Онлайн журнал для всех — дофоллоу блог девушки

Скажите мне, вы никогда не задумывались о том, что сама система WordPress может и не скрывать ваш логин? Если нет, тогда я бегу к вам! На самом деле даже если вы изменили логин admin на более сложный, то вас это все равно не спасет! Вычислить его сможет даже школьник. Как видите, это серьезный недостаток в защите сайта. Хорошо, что есть несколько способов решения такой проблемы. Однако в этом материале я хочу вам рассказать о самом легком и простом способе, который поможет вам скрыть login WordPress и при этом не страдать мазохизмом. Способ настолько простой, что проще уже некуда! 

Когда я первый раз узнал про такую дыру в безопасности блога, то мягко сказать, был недоволен. Ну, а как еще? Здесь стараешься улучшить защиту WordPress, сидишь и придумываешь логин в 30 — 40 символов, а потом узнаешь о такой подлянке. Так сказать, бери — не хочу! В итоге из данных пользователя остается только пароль. Лично меня такой поворот событий не устраивает. Поэтому я решил обезопасить свой логин от недоброжелателей. Заодно хочу и вам рассказать, как это лучше всего сделать. Ведь должна же быть защита блога на приличном уровне.

Как узнать настоящий Login WordPress?

  Через страницу автора

Есть два способа узнать настоящий логин администратора блога. Самый простой способ — это через страницу автора. Вы, наверное, замечали, что многие темы рядом с датой публикации выводят ссылку на автора поста (1).

Это делается ради того, чтобы читателям было удобно пользоваться вашим блогом. Если на сайте несколько авторов, то человек уже будет сразу видеть, какие материалы и какими авторами были опубликованы. Это очень удобно! Перейдя по ссылке (1) вы попадете на страницу данного автора (рисунок ниже). Там вы сможете просмотреть краткую информацию об авторе (2), а также все посты, опубликованные данным человеком.

Если на блоге один автор, то такая функция будет бесполезной. Однако если на сайте работают несколько человек, то такое свойство будет весьма полезным не только в плане юзабилити, но и в плане трафика. Особенно это касается крупных порталов. В таком случае из авторских страниц можно создать дополнительные источники входа на сайт. Я имею в виду, оптимизировать такие страницы и открыть для индексации. Ведь очень часто в поисковике людей ищут именно по инициалам. Если на вашем сайте работают известные люди, то их смогут находить по этим авторским страницам. Конечно, трафик тут может быть небольшим!

Единственный минус — это дублированный контент. Однако я уверен, что такую проблему можно решить. Можно сделать такие страницы с неплохой уникальностью. Просто сейчас вам нужно волноваться не о дублях, а о другой серьезной проблеме в безопасности сайта! Если внимательно посмотреть, то в адресной строке страницы автора можно найти логин данного человека. Правда, ведь, неприятно!

В моем случае на тестовом блоге это отображение «qqqqq«. У вас же будет отображаться ваш логин. Даже если вы слово admin изменили на более сложный и длинный набор символов, то это вас все равно не спасет! Все будет отображаться в адресе страницы. Как я говорил: «Бери — не хочу!»

  Через исходный код комментариев

Еще один способ узнать настоящий логин WordPress — это через исходный код в комментариях автора. Для этого вам нужно скопировать свой логин и потом полностью разлогиниться на своем блоге. Далее заходим на пост со своими комментариями, открываем исходный код страницы (нажимаем Ctrl+U), включаем форму поиска (нажимаем CTRL+F), вставляем свой скопированный логин и нажимаем ввод.

Если вы вовремя не скрыли свой login WordPess, то вы без труда его найдете в исходном коде своих же комментариев. Свое рода, подлянка какая-та! Что они там, не могли устранить этот косяк безопасности при разработке движка? Я не понимаю! Не, надо же этим разработчикам запихнуть именно логин пользователя. Получается, что тут идет идентификация пользователя. А если присмотреться, то такой косяк имеется и на других сайтах с иными CMS. Там тоже логин не скрывают. Однако нам же такое не нужно!

Способы скрыть login WordPress

На самом деле, есть несколько способов скрыть login WordPress:

•   кодом — можно вставлять код либо в сами файлы движка, либо редактировать файлы установленной темы. Скажу вам, что редактировать файлы CMS я вам не рекомендую. Нежелательно вносить изменения в системные файлы. Да и после обновления WordPress все эти изменения слетят. Можно также скрыть логин путем редактирования файлов своей темы, но такой способ не для всех может подойти. Все зависит от темы и навыков человека. В общем, мне такой способ не понравился!

