Скрыть логин администратора WordPress и отключить интерфейс XML-RPC. Скрываем логин администратора сайта на wordpress


Как скрыть логин администратора/админа в WordPress?

 

Начиная с сегодняшней статьи, я решил опубликовать на своем блоге lite-zarabotok.ru целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.

Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.

Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.

Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.

Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.

Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи» — «Ваш профиль». Там в графе «Отображать как» можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:

Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.

Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1», увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.

Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.

Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин», то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.

Как скрыть логин администратора/админа в WordPress?

Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:

Найти в корне своего сайта файл «.htaccess» и отредактировать его, добавив в него перед строчкой «# END WordPress» следующие строчки кода:

RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule ^(.*)$ http://vash-site.ru/? [L,R=301] Redirect 301 /author http://vash-site.ru

Перед редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.

При этом, вот этот адрес в коде — «http://vash-site.ru», вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.

После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.

Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.

Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и защиту от перебора пароля.

На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.

Рекомендую посетить следующие страницы:

lite-zarabotok.ru

Скрыть логин администратора WordPress и отключить интерфейс XML-RPC | ТВОЙ ПОМОЩНИК

Написал Елена Молгачева в 18 июня 2015, 17:00 Отредактировано: 23 марта 2016, 16:02

Скрыть-логин-администратора WordPressСайт пытались взломать?

Для защиты своего сайта на Вордпресс нужно обязательно скрыть логин администратора WordPress и отключить интерфейс XML-RPC. Поделюсь информацией о том, почему это важно.

Так случилось, что мой сайт несколько месяцев был в опале у Яндекса.

Но 11.06.2015 эта опала также внезапно закончилась, как и прежде (14.09.2014) началась.

Трафик с Яндекса начал возрастать. Но именно в этот момент я столкнулась с другой проблемой: какие-то злоумышленники начали штурмовать мой сайт.

Но из-за того, что эти два события совпали, негатив не сразу бросился в глаза.

Да и не было у меня раньше опыта борьбы с подобными отрицательными явлениями и желающими чем-то там поживиться на моем блоге.

До этого я сталкивалась только со случаями копирования своего контента (ну, что же, значит он действительно полезный и достоин внимания). А в самом начале своей творческой деятельности я ухитрилась добровольно разместить вредоносный код на сайте по неосторожности.

Но, вернемся к теме. Рассказываю о случившемся.

Однажды вечером я решила посетить административную панель своего блога, чтобы внести некоторые изменения. Но сделать это мне никак не удавалось.

Выдавалась ошибка 503. Возникла какая-то проблема с недостаточной пропускной способностью ресурса.

сервис-недоступенНа следующее утро я уже не могла зайти на свой блог не только как администратор, но даже и как простой посетитель попадала туда только через раз. По-прежнему выдавалось сообщение о недостаточной пропускной способности. Сервис временно недоступен.

Это показалось мне подозрительным, и я обратилась на свой хостинг к специалистам.

Они оценили ситуацию и обнаружили большое количество запросов к сайту через алгоритм XML-RPC. И отключили такую возможность для моего сайта, о чем и сообщили в письме.

Заблокировали-запросы-к-файлу

Я стала разбираться, что это такое и откуда взялось.

Как запретить интерфейс XML-RPC для WordPress

Как отключить интерфейс XML-RPC для WordPress

Многие, также как и я, пользуются для организации своего блога готовыми шаблонами WordPress. А эта CMS (Content management system — система управления контентом), оказывается, имеет возможность дистанционных публикаций контента через интерфейс XML-RPC.

Так вот, в начальных версиях WordPress в настройках был специальный пункт, позволявший запретить это или разрешить.

Но потом, когда разработчики решили, что этот процесс защищен уже достаточно и безопасен, они этот пункт из настроек убрали. И алгоритм XML-RPC разрешен по умолчанию, т.е. всегда.

Начинающие об этом не догадываются. А нечистые на руку грамотные специалисты пытаются этим воспользоваться.

Поэтому бывалые блогеры рекомендуют обязательно добавить дополнительные меры защиты своего сайта на WordPress.

Недостаточно только поменять логин администратора Вордпресс. Считается необходимым установить защиту от взлома, ограничив количество попыток неправильного введения пароля и запретить интерфейс XML-RPC.

Для этого существует целый ряд плагинов. Об одном из них я уже рассказывала в статье про смену логина администратора WordPress сайта.

