Блог Алексея Гончарова
Не пропустите новые статьи!

Новые статьи блога на Ваш e-mail:

Канал блога на YouTube
Где в мире читают блог
Архивы
Волшебная кнопка

Как узнать и скрыть логин админа WordPress сайта

как скрыть логин

Доброго времени суток, уважаемые читатели! Сегодня речь пойдёт о том, как узнать и скрыть логин админа WordPress сайта. Наверняка ваш логин от блога виден на всю Сеть!   *sos* Наконец-то у меня дошли руки написать эту статью. Хотя «жареный петух» меня уже клевал, но всё было не до того.

Накануне публикации поста пришлось перелопатить кучу статей из Гугла по этой же теме – поиска логина и его сокрытия с глаз долой с целью выяснения, во-первых, популярности темы, а во-вторых, выяснения подробностей у других, этот вопрос поднявших.

Как вы уже убедились по картинке вначале, запрос про взлом пароля отнюдь не низкочастотный, однако! :shock:  Но самое страшное в этом знаете что?

А то, что при наличии у злоумышленника одной переменной (логина) из неизвестных двух (+пароль), его задача упрощается ровно в два раза!

Речь про логин я, понятное дело, веду в привязке к безопасности и противовзломной стойкости сайта. И вот от этой «печки» и будем плясать.

Косяк в безопасности сайтов на WordPress кроется не только в популярности самой платформы, но и в недоработках тем для этих самых сайтов.

Насчет популярности платформы спорить трудно, так как счётчик скачивания последней версии движка (на момент написания) перевалил за 17 миллионов! А чем популярнее какая-то штука, тем больше становится известно не только о сильных сторонах, объясняющих эту самую популярность, но и о слабостях – читай, уязвимостях. И нехорошие редиски   *zloy*  об этом прекрасно знают, к сожалению. 

Как узнать логин админа на самом сайте c WordPress?

А теперь то, к чему клонил все эти строки.

Изначально наша горячо любимая платформа задумывалась так, чтобы удовлетворить как можно большее количество потребностей ведения блогов и сайтов. Ввиду гибкости, в ней изначально заложены функции, которые призваны облегчить восприятие контента у пользователей ресурса.

Другими словами – если авторов постов на сайте несколько, а читатель отдаёт предпочтение одному из них, то движок запросто предложит возможность посетителю просмотреть все статьи, относящиеся именно к предпочитаемому автору. Под это свойство «заточены» и многие темы – шаблоны сайтов.

И всё бы ничего, если бы не предательское свойство wordpress-а «светить» не именем автора, а его логином!  *think*

В моей самодельной теме тоже присутствует был этот баг – под заголовком каждой статьи есть поле со ссылкой, где указан я, как автор. Но при наведении мышки на эту ссылку виден был логин в админку, а при переходе по ней вам будет был выдан список всех моих статей и в браузере будет был логин в админку. Так было до написания этой статьи, как на картинке ниже:

Проверьте, кстати, ваш сайт – у вас есть такая ссылка? Если есть, то вы попали на эту статью не зря! Ведь именно за этим я и решил написать этот пост – чтобы убрать ссылку и скрыть логин. Вернее у себя я это уже сделал в процессе написания статьи.

Как скрыть логин админа сайта – что делать-то?

Скажу сразу, что решений здесь несколько, а сама тема защиты блога от взлома настолько обширна, что в одной статье всё описать невозможно. Поэтому, если вам эта тема интересна, то не пропустите следующих статей, тем более, что когда они выйдут я и сам не знаю *pardon*  …

Кстати, если у вас на сайте нет ссылки с вашим авторством, то это вовсе не значит, что нет раздела сайта с вашим логином – вот такая предательская штука наш WordPress, увы и ах!

Проверить это элементарно просто – вбейте в адресную строку браузера следующий адрес:

http://вашсайт.ru/?author=1

и вы попадёте как раз в тот самый раздел статей с вашим логином. Прикольно, не правда ли?

У меня такой фокус уже не пройдёт, так как меры приняты – читайте статью до конца и тоже узнаете про эти меры  ;)

Всё гениальное – просто! Так же подумали и разработчики платформы, когда первому админу вордпресса соответствует ID №1 и так далее – именно поэтому запрос /?author=1 отправит вас на ваш логин.

Но сначала…

Для начала надо избавиться от ссылки на автора – уже это поубавит пылу у особо любопытных созданий, да и светить им на всю Сеть незачем, правильно?

