Мой блог онлайн журнал! Меня нет в ЖЖ-дневнике и на лесби форумах. Я обычная девушка-блоггер! Мои заметки о любви и цитатах, о детях, о машинах, полезные советы и новости, рецепты и домашние заботы!

Простой способ скрыть логин WordPress

Скажите мне, вы никогда не задумывались о том, что сама система WordPress может и не скрывать ваш логин? Если нет, тогда я бегу к вам! На самом деле даже если вы изменили логин admin на более сложный, то вас это все равно не спасет! Вычислить его сможет даже школьник. Как видите, это серьезный недостаток в защите сайта. Хорошо, что есть несколько способов решения такой проблемы. Однако в этом материале я хочу вам рассказать о самом легком и простом способе, который поможет вам скрыть login WordPress и при этом не страдать мазохизмом. Способ настолько простой, что проще уже некуда! 

Когда я первый раз узнал про такую дыру в безопасности блога, то мягко сказать, был недоволен. Ну, а как еще? Здесь стараешься улучшить защиту WordPress, сидишь и придумываешь логин в 30 — 40 символов, а потом узнаешь о такой подлянке. Так сказать, бери — не хочу! В итоге из данных пользователя остается только пароль. Лично меня такой поворот событий не устраивает. Поэтому я решил обезопасить свой логин от недоброжелателей. Заодно хочу и вам рассказать, как это лучше всего сделать. Ведь должна же быть защита блога на приличном уровне.

Как узнать настоящий Login WordPress?

  Через страницу автора

Есть два способа узнать настоящий логин администратора блога. Самый простой способ — это через страницу автора. Вы, наверное, замечали, что многие темы рядом с датой публикации выводят ссылку на автора поста (1).

Отображение ссылки на автор поста в WordPress

Это делается ради того, чтобы читателям было удобно пользоваться вашим блогом. Если на сайте несколько авторов, то человек уже будет сразу видеть, какие материалы и какими авторами были опубликованы. Это очень удобно! Перейдя по ссылке (1) вы попадете на страницу данного автора (рисунок ниже). Там вы сможете просмотреть краткую информацию об авторе (2), а также все посты, опубликованные данным человеком.

Вид страницы автора на сайте WordPress

Если на блоге один автор, то такая функция будет бесполезной. Однако если на сайте работают несколько человек, то такое свойство будет весьма полезным не только в плане юзабилити, но и в плане трафика. Особенно это касается крупных порталов. В таком случае из авторских страниц можно создать дополнительные источники входа на сайт. Я имею в виду, оптимизировать такие страницы и открыть для индексации. Ведь очень часто в поисковике людей ищут именно по инициалам. Если на вашем сайте работают известные люди, то их смогут находить по этим авторским страницам. Конечно, трафик тут может быть небольшим!

Единственный минус — это дублированный контент. Однако я уверен, что такую проблему можно решить. Можно сделать такие страницы с неплохой уникальностью. Просто сейчас вам нужно волноваться не о дублях, а о другой серьезной проблеме в безопасности сайта! Если внимательно посмотреть, то в адресной строке страницы автора можно найти логин данного человека. Правда, ведь, неприятно!

Адрес страницы автораВ моем случае на тестовом блоге это отображение «qqqqq«. У вас же будет отображаться ваш логин. Даже если вы слово admin изменили на более сложный и длинный набор символов, то это вас все равно не спасет! Все будет отображаться в адресе страницы. Как я говорил: «Бери — не хочу!»

  Через исходный код комментариев

Еще один способ узнать настоящий логин WordPress — это через исходный код в комментариях автора. Для этого вам нужно скопировать свой логин и потом полностью разлогиниться на своем блоге. Далее заходим на пост со своими комментариями, открываем исходный код страницы (нажимаем Ctrl+U), включаем форму поиска (нажимаем CTRL+F), вставляем свой скопированный логин и нажимаем ввод.

Логин в исходном коде

Если вы вовремя не скрыли свой login WordPess, то вы без труда его найдете в исходном коде своих же комментариев. Свое рода, подлянка какая-та! Что они там, не могли устранить этот косяк безопасности при разработке движка? Я не понимаю! Не, надо же этим разработчикам запихнуть именно логин пользователя. Получается, что тут идет идентификация пользователя. А если присмотреться, то такой косяк имеется и на других сайтах с иными CMS. Там тоже логин не скрывают. Однако нам же такое не нужно!