Но рассказывать-то, рассказывала, но сама этим не воспользовалась, думая, что меня сия чаша минует. А, вот оказалось, что нет.

Укрепляем защиту сайта на Вордпресс.

1. Пришлось срочно устанавливать плагин Limit Login Attempts. Он считается не таким тяжеловесным, как другие аналогичные. И запрещает вход после нескольких неудачных попыток ввода пароля. Однако, этот плагин уже несколько лет не обновлялся, поэтому понаблюдаю, как он работает.

По правилам рекомендуется использовать плагины, которые регулярно обновляются и совместимы с последней версией Вордпресс.

Поэтому лучше выбрать тот, о котором шла речь в статье про смену логина admin администратора на другой. Там есть и видео про установку.

Но мой хостинг уже неоднократно подвергался хакерским атакам и там тоже установлены некоторые дополнительные меры защиты при входе в админку.

Поэтому я решила оставить пока более простой плагин и последить за ситуацией.

2. Добавляем плагин Disable XML-RPC, чтобы отключить интерфейс XML-RPC. Настраивать его не нужно. Достаточно просто активировать.

Добавила потому, что не знаю, как на хостинге специалисты отключили.

Этот плагин советую всем установить обязательно, чтобы не попасть в ситуацию, которая случилась со мной.

Чаще всего для взлома сайта злоумышленники как раз и пользуются автоматическим подбором пароля и дистанционным доступом по XML-RPC.

Вот и получилось, что они постоянно долбили мой сайт, пытаясь пробить в нем какую-нибудь брешь.

По этой причине и возникла ситуация, когда нормальным посетителям было трудно на него попасть, так как ресурсов сервера при такой активной непрерывной нагрузке не хватало. Поэтому и выдавалась ошибка 503 о недостаточной пропускной способности.

Спасибо специалистам Sprinthost, которые быстро идентифицировали проблему и защитили мой сайт от посягательств.

Советую всем поменять логин admin и установить плагины дополнительной защиты для Вордпресс. Береженого бог бережет!

Обратите внимание, что сообщения о снижении пропускной способности ресурса как раз и могут послужить предупреждением о том, что кто-то чересчур интенсивно ломится к Вам в гости и вовсе не с добрыми намерениями.

Позднее вечернее время — самое благоприятное для начала операций взлома. Впереди целая ночь. А ночью люди обычно спят. До утра можно управиться…

В связи с этим я отключила в Настройках обсуждения WordPress и всякого рода оповещения, которые используют интерфейс XML-RPC.

отключить-настройки-оповещения

Вот такие дела.

Еще я решила добавить некоторые меры защиты, не дожидаясь следующих поползновений.

Оказалось, что изменение логина admin на свой уникальный полностью не спасает ситуацию. Нужно еще скрыть логин администратора, чтобы его нельзя было узнать.

Как скрыть логин администратора WordPress.

Когда я делала разметку Google, то при проверке структурированных данных выяснилось, что, если стоит ссылка на все публикации автора блога (обычно такая ссылка расположена под заголовком каждой статьи – это кликабельное имя), то логин администратора прекрасно виден всем желающим при просмотре кода открытой страницы.

Поэтому на этапе подготовки страниц для проверки структурированных данных, чтобы избавиться от ошибок разметки Google, я заменила эту ссылку просто своим текстовым именем и фамилией, чтобы не светить логин. Вы можете посмотреть, как я это сделала там.

А теперь выяснилось, что я интуитивно выбрала самый простой вариант решения этой проблемы. В интернете предлагают по этому поводу гораздо более сложные и навороченные варианты.

К тому же предложенное мною решение убивает сразу двух зайцев: и ссылку убирает на имя автора, и правильные структурированные данные для Google формирует.

Но обнаружилась еще одна прореха.

Если администратор сайта отвечает на комментарии после входа в административную панель, то в дальнейшем при просмотре кода страницы (при одновременном нажатии Ctrl и U) тоже можно увидеть логин администратора в оставленных им комментариях и ответах.

Проверить это можно по поиску (Ctrl и F) в коде страницы. Попробуйте найти свой логин в коде статьи, где Вы, как администратор сайта отвечали на вопрос посетителя в комментариях.

Поэтому, если Вы хотите свой логин окончательно засекретить, то можно отвечать на комментарии без захода в административную панель, т.е. не как администратор, а как обычный посетитель сайта. Или добавить через Редактор в файл function.php дополнительную функцию, которая запрещает выводить логин комментатора в случае автора-администратора. Просто добавить код в конец этого файла перед последним вопросительным знаком.

