Если следовать рекомендациям антивирусов и везде использовать разные логины, в том числе и от админки WordPress, то легко забыть один из них. Разбираемся, как узнать и скрыть эту возможность для хакеров.
Уязвимость для поиска данных в WordPress
Для начала стоит проверить ресурс на предмет наличия этой дыры. Для начала добавляем к домену /?author=1.
Если с этого URL произошло перенаправление на страницу, где указан логин администратора, то это нужно исправлять. Через подобные страницы парсеры злоумышленников сначала определяют имя пользователя, а затем подбирают пароль на странице авторизации.
Узнать логин от админ-панели WordPress в базе данных
Большинство БД, в частности используемая в WordPress, написаны на MySQL. Если предыдущая уязвимость с поиском через айди автора уже устранена, то этот способ подойдет.
Для начала зайдите в панель управления хостингом или вашим виртуальным сервером. Чтобы узнать данные, зайдите во вкладку с базами данных (на изображении используется ispmanager), выберите нужную и перейдите в PhpMyAdmin.
Теперь открываем список таблиц, выбираем wp_users (префикс может быть другой). В ней содержится вся информация о зарегистрированных пользователях: оригинальные логины и пароли, зашифрованные методом md5. Здесь же можно восстановить или изменить данные для доступа.
Данные для входа находятся в двух соседних столбиках:user_login и user_pass. Дальше идет прочая информация: отображаемый ник, почта, ссылка на профиль, дата регистрации и отображаемое имя.
Убираем возможность узнать логин WordPress
Если злоумышленник узнает логин – подобрать пароль по взломанным базам будет не трудно. Опережая хакеров, обезопасьте свой проект.
При помощи плагина
Clearfy PRO – уникальное расширение, устраняющее практически все технические дефекты вордпресса. Одна из функций – скрытие имя аккаунта администратора.
Этот пункт находится в разделе “Защита” в настройках всего модуля. Обязательно включите его: негативного влияния на SEO он не оказывает, а безопасность улучшает.
Выгодная покупка Clearfy
Используя код
Кроме клиарфая плагинов, решающих эту задачу, нету. Остается два способа ручного изменения, один из которых – вставка в functons.php.
function wpbeginner_red_avtor() {
if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
global $wp_query;
$wp_query->set_404();
status_header(404);
} else {
redirect_canonical();
}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wpbeginner_red_avtor');Откройте встроенный редактор тем и перейдите в самый конец файла функций. Отступив строчку от предыдущего кода, вставьте нужный фрагмент. Не забудьте в конце нажать кнопку “Обновить файл” для успешного сохранения.
Редактируя .htaccess
Файл .htaccess – конфиг веб-сервера, регулирующий его работу. Изменять лишний раз не стоит – в руках неопытного сисадмина или вебмастера это может привести к неработоспособности целого сайта.
Перед внесением изменений проконсультируйтесь с техподдержкой. Новое правило может нарушить работу других.
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://site.ru/? [L,R=301]
Redirect 301 /author https://site.ru/Многочисленные 404 ошибки, особенно если включен обход по метрике, где они фиксируются, будут направлять роботов на несуществующие адреса, напрасно увеличивая нагрузку на сервер и уменьшая лимит на качественные страницы. По этой причине проставляется не ошибка “не найдено”, а вечный редирект (ответ 301) на главную.
Не забудьте поменять адрес на свой, когда будете вставлять фрагмент в файл.
Используя один из этих методов, вы сможете скрыть логин WordPress, не давая возможности узнать его хакерам.