•   создать козла отпущения — тут подразумевается создание нового пользователя с правами автора. В итоге, если хакнут, то некоторые разделы будут закрытыми. Дальше вам нужно от имени этого «козла отпущения» оставлять все комментарии на своем блоге. Получается, вам нужно перелогиниваться на этого пользователя и отвечать своим комментаторам. Если не хотите постоянно вводить логин и пароль, то вам придется один раз залогиниться и отвечать с другого браузера. То есть в одном браузере вы главный администратор, в другом — козел отпущения. Это нужно чтобы при комментировании в исходном коде не светить логин админа. Только этот способ нужно совмещать с предыдущим. Не забываем, что нужно еще удалить код, который выводит ссылки на страницу автора. В общем, для сайтов с разными авторами такой способ точно не подойдет!

•   браузерные скачки — можно и не создавать козла отпущения, а просто, будучи разлогиненным, отвечать на комментарии с другого браузера. Этот способ такой же, как и предыдущий. Только тут получше будет — вам не нужно создавать козла отпущения. На комментарии можно отвечать и разлогиненным. Так даже лучше, так как для незарегистрированных пользователей WordPress логин не прописывает. Остается только удалить авторскую страницу. Но мне такой способ тоже не нравится. Комментировать неудобно, приходиться постоянно скакать по этим браузерам. Так можно очень легко пропустить какого-то комментатора и не ответить ему.
•   плагины защиты — это самый простой способ скрыть login WordPress. Вам не придется лазить в этих кодах, скакать по браузерам и тем более не нужно создавать отдельного «козла отпущения». Такой способ подходит для всех, особенно для тех, у кого на сайте несколько авторов. Авторские страницы не будут показывать настоящий логин пользователя. Все будет скрыто за семью печатями! Все же, не перевелись добрые люди на этом свете!

Устанавливаем плагины защиты WordPress:

SF Author Url Control

Итак, приступим к делу! Теперь можно начинать устанавливать необходимые плагины защиты WordPress. Сначала устанавливаем плагин SF Author Url Control. Этот плагин создает красивые ссылки на авторские страницы. Таким образом, в урлах можно скрыть логин пользователя. После активации плагина у вас вверху появятся всякие нехорошие надписи. Нас предупреждают, что нужно установить дополнительный плагин и задать некоторые настройки. Не обращаем внимания и идем дальше.

Теперь устанавливаем плагин SX User Name Security. Он будет скрывать логин в исходном коде, а также автоматически задавать ложные данные хакерам. Итак, плагины активировали, теперь нужно настроить SF Author Url Control, то есть разобраться с проблемой отображения логина на странице автора. Для этого заходим в «Настройки» —> «Постоянные ссылки«. В самом низу в дополнительных настройках у вас появится новое окно Authors page base (3).

Вы наверное, заметили, что страница автора идет так: домен сайта/author/логин автора. Если кому-то не нравится слово author, то в этой настройке его можно заменить на свое. Например, так: сайт/имя/фамилия. Как добавить фамилию, читайте ниже. Лично я тут оставил все пустым. И тем, у кого закрыта регистрация, здесь тоже можно ничего не трогать. Все равно при удалении плагина эта настройка слетит и будет по умолчанию отображаться слово author. Поэтому данную функцию я считаю лишней красивостью.

Идем дальше. Теперь вам нужно зайти в настройки своего профиля: «Пользователи» —> «Ваш профиль«. Там в самом низу появится новое окошко Profile URL slug. В этом окне вы увидите свой логин (4). Рекомендую его удалить и заменить на что-нибудь другое. Например, английскими буквами пропишите свое имя и фамилию. Оно не только будет отображаться в исходном коде комментариев, но и в урле авторской страницы, что очень красиво.