Как это сделала я.

вставить-код-функции

Узнать более подробно и скопировать код функции можно здесь.

Мне показалось, что это самые простые способы скрыть логин администратора Вордпресс.Проверено на себе. Все получилось.

Если кто-то знает, как это сделать еще проще, напишите, или дайте ссылку в комментариях к этой статье.

Узнайте, как мне пришлось дополнительно усилить безопасность в связи с большим количеством запросов к несуществующим страницам на моем сайте, и какие средства помогают обеспечить более  надежную современную автоматизированную защиту WordPress.

Елена и tvoy-internet.ru

tvoy-internet.ru

Манипуляции с логином администратора в комментариях в WordPress

Блог  /  WordPress  /  Манипуляции с логином администратора в комментариях

Помните статью, в которой мы редактировали сообщения об ошибках на странице входа в админку? Для того, чтобы недоброжелатели на усекли наш настоящий логин.

Сегодня же мы представим себя в шкуре тех самых недоброжелателей, которым позарез понадобился логин администратора в WordPress. Возможно у нас уже даже появилось несколько догадок посчет этого и мы хотим убедиться в своей правоте на странице /wp-admin путём подстановки в форму входа.

В итоге натыкаемся на хрень:

ошибка при подборе на английском

Успокаивает лишь то, что админка не залочена по IP и автор либо лентяй, либо нуб. Не замечаете ничего подозрительного?

Да ведь сам движок на русском, а ошибка на английском, это значит, что владелец сайта просто скопировал готовый хук с какого-то зарубежного блога как есть и сидит довольный, чувствуя себя в безопасности.

И где же можно выудить логин? В комментах уж.

Нужно найти комментарии, оставленные администратором. В основном это определяется по контексту, хотя зачастую они бывают выделены при помощи CSS-стилей.

Итак, нашли. Где может быть логин — либо прямо в имени, либо в CSS-классе.

логин админа в css-классе

Отлично, администраторский юзернейм у нас в руках! (в примере это boss5)

А теперь защищаем свой собственный сайт:

Скрываем логин в имени комментирующего

Тут два простейших способа, первый — через админку. Заходим в «Ваш профиль», вписываем имя и фамилию (естественно никто вас не заставляет указывать настоящие) и меняем отображение — подробнее на скрине:

меню профиль пользователя WordPress

Второй способ — вставляем этот код в functions.php:

function hide_login_in_name($author){ if(strstr($author,"boss5")) { // меняем boss5 на свой логин return "Миша"; } // т.е. вместо логина будет отображаться например ваше имя return $author; }   add_filter('get_comment_author', 'hide_login_in_name');

Избавляемся от логина в CSS-классе

Код вставляем туде же.

function hide_login_in_css_class( $classes ) { foreach( $classes as $key => $class ) { if(strstr($class, "comment-author-boss5")) { // меняем boss5 на свой логин $classes[$key] = 'comment-author-admin'; // новый css класс в комментах администратора } } return $classes; }   add_filter('comment_class', 'hide_login_in_css_class');

Почему я выбрал класс «comment-author-admin»? А пускай злоумышленники думают, будто бы у нас на блоге используется логин администратора по умолчанию.

Хочу обратить внимание на отдельный случай.

Допустим, у меня крупный портал, на котором зарегистрированы тысячи пользователей. Не хотелось бы палить их юзернеймы в коде, верно? В таком случае лучше избавиться от CSS-класса вообще! Для этого код:

function remove_css_class( $classes ) { foreach( $classes as $key => $class ) { if(strstr($class, "comment-author-")) { unset( $classes[$key] ); } } return $classes; } add_filter('comment_class', 'remove_css_class');

Смотрите также

misha.blog

Как узнать и скрыть логин админа Wordpress сайта от всех

как скрыть логин

Доброго времени суток, уважаемые читатели! Сегодня речь пойдёт о том, как узнать и скрыть логин админа WordPress сайта. Наверняка ваш логин от блога виден на всю Сеть!   *sos*Наконец-то у меня дошли руки написать эту статью. Хотя «жареный петух» меня уже клевал, но всё было не до того.

Накануне публикации поста пришлось перелопатить кучу статей из Гугла по этой же теме – поиска логина и его сокрытия с глаз долой с целью выяснения, во-первых, популярности темы, а во-вторых, выяснения подробностей у других, этот вопрос поднявших.