Конечно, тот алгоритм избавления от ссылки на автора статей, который я изложу далее, будет справедлив только для тех сайтов, темы которых подобны моей. Для всех остальных останется принцип, а детали могут значительно отличаться – имейте это ввиду!

Также учтите, что взявшись за редактирование файлов темы сайта, вы сами отвечаете за работоспособность вашего ресурса и все риски за его «падение» берёте на себя! Это я так, предвосхищая возможные вопросы, забегаю вперёд. Кстати, по этой же причине я не стал записывать видео – так как вопрос слишком специфический и узкоспециализированный, но, надеюсь, этой статьи будет достаточно тем желающим, кто решит проделать то же самое.

В своё время, ещё до повторного редизайна, я пытался найти решение уборки ссылки сугубо научным методом – методом тыка.  Сколько раз сайт «падал» я не помню, но помню, что много – очень много… Да, такой я хреновый кодер  :-))

Так вот, чтобы вам не приходить в ужас от пустого белого экрана вместо вашего ресурса, позаботьтесь о безопасности заранее – сделайте резервную копию сайта и его баз данных, потренируйтесь на подопытном кролике и выполняйте окончательные работы с учётом защиты файлов при их редактировании – не пожалеете!

Теперь сама суть. В моей теме за вывод ссылки на автора отвечает файл функций – functions.php. А за вызов функции вывода ссылки (оборот – лучше не придумаешь! :)  ) отвечают уже два файла – для главной страницы сайта и для самих статей – content.php, и content-single.php, соответственно.

Если вы захотите просто убрать показ блока автора в статьях, ну чтобы его не было совсем, то в файлах content.php и content-single.php нужно убрать слово author в строке каждого файла:

‘before’ => theme_get_metadata_icons(‘date,author,edit’, ‘header’),

Этого уже будет достаточно и автор исчезнет как таковой. Но для себя этот метод я не использовал – пускай будет видно, кто написал столько «многа букафф»!  :mail:  Кстати, если слова date, author, edit поменять местами (соблюдая синтаксис!), то изменится порядок вывода этих полей в теме сайта – вдруг, это вам пригодится.

Поэтому идём дальше. Чтобы автор остался, но ссылка на него исчезла, надо поковырять код уже в файле functions.php. Это можно делать и в редакторе самого движка, прямо на хостинге, но лучше в стороннем редакторе – бесплатный Notepad++ отлично подойдёт. Как-нибудь надо про него статейку забабахать, :scratch:  однако.

Ищем строки вида:

359
360
361
362
363
364
365
366
367
case 'author':
 $result[] = '<span class="art-postauthoricon">' . sprintf(__('<span class="%1$s">By</span> %2$s', THEME_NS),
 'author',
 sprintf( '<span class="author vcard"><a class="url fn n" href="%1$s" title="%2$s">%3$s</a></span>',
 get_author_posts_url( get_the_author_meta( 'ID' ) ),
 sprintf( esc_attr(__( 'View all posts by %s', THEME_NS )), get_the_author() ),
 get_the_author()
 )
 ) . '</span>';

и там аккуратно выделяем кусок кода (при условии, что код аналогичный!), как на картинке ниже - она кликабельна, откроется в полном размере в новой вкладке:

как скрыть логин админа WordPress

И удаляем выделенный кусок, обновляем файл. Если сайт не «умер», то вы сделали всё правильно и ссылка на автора обязана исчезнуть. Если так и произошло, то я вас поздравляю!  *bravo*

Да, если код у вас отличается, то вы не отчаивайтесь – посмотрите видео из этой статьи и воспользуйтесь тем же инструментом для поиска нужного участка кода – всё получится!  :aga:

Но радоваться ещё не время, так как это только часть работы и победы.

Теперь нужно закрыть доступ к запросу http://вашсайт.ru/?author=1, чтоб всяк туда входящий, ни с чем оставлен был – о как!  B-)

Если же эту «заплатку» не сделать, то всё вышеописанное будет проделано зазря.  :negative:

Чтобы закрыть доступ к вышеупомянутому запросу (могу предположить, что вы до сего дня не слышали о нём), понадобится добавить одну строку в файл управления вашим сервером на хостинге   *scare* – не пугайтесь это не страшно.

