Как легко узнать логин WordPress и спрятать его от взломщиков

Безопасность

Используя много разных связок логин:пароль от разных сервисов, можно забывать одну из них. Тут помогают средства восстановления, однако в WordPress эта функция не всегда корректно работает. Разберемся, как узнать и убрать эти сведения для злоумышленников.

Узнать, используя заводскую дыру

Самый распространенный способ, которым парсят логин от админки по URL: /?author=1 (страница нулевого автора). Увидеть эту проблему авторизации наглядно можно на любом неоптимизированном WordPress сайте, добавив приписку в урл:

узнать логин WordPress

Если проблема подтвердилось и на открывшейся странице отображаются приватные сведения, то совершить атаку на ваш сайт может рандомный пользователь.

Подводя итог, проблема отображения логина — одна из многих дыр в комплексной безопасности. Лучше ее убрать.

Узнать в базе данных

Работающая под управлением MySQL база данных, применяемая в WordPress, помогает также узнать логин. Этот метод, как и предыдущий безопасен, однако чтобы не нарушить работу ресурса, лучше ничего не менять в интерфейсе, а восстановить и узнать их.

Чтобы открыть панель управления БД, перейдите в менеджер вашего сервера (если не знаете как — уточните у технической поддержки, они подскажут где взять данные и урл панели), после нажмите на вкладку “Базы данных” (на иллюстрации ISPManager).

узнать логин WordPress

После выберите графический интерфейс. Часто это консоль PHPMyAdmin или ее аналог PHPPgAdmin. Их различие заключается в использовании в различных базах данных.

После этого откройте таблицу wp_users, отвечающую за всех пользователей, зарегистрированных в административной панеле. В случае с PMA это раздел в левом боковом меню.

скриншот бд

После откроется панель, в которой по столбикам будут отображаться используемые для входа данные. Для непосредственного доступа к админке необходим первый и второй столбик: в первом (user_login) указан логин (узнать его), а во втором зашифрованный методом md5 пароль (user_pass). 

Защищаем логин в WordPress

За все время существования CMS, в интернете есть лишь один плагин, который решает проблему безопасности никнейма. Если не прибегать к расширению, то можно воспользоваться системной функцией WordPress или редактированием веб-конфига.

При помощи Clearfy PRO

защита в клиарфае

Самый легкий и наиболее понятный для новичка вариант. В целях безопасности и исправления технических ошибок, в клиарфае предусмотрена возможность скрытия отдельной страницы с логином так, чтобы её невозможно было определить.

Промик на покупку

Через PHP функцию

Один из вариантов самостоятельной правки — внедрение кастомной функции, которая будет решать поставленную задачу.

Чтобы ее вставить, перейдите во встроенный редактор тем (находится во вкладке “Внешний вид”) или найти в директиве темы файл functions.php и на самых последних строчках вставьте следующий фрагмент:

function wpbeginner_red_avtor() {
	if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
		global $wp_query;
		$wp_query->set_404();
		status_header(404);
	} else {
		redirect_canonical();
	}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wpcbeginner_red_avtor');

После того, как измените, обязательно сохраните их кликом по соответствующей кнопке. 

Не исключена ситуация, при которой этот вариант окажет негативное влияние на сайт и работа ряда модулей, опций или часть верстки перестанут функционировать как должны. В таком случае, необходимо откатить изменения.

Изменяя конфигурацию веб-сервера

Крайне сложный и непонятный новичкам в области вебмастеринга способ. В нем необходимо прибегнуть к файлу .htaccess, отвечающего за правильную работу всего хостинга. 

Прежде чем его редактировать, обязательно удостоверьтесь в том, что прочли все инструкции. На всякий случай можно попросить сотрудников технической поддержки в рамках системного администрирования произвести настройки самим.

Для начала найдите строчку “#END WordPress” — все вносимые администратором правила должны идти после нее. Дальше вставьте код, изменив site.ru на адрес вашего ресурса:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://site.ru/? [L,R=301]
Redirect 301 /author https://site.ru/

Теперь сохраните изменения и проверьте сайт на возможные ошибки. Также в коде я не советую изменять 301 редирект на 404, потому что перманентное перенаправление поможет уменьшить объем используемых ресурсов сервера.

Оцените статью
WPBasic
Добавить комментарий