Как вы уже убедились по картинке вначале, запрос про взлом пароля отнюдь не низкочастотный, однако! :shock:  Но самое страшное в этом знаете что?

А то, что при наличии у злоумышленника одной переменной (логина) из неизвестных двух (+пароль), его задача упрощается ровно в два раза!

Речь про логин я, понятное дело, веду в привязке к безопасности и противовзломной стойкости сайта. И вот от этой «печки» и будем плясать.

Косяк в безопасности сайтов на WordPress кроется не только в популярности самой платформы, но и в недоработках тем для этих самых сайтов.

Насчет популярности платформы спорить трудно, так как счётчик скачивания последней версии движка (на момент написания) перевалил за 17 миллионов! А чем популярнее какая-то штука, тем больше становится известно не только о сильных сторонах, объясняющих эту самую популярность, но и о слабостях – читай, уязвимостях. И нехорошие редиски   *zloy*  об этом прекрасно знают, к сожалению. 

Как узнать логин админа на самом сайте c WordPress?

А теперь то, к чему клонил все эти строки.

Изначально наша горячо любимая платформа задумывалась так, чтобы удовлетворить как можно большее количество потребностей ведения блогов и сайтов. Ввиду гибкости, в ней изначально заложены функции, которые призваны облегчить восприятие контента у пользователей ресурса.

Другими словами – если авторов постов на сайте несколько, а читатель отдаёт предпочтение одному из них, то движок запросто предложит возможность посетителю просмотреть все статьи, относящиеся именно к предпочитаемому автору. Под это свойство «заточены» и многие темы – шаблоны сайтов.

И всё бы ничего, если бы не предательское свойство wordpress-а «светить» не именем автора, а его логином!  *think*

В моей самодельной теме тоже присутствует был этот баг – под заголовком каждой статьи есть поле со ссылкой, где указан я, как автор. Но при наведении мышки на эту ссылку виден был логин в админку, а при переходе по ней вам будет был выдан список всех моих статей и в браузере будет был логин в админку. Так было до написания этой статьи, как на картинке ниже:

Проверьте, кстати, ваш сайт – у вас есть такая ссылка? Если есть, то вы попали на эту статью не зря! Ведь именно за этим я и решил написать этот пост – чтобы убрать ссылку и скрыть логин. Вернее у себя я это уже сделал в процессе написания статьи.

Как скрыть логин админа сайта – что делать-то?

Скажу сразу, что решений здесь несколько, а сама тема защиты блога от взлома настолько обширна, что в одной статье всё описать невозможно. Поэтому, если вам эта тема интересна, то не пропустите следующих статей, тем более, что когда они выйдут я и сам не знаю *pardon*  …

Кстати, если у вас на сайте нет ссылки с вашим авторством, то это вовсе не значит, что нет раздела сайта с вашим логином – вот такая предательская штука наш WordPress, увы и ах!

Проверить это элементарно просто – вбейте в адресную строку браузера следующий адрес:

http://вашсайт.ru/?author=1

и вы попадёте как раз в тот самый раздел статей с вашим логином. Прикольно, не правда ли?

У меня такой фокус уже не пройдёт, так как меры приняты – читайте статью до конца и тоже узнаете про эти меры  ;)

Всё гениальное – просто! Так же подумали и разработчики платформы, когда первому админу вордпресса соответствует ID №1 и так далее – именно поэтому запрос /?author=1 отправит вас на ваш логин.

Но сначала…

Для начала надо избавиться от ссылки на автора – уже это поубавит пылу у особо любопытных созданий, да и светить им на всю Сеть незачем, правильно?

Конечно, тот алгоритм избавления от ссылки на автора статей, который я изложу далее, будет справедлив только для тех сайтов, темы которых подобны моей. Для всех остальных останется принцип, а детали могут значительно отличаться – имейте это ввиду!

Также учтите, что взявшись за редактирование файлов темы сайта, вы сами отвечаете за работоспособность вашего ресурса и все риски за его «падение» берёте на себя! Это я так, предвосхищая возможные вопросы, забегаю вперёд. Кстати, по этой же причине я не стал записывать видео – так как вопрос слишком специфический и узкоспециализированный, но, надеюсь, этой статьи будет достаточно тем желающим, кто решит проделать то же самое.