Способы скрыть login WordPress

На самом деле, есть несколько способов скрыть login WordPress:

  •   кодом — можно вставлять код либо в сами файлы движка, либо редактировать файлы установленной темы. Скажу вам, что редактировать файлы CMS я вам не рекомендую. Нежелательно вносить изменения в системные файлы. Да и после обновления WordPress все эти изменения слетят. Можно также скрыть логин путем редактирования файлов своей темы, но такой способ не для всех может подойти. Все зависит от темы и навыков человека. В общем, мне такой способ не понравился!

Создаем козла отпущения для защиты своего блога WordPress

  •   создать козла отпущения — тут подразумевается создание нового пользователя с правами автора. В итоге, если хакнут, то некоторые разделы будут закрытыми. Дальше вам нужно от имени этого «козла отпущения» оставлять все комментарии на своем блоге. Получается, вам нужно перелогиниваться на этого пользователя и отвечать своим комментаторам. Если не хотите постоянно вводить логин и пароль, то вам придется один раз залогиниться и отвечать с другого браузера. То есть в одном браузере вы главный администратор, в другом — козел отпущения. Это нужно чтобы при комментировании в исходном коде не светить логин админа. Только этот способ нужно совмещать с предыдущим. Не забываем, что нужно еще удалить код, который выводит ссылки на страницу автора. В общем, для сайтов с разными авторами такой способ точно не подойдет!

Скачки по различным браузерам

  •   браузерные скачки — можно и не создавать козла отпущения, а просто, будучи разлогиненным, отвечать на комментарии с другого браузера. Этот способ такой же, как и предыдущий. Только тут получше будет — вам не нужно создавать козла отпущения. На комментарии можно отвечать и разлогиненным. Так даже лучше, так как для незарегистрированных пользователей WordPress логин не прописывает. Остается только удалить авторскую страницу. Но мне такой способ тоже не нравится. Комментировать неудобно, приходиться постоянно скакать по этим браузерам. Так можно очень легко пропустить какого-то комментатора и не ответить ему.
  •   плагины защиты — это самый простой способ скрыть login WordPress. Вам не придется лазить в этих кодах, скакать по браузерам и тем более не нужно создавать отдельного «козла отпущения». Такой способ подходит для всех, особенно для тех, у кого на сайте несколько авторов. Авторские страницы не будут показывать настоящий логин пользователя. Все будет скрыто за семью печатями! Все же, не перевелись добрые люди на этом свете!

Устанавливаем плагины защиты WordPress:

SF Author Url Control

Итак, приступим к делу! Теперь можно начинать устанавливать необходимые плагины защиты WordPress. Сначала устанавливаем плагин SF Author Url Control. Этот плагин создает красивые ссылки на авторские страницы. Таким образом, в урлах можно скрыть логин пользователя. После активации плагина у вас вверху появятся всякие нехорошие надписи. Нас предупреждают, что нужно установить дополнительный плагин и задать некоторые настройки. Не обращаем внимания и идем дальше.

Теперь устанавливаем плагин SX User Name Security. Он будет скрывать логин в исходном коде, а также автоматически задавать ложные данные хакерам. Итак, плагины активировали, теперь нужно настроить SF Author Url Control, то есть разобраться с проблемой отображения логина на странице автора. Для этого заходим в «Настройки» —> «Постоянные ссылки«. В самом низу в дополнительных настройках у вас появится новое окно Authors page base (3).

 Настройка Authors page base в WordPress

Вы наверное, заметили, что страница автора идет так: домен сайта/author/логин автора. Если кому-то не нравится слово author, то в этой настройке его можно заменить на свое. Например, так: сайт/имя/фамилия. Как добавить фамилию, читайте ниже. Лично я тут оставил все пустым. И тем, у кого закрыта регистрация, здесь тоже можно ничего не трогать. Все равно при удалении плагина эта настройка слетит и будет по умолчанию отображаться слово author. Поэтому данную функцию я считаю лишней красивостью.

