Почему сайт становится уязвимым, если посторонние знают логин
Для авторизации на любом WordPress сайте вы должны ввести логин и пароль. Вы знаете, что код доступа следует хранить в секрете более тщательно, чем логин. Так думать неправильно, ведь зная логин администратора хакерам будет легче подобрать к нему пароль и взломать сайт. А узнать никнейм не составит труда, если об этом веб-мастер не позаботился заранее. В данной статье мы подробней объясним, что из себя представляет эта уязвимость и как обезопасить себя от атаки извне.
А мой логин тоже все могут увидеть?
Заходим в любой браузер и вводим в адресной строке URL сайта на WP с добавлением следующего значения: ?author=1
Выглядеть это должно примерно так:
http://site_name.com/?author=1
В URL site_name.com означает адрес сайта, а цифра “1” указывает на первого зарегистрированного на сайте пользователя, как правило это администратор. Если ввести другое порядковое значение и перейти по адресу, то можно будет узнать логин остальных пользователей.
http://site_name.com/author/user1983
В итоге на экране вы увидите URL в котором указан логин администратора. В данном случае это “user1983”
Лечим уязвимость
Если вы обнаружили, что любой желающий может узнать логин на вашем сайте, а именно к такому выводу по итогам проверки, вы скорее всего пришли, то пора действовать. Мы предлагаем вам ознакомиться с несколькими способами решения проблемы. В результате, безопасность сайта на wordpress окажется на новом уровне.
С помощью плагина Clearfy
Вы можете скрыть логин WordPress быстро и без лишних усилий. В этом вам поможет плагин Clearfy. Скачайте, установите и активируйте приложение. Затем в админке сайта зайдите в «Настройки» => «Clearfy меню».
Двигайтесь дальше по настройкам. В конечном счете вы должны оказаться в разделе «Защита». Найдите там строку «Убрать возможность узнать логин автора». Нажмите кнопку ВКЛ, чтобы активировать функцию. Затем сохраните изменения.
Проверьте полученный результат. В идеале после ввода в адресную строку браузера URL: http://site_name.com/?author=1 вы попадете на главную страницу, но в этот раз узнать логин автора будет невозможно. Ведь адрес будет выглядеть так: http://site_name.com.
С помощью кода
Другой вариант – с помощью кода. В конце файла «.htaccess» вставьте следующий код:
RedirectMatch Permanent ^/author/login-admin https://site_name.com
Обратите внимание, что вместо значения «login-admin» следует ввести ваш действительный логин. Обязательно проверьте полученный результат.
Заключение
Мы предложили вам два варианта на выбор как скрыть логин wordpress: с помощью плагина Clearfy и вставки кода в «.htaccess». Каким из них воспользоваться – ваш личный выбор. Однако следует знать о преимуществах и недостатках обоих вариантов. При работе с Clearfy вы можете не сразу увидеть результат, если страница закэшировалась, зато это быстрое и безопасное решение. А вмешательство в код может сделать дальнейшую работу с сайтом затруднительной, в случае если вы допустите ошибку при работе с кодом в .htaccess, но это хороший способ прокачать свои навыки в этом. Если вы всерьез интересуетесь повышением безопасности сайта, то вам будет полезно прочитать статью о том как скрыть ошибки ввода логина и пароля.