В своё время, ещё до повторного редизайна, я пытался найти решение уборки ссылки сугубо научным методом – методом тыка.  Сколько раз сайт «падал» я не помню, но помню, что много – очень много… Да, такой я хреновый кодер  :-))

Так вот, чтобы вам не приходить в ужас от пустого белого экрана вместо вашего ресурса, позаботьтесь о безопасности заранее – сделайте резервную копию сайта и его баз данных, потренируйтесь на подопытном кролике и выполняйте окончательные работы с учётом защиты файлов при их редактировании – не пожалеете!

Теперь сама суть. В моей теме за вывод ссылки на автора отвечает файл функций – functions.php. А за вызов функции вывода ссылки (оборот – лучше не придумаешь! :)  ) отвечают уже два файла – для главной страницы сайта и для самих статей – content.php, и content-single.php, соответственно.

Если вы захотите просто убрать показ блока автора в статьях, ну чтобы его не было совсем, то в файлах content.php и content-single.php нужно убрать слово author в строке каждого файла:

‘before’ => theme_get_metadata_icons(‘date,author,edit’, ‘header’),

Этого уже будет достаточно и автор исчезнет как таковой. Но для себя этот метод я не использовал – пускай будет видно, кто написал столько «многа букафф»!  :mail:  Кстати, если слова date, author, edit поменять местами (соблюдая синтаксис!), то изменится порядок вывода этих полей в теме сайта – вдруг, это вам пригодится.

Поэтому идём дальше. Чтобы автор остался, но ссылка на него исчезла, надо поковырять код уже в файле functions.php. Это можно делать и в редакторе самого движка, прямо на хостинге, но лучше в стороннем редакторе – бесплатный Notepad++ отлично подойдёт. Как-нибудь надо про него статейку забабахать, :scratch:  однако.

Ищем строки вида:

359 360 361 362 363 364 365 366 367 case 'author': $result[] = '<span>' . sprintf(__('<span>By</span> %2$s', THEME_NS), 'author', sprintf( '<span><a href="%1$s" title="%2$s">%3$s</a></span>', get_author_posts_url( get_the_author_meta( 'ID' ) ), sprintf( esc_attr(__( 'View all posts by %s', THEME_NS )), get_the_author() ), get_the_author() ) ) . '</span>';

и там аккуратно выделяем кусок кода (при условии, что код аналогичный!), как на картинке ниже - она кликабельна, откроется в полном размере в новой вкладке:

как скрыть логин админа WordPress

И удаляем выделенный кусок, обновляем файл. Если сайт не «умер», то вы сделали всё правильно и ссылка на автора обязана исчезнуть. Если так и произошло, то я вас поздравляю!  *bravo*

Да, если код у вас отличается, то вы не отчаивайтесь – посмотрите видео из этой статьи и воспользуйтесь тем же инструментом для поиска нужного участка кода – всё получится!  :aga:

Но радоваться ещё не время, так как это только часть работы и победы.

Теперь нужно закрыть доступ к запросу http://вашсайт.ru/?author=1, чтоб всяк туда входящий, ни с чем оставлен был – о как!  B-)

Если же эту «заплатку» не сделать, то всё вышеописанное будет проделано зазря.  :negative:

Чтобы закрыть доступ к вышеупомянутому запросу (могу предположить, что вы до сего дня не слышали о нём), понадобится добавить одну строку в файл управления вашим сервером на хостинге   *scare* – не пугайтесь это не страшно.

Это крохотный файл .htaccess, который задаёт параметры работы «сервака». С его помощью мы сделаем безусловный редирект с запроса на главную страницу вашего сайта.  *ku-patsak*

Итак, находите этот файлик в корневой папке вашего сайта public_html, выделяете и в панели управления хостингом (или через FTP, как хотите) выбираете редактировать. В открывшемся окошке надо в тело файла вставить следующую строку:

RedirectMatch Permanent ^/author/admin$ http://вашсайт.ru

Сохраняете файл и идёте проверять запрос на своём сайте.

Если всё правильно, то при обращении к странице автора вас должно перебросить на главную.  *dance*

Перед проверкой надо почистить кэш и куки в браузере, иначе может не получиться. Если у вас установлен плагин КЭШа на сайте, то, возможно, его тоже надо будет отключить для проверки, но у меня его нет, поэтому это предположение.

Если снова не сработало, то со строкой кода может быть один нюанс, связанный с отображением слеша «/» в браузере: Хром его точно не показывает! Но если слеш есть, то код надо вставить вместе с ним на конце – иначе не сработает, по крайней мере у меня так было.

