Как узнать логин от админки WordPress и защитить его от хакеров

Безопасность

Если следовать рекомендациям антивирусов и везде использовать разные логины, в том числе и от админки WordPress, то легко забыть один из них. Разбираемся, как узнать и скрыть эту возможность для хакеров.

Уязвимость для поиска данных в WordPress

Для начала стоит проверить ресурс на предмет наличия этой дыры. Для начала добавляем к домену /?author=1.

Способа парсинга имени аккаунта администратора

Если с этого URL произошло перенаправление на страницу, где указан логин администратора, то это нужно исправлять. Через подобные страницы парсеры злоумышленников сначала определяют имя пользователя, а затем подбирают пароль на странице авторизации.

Узнать логин от админ-панели WordPress в базе данных

Большинство БД, в частности используемая в WordPress, написаны на MySQL. Если предыдущая уязвимость с поиском через айди автора уже устранена, то этот способ подойдет.

Для начала зайдите в панель управления хостингом или вашим виртуальным сервером. Чтобы узнать данные, зайдите во вкладку с базами данных (на изображении используется ispmanager), выберите нужную и перейдите в PhpMyAdmin.

Узнать логин WordPress

Теперь открываем список таблиц, выбираем wp_users (префикс может быть другой). В ней содержится вся информация о зарегистрированных пользователях: оригинальные логины и пароли, зашифрованные методом md5. Здесь же можно восстановить или изменить данные для доступа.

Доступ ко всем таблицам

Данные для входа находятся в двух соседних столбиках:user_login и user_pass. Дальше идет прочая информация: отображаемый ник, почта, ссылка на профиль, дата регистрации и отображаемое имя.

Узнать информацию об аккаунте

Убираем возможность узнать логин WordPress

Если злоумышленник узнает логин – подобрать пароль по взломанным базам будет не трудно. Опережая хакеров, обезопасьте свой проект.

При помощи плагина

Clearfy PRO – уникальное расширение, устраняющее практически все технические дефекты вордпресса. Одна из функций – скрытие имя аккаунта администратора.

Чекбокс в настройках

Этот пункт находится в разделе «Защита» в настройках всего модуля. Обязательно включите его: негативного влияния на SEO он не оказывает, а безопасность улучшает.

Clearfy

Используя код

Кроме клиарфая плагинов, решающих эту задачу, нету. Остается два способа ручного изменения, один из которых – вставка в functons.php.

function wpbeginner_red_avtor() {
	if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
		global $wp_query;
		$wp_query->set_404();
		status_header(404);
	} else {
		redirect_canonical();
	}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wpbeginner_red_avtor');

Откройте встроенный редактор тем и перейдите в самый конец файла функций. Отступив строчку от предыдущего кода, вставьте нужный фрагмент. Не забудьте в конце нажать кнопку «Обновить файл» для успешного сохранения.

Редактируя .htaccess

Файл .htaccess – конфиг веб-сервера, регулирующий его работу. Изменять лишний раз не стоит – в руках неопытного сисадмина или вебмастера это может привести к неработоспособности целого сайта.

Перед внесением изменений проконсультируйтесь с техподдержкой. Новое правило может нарушить работу других.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://site.ru/? [L,R=301]
Redirect 301 /author https://site.ru/

Многочисленные 404 ошибки, особенно если включен обход по метрике, где они фиксируются, будут направлять роботов на несуществующие адреса, напрасно увеличивая нагрузку на сервер и уменьшая лимит на качественные страницы. По этой причине проставляется не ошибка «не найдено», а вечный редирект (ответ 301) на главную.

Не забудьте поменять адрес на свой, когда будете вставлять фрагмент в файл.

Используя один из этих методов, вы сможете скрыть логин WordPress, не давая возможности узнать его хакерам.

Оцените статью
WPBeginner
Добавить комментарий