ру

Изменив логин и сайт на соответствующие.
Сразу же хочу заметить, что данный способ самый простой, но срабатывает он к сожалению далеко не во всех случаях. По этому можно сделать немного по другому:

RewriteEngine On
RewriteCond %{QUERY_STRING} ^author=.$
RewriteRule ^(.*)$ /? [R=301,L]

Всё после этого человека пытающегося посмотреть таким образом логин администратора wordpress, всякий раз будет перебрасывать на главную страничку блога.

Примерно всё тоже самое происходит и при выводе активной ссылки на автора записи, при клики по которой открывается страница отображаемая на конце url реальный логин автора.

Чтобы избавится от подобной ссылки, необходимо во всех файлах темы, где выводится какой либо контент, найти и удалить, примерно вот такой вот код-функцию:

<?php the_author_posts_link(); ?>

В скобках данной функции дополнительно могут быть заданны какие либо атрибуты.

На сегодня у меня всё а в следующих статьях мы продолжим защищать свой ресурс, подписывайтесь на обновления, чтобы всегда оставаться в курсе всех событий и нечего не пропустить, всего вам доброго и до новых встреч!

С уважением, автор блога!
© progress-project
★Обновлено:2016-07-19

Введите свой e-mail:

Вы можете поделиться статьёй в социальных сетях:

Ваш комментарий

Внимание! Перед тем, как вставить в комментарий: html, php либо JavaScript, преобразуйте его в HTML сущность!

» Подписаться на комментарии по RSS
Поиск по блогу

Введите свой e-mail:

ВКонтакте Google+ Facebook RSS-лента сайта abrek-ad-abra.ru

Топ комментаторов

Виктор(6)
seoonly.ru(4)
Иван(3)
Олег(3)
Николай(3)

© 2015-2017

SEO-Бизнес блог «Progress-project».

Все материалы, опубликованные на сайте: принадлежат автору и охраняются в соответствии с законодательством РФ.

При использовании материалов сайта гиперссылка на обязательна!



seo-блог