Проще всего сделать так: перейти по адресу на автора, который у вас ещё есть, скопировать ссылку из браузера и уже оттуда вставить его в код. Чтобы было яснее:

без «/» будет так: ^/author/admin$,

а с «/» так: ^/author/admin/$.

Если после всех манипуляций всё получилось, то я вас поздравляю с укреплением стойкости вашего сайта! Но не обольщайтесь, ибо, как я уже писал выше – это только часть пути! Но уже это сделает ваш блог чуточку сильнее. А как усилить защиту ещё больше, расскажу в следующий раз – приходите!

Вот как можно узнать и скрыть логин админа WordPress блога. Надеюсь, не сильно запутанно пояснил? *pardon*  Если что, пишите и расскажите вашим друзьям про пост – пусть и они усиливают защиту.  ;)

На этом пока всё, думаю, хватит. Спасибо, что дочитали. *spasibo*  До новых встреч!  :bye:

А это для настроения, немного автомобильное видео, но зато про смекалку – интересное, посмотрите!  :good:

Пройдись по кнопочкам, расскажи о статье друзьям - это к деньгам!

Статьи по теме:

Меньше...

dengi-vseti.ru

Защита WordPress: как изменить логин admin администратора WordPress сайта | ТВОЙ ПОМОЩНИК

Написал Елена Молгачева в 10 июля 2013, 12:14 Отредактировано: 27 апреля 2016, 09:14

как изменить логин admin администратора WordPress сайта Уж сколько раз твердили миру…

Срочно узнайте, как изменить логин admin администратора WordPress сайта!

Это его уязвимое место!

Но поменять его просто так нельзя.

И многие владельцы сайтов, не догадываясь о том, как это можно сделать, продолжают длительное время пользоваться этим логином. До недавнего времени к их числу принадлежала и я.

Естественно, что находятся недоброжелатели, которые пишут и используют специальные программы, направленные на автоматический подбор пароля для взлома таких сайтов.

Пока мой сайт был еще совсем молодым, я как-то не очень внимала подобным предупреждениям, полагая: «Да кому он нужен, чтобы его взламывать?» .

Но между тем выяснялось, что постоянно находятся «умельцы», которые по незнанию или из-за кажущейся легкости добычи копируют статьи с чужих сайтов.

Если кто-то до сих пор еще не знает, что этого делать не следует, предостерегаю:если Вам понравилась публикация в интернете достаточно просто поставить ссылку на нее, а не копировать информацию к себе на сайт.

Яндекс индексирует только тексты с высоким процентом уникальности.

Наполняя сайт чужими, ворованными статьями, Вы вредите, прежде всего, самому себе: такой ресурс будет плохо индексироваться Яндексом и не сможет высоко ранжироваться в поисковой выдаче. И Вы потеряете большую часть русскоязычной аудитории, которая могла бы успешно приходить на Ваш сайт из его поиска.

Но если такого рода казусы с кражей статей еще как-то можно списать на незнание или не понимание процесса некоторыми участниками интернета, то попытка взлома сайта – это уж точно чей-то злой умысел.

Жаль, конечно, что некоторые пытаются самоутвердиться путем злонамеренных действий…

Так вот, в один прекрасный момент при входе в административную панель своего сайта на WordPress, я получила следующее предупреждения хостинга:

предупреждение хостинга

И поняла, что нельзя больше медлить и полагаться на авось.

Тем более, что изменить логин admin администратора сайта WordPress, оказывается можно средствами самого WordPress. Нужно только знать порядок действий!

А он такой:

1. Заходите на свой сайт под логином admin.Поскольку Вы являетесь администратором, и обладаете всей полнотой власти, то можете создать в административной панели еще одного пользователя с известным только Вам логином, паролем и правами администратора. Заполняете для него все необходимые поля. E-mail нужно выбрать другой (потом можно будет вернуть прежний). Кстати, на почту сразу приходит письмо о том, что на сайте появился новый пользователь.

2. Выходите из административной панели.

3. Вновь заходите в нее уже под новым логином и паролем (запишите их, чтобы не забыть).

4. Удаляете администратора с логином admin (теперь такая возможность есть, т.к. появился второй администратор, которого Вы создали, и сайт не останется без управления), привязываете все статьи к новому администратору (это Вам предлагает сделать сам Вордпресс при передаче прав и удалении admin).

5. Не забудьте посмотреть пункт настройки (путь: административная панель — Пользователи — Ваш профиль), где выбирается, как будет отображаться новый администратор на сайте, чтобы Ваш новый логин не засветился в качестве автора статей. Здесь лучше выбрать Ваше имя или ФИО без О.