SX User Name Security

Теперь давайте поговорим про плагин SX User Name Security. Этот плагин работает с функцией body_class (). Данная функция в исходном коде выводит данные пользователя, а именно логин автора. Также она ответственна за вывод логина на странице автора. Это то, что я вам показывал ранее. Так вот, этот плагин переписывает функцию, тем самым выдавая ложные данные для чужих глаз. В итоге, вместо настоящего логина у вас будет прописано то, что вы набрали в окошке (4). Вот часть исходного кода моего сообщения:
Я решил в поле (4) вставить свою фамилию на английском языке. Теперь оно (5) выводится вместо настоящего логина в исходном коде и в адресе страницы автора. Все, теперь на сайте WordPress логин автора защищен. Хочу вам также рассказать об одной полезной функции плагина SX User Name Security. Дело в том, что при регистрации нового пользователя сама CMS в поле «Ник» и «Отображать как» выводит имя пользователя (логин). Мы-то в курсе, что эти данные нужно поменять. Однако обычные же пользователи могут этого и не знать. Поэтому для не просвещенных людей плагин автоматически меняет эти данные.
По рисунку видно, что в поле «Ник» плагин выводит левые данные. Также если не будет указано имя пользователя, то плагин автоматом выведет левое имя в поле «Отображать как«. Таким образом, настоящий login логин не будет светиться на страницах сайта (в имени комментатора). Однако в исходном коде и на страницах автора он не сразу скрывается. Это один из недостатков. Когда новый пользователь зарегистрируется на вашем сайте, то в его профиле будет выскакивать такое предупреждение.
Там говорится, что логин пользователя используется на странице автора и в исходном коде. Далее предлагают ссылку, чтобы устранить этот недостаток. Но когда человек кликает по ней, то ничего не происходит. Функции-то у него ограничены. В настройках его профиля нет поля Profile URL slug, в котором можно изменить имя. Поэтому такую операцию нужно проделать самому администратору. Когда он изменит данные этого поля, то предупреждение исчезнет. Поэтому, если на вашем сайте есть открытая регистрация, то не забывайте вовремя отредактировать нужные настройки для новых пользователей.

В общем, по плагинам понятно. SF Author Url Control позволяет создавать красивый адрес на авторских страницах. А SX User Name Security скрывает настоящий логин пользователя и вместо него выводит данные, указанные в настройках предыдущего плагина. То есть плагины работают только в связке. По отдельности использовать их нельзя.

Как изменить настоящий логин WordPress?

Если вы обнаружили у себя такую дыру в безопасности, то я вам настоятельно рекомендую изменить свой настоящий login. Если он у вас раньше был открыт, то ради безопасности имя пользователя лучше поменять. Однако в самой админке блога имя пользователя изменить нельзя. Поэтому вам нужно создать нового пользователя с надежным логином, а старого удалить.

Итак, переходим в меню «Пользователи» —> «Добавить нового» и заполняем все необходимые поля. Имя пользователя (логин) делайте где-то на 30 символов. Далее указываем дополнительную почту. Просто WordPress не позволит вам создать нового юзера с одним и тем же email. Ниже указываем свое имя и фамилию, а затем и пароль. Пароль делайте не менее 40 символов. Обязательно включайте сочетание больших и маленьких букв, цифр и символов. Так хоть защита WordPress не будет такой слабой. Чуть ниже в поле «Роль» выбираем «Администратор» и нажимаем «Добавить нового пользователя«.
Когда новый пользователь создан, то переходим в его профиль и в поле Profile URL slug изменяем логин на свое имя и фамилию (на английском). После сохраняемся, полностью разлогиниваемся и заходим уже с данными нового пользователя. Это нужно для того, чтобы можно было удалить старый аккаунт. Опять заходим в меню «Пользователи» —> «Все пользователи» и удаляем (6) старого пользователя. Перед удалением обязательно посмотрите имя своего нового аккаунта в графе Display Name. Так вы не запутаетесь в дальнейшем. Рекомендую заранее сделать бэкап сайта.

Все, безопасность сайта улучшена, новый пользователь создан, а старый логин изменен на более надежный. Осталось только зайти в новый профиль и при желании отредактировать некоторые данные. Не забываем про окошко Profile URL slug. Теперь вы знаете, как правильно изменить логин WordPress. Скажу, что я ни один раз видел блоги, авторы которых по-прежнему используют логин admin. Как правило, такие люди либо не знают о проблеме, либо уже совсем страх потеряли. Поэтому если вы обнаружили у себя такой недостаток, то постарайтесь как можно быстрее его исправить.

Заключение

Итак, теперь вы знаете, как можно простым способом защитить login WordPress. В принципе, здесь ничего сложного нет. От вас требуется только установить плагины защиты сайта, создать нового пользователя, удалить старого и задать параметры в профиле. Таким образом, вам не нужно рыться в кодах, удалять доступ к страницам автора, а также создавать козла отпущения или скакать с одного браузера на другой. Однако, как быть дальше?

Когда захотите удалить плагины, то на всякий случай после удаления проверьте еще раз отображение: что показано на авторской странице и в исходном коде. Я сам лично не один раз проверял — проблем не было. И темы менял и CMS обновлял — все работало нормально и без плагинов. Однако, не смотря на это, я вам рекомендую лишний раз перестраховаться и перепроверить защиту своего блога. Если возникнут проблемы, то плагины лучше оставить включенными. Код у них чистый, да и нагрузки с гулькин нос. Ну а на этом я заканчиваю грузить вам мозг. В общем, удачного блогинга!