Это крохотный файл .htaccess, который задаёт параметры работы «сервака». С его помощью мы сделаем безусловный редирект с запроса на главную страницу вашего сайта.  *ku-patsak*

Итак, находите этот файлик в корневой папке вашего сайта public_html, выделяете и в панели управления хостингом (или через FTP, как хотите) выбираете редактировать. В открывшемся окошке надо в тело файла вставить следующую строку:

RedirectMatch Permanent ^/author/admin$ http://вашсайт.ru

Сохраняете файл и идёте проверять запрос на своём сайте.

Если всё правильно, то при обращении к странице автора вас должно перебросить на главную.  *dance*

Перед проверкой надо почистить кэш и куки в браузере, иначе может не получиться. Если у вас установлен плагин КЭШа на сайте, то, возможно, его тоже надо будет отключить для проверки, но у меня его нет, поэтому это предположение.

Если снова не сработало, то со строкой кода может быть один нюанс, связанный с отображением слеша «/» в браузере: Хром его точно не показывает! Но если слеш есть, то код надо вставить вместе с ним на конце – иначе не сработает, по крайней мере у меня так было.

Проще всего сделать так: перейти по адресу на автора, который у вас ещё есть, скопировать ссылку из браузера и уже оттуда вставить его в код. Чтобы было яснее:

без «/» будет так: ^/author/admin$,

а с «/» так: ^/author/admin/$.

Если после всех манипуляций всё получилось, то я вас поздравляю с укреплением стойкости вашего сайта! Но не обольщайтесь, ибо, как я уже писал выше – это только часть пути! Но уже это сделает ваш блог чуточку сильнее. А как усилить защиту ещё больше, расскажу в следующий разприходите!

Вот как можно узнать и скрыть логин админа WordPress блога. Надеюсь, не сильно запутанно пояснил? *pardon*  Если что, пишите и расскажите вашим друзьям про пост – пусть и они усиливают защиту.  ;)

На этом пока всё, думаю, хватит. Спасибо, что дочитали. *spasibo*  До новых встреч!  :bye:

А это для настроения, немного автомобильное видео, но зато про смекалку – интересное, посмотрите!  :good:

Пройдись по кнопочкам, расскажи о статье друзьям - это к деньгам!

Новые статьи блога на Ваш e-mail:

9 комментариев: Как узнать и скрыть логин админа WordPress сайта

  • Похожего кода в функциях сайта у себя не нашла, а вот в файл .htaccess зашла и внесла изменения… Теперь меня перекидывает на главную, при попытке узнать, кто там первый админ….

    • Дык, смысл статьи не в этом! :wacko: Какой толк делать запрет, если логин всё равно виден всем и каждому? *think* Логин скрыть надо, а уже потом запрет делать!
      В статье ссылочка есть на ещё одну статью с видео, где показывал инструмент поиска нужного кода, если тот отличается – да кто ж его посмотрит… *sorry*

  • А у меня админ изначально был скрыт

  • Алексей, спасибо. Ошибку учла. Но это не главное, я не совсем правильно изложила мысль. С нетерпением жду обещанную новую тему.

  • Алексей, спасибо за статью и видео как всегда все очень подробно. К сожалению я еще наверное не скоро буду готова к работе с кодам, даже “хреновый кодер” для меня будет огромным комплиментом. Но вопрос все равно решать надо. Где-то читала, что можно входить на сайт под одним именем (логином), а в статьях и комментах отображать другое. Вроде всё это настраивается в админпанели сайта. Подскажите пожалуйста как это делается. Ведь тогда можно будет до какого-то времени не копаться в кодах и не мучиться от страха на хостинге. *blush*
    Ссылка есть, но она не кликабельная. При переходе сайт.ru/author/=1 попадаю на главную.

    • Раиса, вы ссылку неправильно пишете, поэтому попадаете не туда. У вас на сайте ваш архив автора с логином есть, он появляется при переходе по ссылке, как в статье.
      Про ваш вопрос – это тема отдельной статьи, дождитесь её и все поймёте ;)

  • Помню, мы обсуждали эту проблему с тобой. Мой старый сайт был нокаутирован пару раз. Молодец – нашел решение. :good:

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

:) 
*hi* 
;) 
:-( 
:good: 
:aga: 
*blush* 
:negative: 
:yahoo: 
B-) 
*bravo* 
*klass* 
:shock: 
:-)) 
Больше смайлов!..
 
Обменник.ws » Автоматический обмен Webmoney