Как отображать администратора.

Вот и все дела. Теперь Вы удалили администратора с логином admin, и часть угроз по взлому своего сайта ликвидировали.

 

Дополнительная защита WordPress.

Можно применить дополнительные способы защиты WordPress сайта с установкой плагинов:

установка плагина Lockdown WordPress Admin, который меняет адрес страницы входа на сайт;установка плагина виртуальной клавиатуры Login virtual keyboard ;установка плагина, который ограничивает количество попыток входа в административную панель.

Выбирайте на свой вкус!

Но мне больше нравится современный комбинированный плагин iThemes Security, который один решает все эти вопросы одновременно.

Курьез после смены логина.

Еще хочу дополнить, что после удаления пользователя с логином admin, все мои комментарии и ответы посетителям на собственном сайте остались без фото.

Удалили пользователя – удалили и фото.

А новые комментарии, как нового администратора с другим логином идут с фотографией.

Так что на моем сайте теперь началась новая эра.

Вот почему процедуру по смене логина нужно производить как можно раньше, чтобы не лишать посетителей сайта возможности любоваться Вашими правильно укомплектованными ответами с фотографией админа.

Хорошо, что я использовала плагин для выделения цветом комментариев, которые оставил администратор (про это можно узнать здесь). Так что все мои прежние ответы хоть и остались без фото, но имеют особую окраску фона и по-прежнему выделяются в общей ленте.

Но, после того, как я обновила свою версию WordPress до 3.8, произошло маленькое чудо: все фото в моих старых комментариях вернулись на прежние места. Очевидно, что разработчики заметили эту небольшую оплошность и исправили ее. Так что теперь можно спокойно менять свой логин в любое время. Ваша история отслеживается и фотографии теперь не пропадают.

А Вы защитили свой сайт на WordPress?

Напишите, пожалуйста, что Вы думаете по этому поводу.

Не уходите, не посмотрев другие разделы сайта. Возможно, Вы найдете еще что-то интересное для себя.

Важное замечание.

Обязательно узнайте, как скрыть логин администратора WordPress, чтобы им не могли воспользоваться злоумышленники. Необходимо еще сделать так, чтобы его нельзя было увидеть даже в коде страницы.

Настройка плагина для защиты сайта (ограничение количества попыток входа).

Елена и tvoy-internet.ru

tvoy-internet.ru

Как скрыть логин пользователя WordPress

Посмотрим статистику.Для начала устанавливаем плагин Activity Log (логгирование действий пользователей), активируемИ видим следующие картину

Кто все эти люди и откуда они знают мой логин? 

Это не люди мучают клавиатуру с ручным подбором паролей, это боты (зараженные компьютеры). Точнее даже не компьютеры, а устройства типа микроволновки и холодильника. Сейчас везде производители ставят процессоры и выход в интернет, на таких устройствах практически нет никакой защиты, их взламывают и они вливаются в ряды ботов. Еще есть «банды умных лампочек» – smart-лампы с управлением со смартафона через Wi-Fi. Тоже хорошо взламываются и начинают работать на чужих дядей.

WordPress достаточно легко выдает логин (логины) всем желающим по запросу http://site.ru/?author=1, где site.ru – домен Вашего сайтаЦифра 1 на конце запроса – это ID пользователя, перебирая все цифры, мы получаем список всех логинов пользователей. 

Еше одно место, где видно настоящий логин - это архив статей автора. Несмотря на указанный другой ник "ГудВин" -  в адресной строке показывается реальный логин admin для входа в систему.

Более того, при авторизации с правильным логином и неправильным паролем – WordPress радостно подтверждает правильность логина, скан ниже.

Что можно сделать?

А ) Закрываем возможность выдачи логинов по запросу http://site.ru/?author=1

внесем изменения в файл .htaccess в корне сайта. Добавим в модуль переадресации

#lock info authorRewriteCond %{REQUEST_URI} ^/$RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)RewriteRule ^(.*)$ http://site.ru/? [L,R=301]

В качестве адреса можно указать специальную страницу вида no-login.html, по крайней мере Вы будете сразу видеть в Метрике/Аналитики количество попыток подбора. Если указана только главная страница - то сложно сразу понять, какие заходы с поиска/рекламы, а какие с переадресации.