Идем дальше. Теперь вам нужно зайти в настройки своего профиля: «Пользователи» —> «Ваш профиль«. Там в самом низу появится новое окошко Profile URL slug. В этом окне вы увидите свой логин (4). Рекомендую его удалить и заменить на что-нибудь другое. Например, английскими буквами пропишите свое имя и фамилию. Оно не только будет отображаться в исходном коде комментариев, но и в урле авторской страницы, что очень красиво.

Плагин WordPress для защиты логина автора

SX User Name Security

Теперь давайте поговорим про плагин SX User Name Security. Этот плагин работает с функцией body_class (). Данная функция в исходном коде выводит данные пользователя, а именно логин автора. Также она ответственна за вывод логина на странице автора. Это то, что я вам показывал ранее. Так вот, этот плагин переписывает функцию, тем самым выдавая ложные данные для чужих глаз. В итоге, вместо настоящего логина у вас будет прописано то, что вы набрали в окошке (4). Вот часть исходного кода моего сообщения:
Плагин SX User Name Security поможет легко скрыть логин WordPressЯ решил в поле (4) вставить свою фамилию на английском языке. Теперь оно (5) выводится вместо настоящего логина в исходном коде и в адресе страницы автора. Все, теперь на сайте WordPress логин автора защищен. Хочу вам также рассказать об одной полезной функции плагина SX User Name Security. Дело в том, что при регистрации нового пользователя сама CMS в поле «Ник» и «Отображать как» выводит имя пользователя (логин). Мы-то в курсе, что эти данные нужно поменять. Однако обычные же пользователи могут этого и не знать. Поэтому для не просвещенных людей плагин автоматически меняет эти данные.
Защита данных пользователя на блоге и сайте WordPressПо рисунку видно, что в поле «Ник» плагин выводит левые данные. Также если не будет указано имя пользователя, то плагин автоматом выведет левое имя в поле «Отображать как«. Таким образом, настоящий login логин не будет светиться на страницах сайта (в имени комментатора). Однако в исходном коде и на страницах автора он не сразу скрывается. Это один из недостатков. Когда новый пользователь зарегистрируется на вашем сайте, то в его профиле будет выскакивать такое предупреждение.
Предупреждение о смене логина пользователя сайта WordPressТам говорится, что логин пользователя используется на странице автора и в исходном коде. Далее предлагают ссылку, чтобы устранить этот недостаток. Но когда человек кликает по ней, то ничего не происходит. Функции-то у него ограничены. В настройках его профиля нет поля Profile URL slug, в котором можно изменить имя. Поэтому такую операцию нужно проделать самому администратору. Когда он изменит данные этого поля, то предупреждение исчезнет. Поэтому, если на вашем сайте есть открытая регистрация, то не забывайте вовремя отредактировать нужные настройки для новых пользователей.

В общем, по плагинам понятно. SF Author Url Control позволяет создавать красивый адрес на авторских страницах. А SX User Name Security скрывает настоящий логин пользователя и вместо него выводит данные, указанные в настройках предыдущего плагина. То есть плагины работают только в связке. По отдельности использовать их нельзя.

Как изменить настоящий логин WordPress?

Если вы обнаружили у себя такую дыру в безопасности, то я вам настоятельно рекомендую изменить свой настоящий login. Если он у вас раньше был открыт, то ради безопасности имя пользователя лучше поменять. Однако в самой админке блога имя пользователя изменить нельзя. Поэтому вам нужно создать нового пользователя с надежным логином, а старого удалить.

Имя пользователя можно изменить еще и в базе данных, но этого делать я вам категорически не рекомендую. Сама база может слететь или могут возникнуть какие-то ошибки. Поэтому правильным и безопасным способом будет создание нового пользователя. Также у вас должны быть установлены и активированы те два плагина безопасности, о которых я говорил выше. Настраивать их не нужно. Главное, чтобы они работали.

