Начиная с сегодняшней статьи, я решил опубликовать на своем блоге dzudo63.ru целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.
Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.
Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.
Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.
Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.
Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи» — «Ваш профиль». Там в графе «Отображать как» можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:
Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.
Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1», увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.
Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.
Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин», то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.
Как скрыть логин администратора/админа в WordPress?
Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:
Найти в корне своего сайта файл «.htaccess» и отредактировать его, добавив в него перед строчкой «# END WordPress» следующие строчки кода:
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule ^(.*)$ http://vash-site.ru/? [L,R=301] Redirect 301 /author http://vash-site.ru
Перед редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.
При этом, вот этот адрес в коде — «http://vash-site.ru», вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.
После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.
Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.
Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и защиту от перебора пароля.
На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.
Этот код надо писать не перед строкой # END WordPress, а внутри
Тогда работает.
Спасибо!!!
внутри директивы fModule mod_rewrite.
Все равно не работает!!!
нет, нужно прописывать именно так, как я написал, тогда все 100% работать будет. По крайней мере я на двух блогах так делал, и все работает.
Не работает — в адресной строке все равно появляется логин админа.
Значит где-то допускаете ошибку.