ВАЖНО (для файла .htaccess в корневой директории для WordPress): 

1. Для WordPress все свои инструкции необходимо указывать ниже пределов модуля # BEGIN WordPress# END WordPressВнутри этой конструкции сам движок WordPress пишет свои инструкции

2. Если Вы по ошибке укажете дополнительные инструкции внутри этого модуля - то WordPress их затретB) Закрываем показ логина автора в адресной строке

тут два варианта

1-й вариант = Вы единственный автор и хозяин блога, добавляем одну строку в файл .haccess

#lock info authorRewriteCond %{REQUEST_URI} ^/$RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)RewriteRule ^(.*)$ http://site.ru/? [L,R=301]Redirect 301 /author http://site.ru

2-й вариант = если авторов у блога несколько и надо все-таки показать архив

Устанавливаем плагин Edit Author Slug - на странице настроек пользователей появляется дополнительное поле, меняем там например на goodwin.

Бинго, теперь в адресной строке в разделе архивов авторов видно только наш измененный slug автора (логин admin не видно)

C) Сменить стандартный логин администратора

Не просто переименовать, а сделать новый логин с новым ID и изменить его отображение. Т.е. отображение пользователя на сайте (как например, автора статей) не должно совпадать с его логином для входа в систему. Изменяется в настройках пользователя.

Старый (скомпроментированный) логин можно удалить или временно заблокировать с помощью плагина Lock User Account (в списке Действий помимо Удалить еще появится выбор Lock и UnLock).

Плагин Limit Login Attempts Reloaded

Настройки очень простые:

Галочку "Отправлять имейл админу после...."  ставим обязательно. 

Делает несколько полезных вещей:- ограничивает число попыток ввода пароля (настраивается)- прячет информацию о правильном логине, теперь страница входа (после ошибки) выглядит так

Также ведется лог попыток (изоляций), видно, что роботы с мобильных устройств (да, да - через вход xmlrpc.php) более тупые. Бьются до исчерпания всех 4-х попыток, установленных в качестве ограничения.

Более умные роботы (ботнеты) видят защиту и пробуют вход с одного IP не более 2-х раз, что бы администратору не отсылалась информация о переборе паролей.

После установки логина/пароля на файл xmlrpc.php для нормального пользователя все логично - сначала мобильное приложение запрашивает логин/пароль от WordPress, потом идет запрос пароля от сервера HTTP. Боты пытаются сразу обратиться к файлу xmlrpc.php и получают пинок в виде запроса пароля от сервера HTTP. Соответственно все многократные попытки подбора по XMLRPC из логов исчезают. 

Если все сломалось и/или Вы не можете зайти в административную панель (превышено число попыток авторизации). Как разблокировать плагин limit login attempts? Заходите на хостинг по ftp, далее в www/wp-content/plugins, находите там папку с этим плагином и удаляете.

seotable.ru

Изменение логина администратора по умолчанию в WordPress.

Забавно, но я был полностью уверен, что изменить имя администратора "admin" в WordPress невозможно. Я так часто видел в профиле надпись "Логин изменить нельзя", что искать способ изменения имени администратора и не пытался. Мне, как и всем остальным блогерам, было вполне достаточно возможной смены отображаемого имени на имя, указанное в нике. Однако заранее известное имя администратора блога оставляет для злоумышленников широкие возможности по использованию подбора пароля. Конечно, подобрать более-менее сложный пароль практически невозможно даже при известном логине администратора, но кто из блогеров использует в качестве пароля последовательность из 15-20 ничего не значащих символов? Единицы. Остальным же рекомендую изменить логин администратора и скрыть его, используя для отображения ник.

Для изменения логина администратора нам понадобится доступ к базе данных MySQL. Используем для этого phpMyAdmin, заходим в нашу базу данных и выбираем таблицу wp_users (префиксы таблиц у вас могут быть другими). По умолчанию нас перекинет на вкладку "Структура":

 

После этого переключаемся на вкладку "Обзор", где под первым номером и будет показан логин администратора "admin". Жмем на "Правку":

 

Заменяем в двух местах логин "admin" на нужный вам логин:

 

Жмем "OK". Все, логин администратора изменен и вы можете зайти на свой блог используя новый логин администратора. Не забудьте сразу же в профиле указать свой ник и его отображение по умолчанию.

 

Никаких нареканий в работе блога после такого ручного изменения логина администратора у меня нет - все отлично работает. Только один недостаток: теперь кроме пароля надо помнить еще и логин для входа в админку.

www.wordpressplugins.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта