Используя много разных связок логин:пароль от разных сервисов, можно забывать одну из них. Тут помогают средства восстановления, однако в WordPress эта функция не всегда корректно работает. Разберемся, как узнать и убрать эти сведения для злоумышленников.
Узнать, используя заводскую дыру
Самый распространенный способ, которым парсят логин от админки по URL: /?author=1 (страница нулевого автора). Увидеть эту проблему авторизации наглядно можно на любом неоптимизированном WordPress сайте, добавив приписку в урл:
Если проблема подтвердилось и на открывшейся странице отображаются приватные сведения, то совершить атаку на ваш сайт может рандомный пользователь.
Подводя итог, проблема отображения логина — одна из многих дыр в комплексной безопасности. Лучше ее убрать.
Узнать в базе данных
Работающая под управлением MySQL база данных, применяемая в WordPress, помогает также узнать логин. Этот метод, как и предыдущий безопасен, однако чтобы не нарушить работу ресурса, лучше ничего не менять в интерфейсе, а восстановить и узнать их.
Чтобы открыть панель управления БД, перейдите в менеджер вашего сервера (если не знаете как — уточните у технической поддержки, они подскажут где взять данные и урл панели), после нажмите на вкладку “Базы данных” (на иллюстрации ISPManager).
После выберите графический интерфейс. Часто это консоль PHPMyAdmin или ее аналог PHPPgAdmin. Их различие заключается в использовании в различных базах данных.
После этого откройте таблицу wp_users, отвечающую за всех пользователей, зарегистрированных в административной панеле. В случае с PMA это раздел в левом боковом меню.
После откроется панель, в которой по столбикам будут отображаться используемые для входа данные. Для непосредственного доступа к админке необходим первый и второй столбик: в первом (user_login) указан логин (узнать его), а во втором зашифрованный методом md5 пароль (user_pass).
Защищаем логин в WordPress
За все время существования CMS, в интернете есть лишь один плагин, который решает проблему безопасности никнейма. Если не прибегать к расширению, то можно воспользоваться системной функцией WordPress или редактированием веб-конфига.
При помощи Clearfy PRO
Самый легкий и наиболее понятный для новичка вариант. В целях безопасности и исправления технических ошибок, в клиарфае предусмотрена возможность скрытия отдельной страницы с логином так, чтобы её невозможно было определить.
Промик на покупку
Через PHP функцию
Один из вариантов самостоятельной правки — внедрение кастомной функции, которая будет решать поставленную задачу.
Чтобы ее вставить, перейдите во встроенный редактор тем (находится во вкладке “Внешний вид”) или найти в директиве темы файл functions.php и на самых последних строчках вставьте следующий фрагмент:
function wpbeginner_red_avtor() {
if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
global $wp_query;
$wp_query->set_404();
status_header(404);
} else {
redirect_canonical();
}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wpcbeginner_red_avtor');После того, как измените, обязательно сохраните их кликом по соответствующей кнопке.
Не исключена ситуация, при которой этот вариант окажет негативное влияние на сайт и работа ряда модулей, опций или часть верстки перестанут функционировать как должны. В таком случае, необходимо откатить изменения.
Изменяя конфигурацию веб-сервера
Крайне сложный и непонятный новичкам в области вебмастеринга способ. В нем необходимо прибегнуть к файлу .htaccess, отвечающего за правильную работу всего хостинга.
Прежде чем его редактировать, обязательно удостоверьтесь в том, что прочли все инструкции. На всякий случай можно попросить сотрудников технической поддержки в рамках системного администрирования произвести настройки самим.
Для начала найдите строчку “#END WordPress” — все вносимые администратором правила должны идти после нее. Дальше вставьте код, изменив site.ru на адрес вашего ресурса:
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://site.ru/? [L,R=301]
Redirect 301 /author https://site.ru/Теперь сохраните изменения и проверьте сайт на возможные ошибки. Также в коде я не советую изменять 301 редирект на 404, потому что перманентное перенаправление поможет уменьшить объем используемых ресурсов сервера.