Итак, переходим в меню «Пользователи» —> «Добавить нового» и заполняем все необходимые поля. Имя пользователя (логин) делайте где-то на 30 символов. Далее указываем дополнительную почту. Просто WordPress не позволит вам создать нового юзера с одним и тем же email. Ниже указываем свое имя и фамилию, а затем и пароль. Пароль делайте не менее 40 символов. Обязательно включайте сочетание больших и маленьких букв, цифр и символов. Так хоть защита WordPress не будет такой слабой. Чуть ниже в поле «Роль» выбираем «Администратор» и нажимаем «Добавить нового пользователя«.
Создаем нового администратора на сайте WordPressКогда новый пользователь создан, то переходим в его профиль и в поле Profile URL slug изменяем логин на свое имя и фамилию (на английском). После сохраняемся, полностью разлогиниваемся и заходим уже с данными нового пользователя. Это нужно для того, чтобы можно было удалить старый аккаунт. Опять заходим в меню «Пользователи» —> «Все пользователи» и удаляем (6) старого пользователя. Перед удалением обязательно посмотрите имя своего нового аккаунта в графе Display Name. Так вы не запутаетесь в дальнейшем. Рекомендую заранее сделать бэкап сайта.
Удалить пользователя

Далее нужно быть внимательным, потому что вам придется удалить пользователя, но при этом все его записи связать с новым аккаунтом! Для этого отмечаем «Связать все содержимое» и в правом окне выбираем имя только что созданного пользователя (графа Display Name), к которому вы привязываете записи от удаляемого аккаунта. Если никаких еще аккаунтов у вас не создано, то здесь будет отображаться один пользователь. Но все равно, в этом пункте будьте внимательными. Когда вы четко определились, то нажимаем «Подтвердите удаление«.

Как правильно удалять пользователей на сайте WordPressВсе, безопасность сайта улучшена, новый пользователь создан, а старый логин изменен на более надежный. Осталось только зайти в новый профиль и при желании отредактировать некоторые данные. Не забываем про окошко Profile URL slug. Теперь вы знаете, как правильно изменить логин WordPress. Скажу, что я ни один раз видел блоги, авторы которых по-прежнему используют логин admin. Как правило, такие люди либо не знают о проблеме, либо уже совсем страх потеряли. Поэтому если вы обнаружили у себя такой недостаток, то постарайтесь как можно быстрее его исправить.

Заключение

Итак, теперь вы знаете, как можно простым способом защитить login WordPress. В принципе, здесь ничего сложного нет. От вас требуется только установить плагины защиты сайта, создать нового пользователя, удалить старого и задать параметры в профиле. Таким образом, вам не нужно рыться в кодах, удалять доступ к страницам автора, а также создавать козла отпущения или скакать с одного браузера на другой. Однако, как быть дальше?

Скажу вам, если на вашем сайте вы сделали открытую регистрацию, то плагины для защиты логина пользователя удалять не стоит. Ну, вы поняли почему? Если же у вас регистрация запрещена или вы сами регистрируете новых пользователей, то после создания нового аккаунта, данные плагины можно на время удалить. После удаления все данные останутся в базе. Также они останутся и при обновлении WordPress. Устанавливать плагины стоит только при создании нового аккаунта. Если вы создали нового пользователя, но при этом не активировали плагины, то логин не будет защищен. Поэтому здесь будьте внимательны! Создавать пользователей только с включенными плагинами.

Когда захотите удалить плагины, то на всякий случай после удаления проверьте еще раз отображение: что показано на авторской странице и в исходном коде. Я сам лично не один раз проверял — проблем не было. И темы менял и CMS обновлял — все работало нормально и без плагинов. Однако, не смотря на это, я вам рекомендую лишний раз перестраховаться и перепроверить защиту своего блога. Если возникнут проблемы, то плагины лучше оставить включенными. Код у них чистый, да и нагрузки с гулькин нос. Ну а на этом я заканчиваю грузить вам мозг. В общем, удачного блогинга!

Еще советы о защите WordPress:

  • рекомендую присмотреться к десятке неплохих плагинов безопасности WordPress. Некоторые из них я использую на своем блоге.
  • если на вашем блоге зарегистрировано несколько пользователей, то все их действия можно отслеживать. В этом вам поможет плагин Threewp Activity Monitor. Только рекомендую его ставить, если у вас PHP v5.3.
  • еще парочку советов по защите сайта в интернете. Для владельцев сайтов и блогов они могут очень пригодиться.

Оставить комментарий

..

Мы живем и радуем наших читателей

Подписка на почту:

Сервис FeedBurner

Топ просмотров
Blog Traffic

Pages

Pages|Hits |Unique

  • Last 24 hours: 3 076
  • Last 7 days: 3 921
  • Last 30 days: 3 921
  • Online now: 15
Яндекс.Метрика

Нравится