Потребителското име в WordPress – трябва ли да го крием?

Здравей, читателю! В Интернет броди не призрака на комунизма, а мнение, че ако се знае потребителското име на администратора на сайта в WordPress – това е проблем, който може да предизвика непоправими вреди за безопасността на сайта. Миф ли е това или реалност?

Може би тези страхове са напразни и не съществува никаква опасност? Да се разбере потребителското име не е толкова трудно, информацията се съдържа едновременно във няколко места:

  • Архивите на автора съдържат неговото име за логин;
  • Към коментарите на регистрираните ползватели се назначава клас «comment-author-username» където «username» е потребителското име.

Да се погледне изходния код на страницата или да се инспектира отделен елемент е достатъчно просто. Хайде да разберем, каква вреда може да бъде причинена от тази информация, когато се притежава от безнравствен човек.

Съхранението на потребителското име в открит вид – това уязвимост ли е?

Не! Вспомнете си, какво се явява име за вход за е-mail адреса ви? Правилно, адреса на електронната поща, нали не го криете и дори често открито го публикувате като един от начините за връзка със вас.

За разработчиците на WordPress името на ползвателя не се счита за конфиденциална или защитена информация и разкриването му не носи потенциална заплаха. Името за вход е предназначено за идентифициране, а за защита има парола, която трябва да се пази в строга тайна от любопитни очи.

Вместо да се опитвате да скриете логина, избирайте надеждни пароли!

Как да скриете логина на администратора в WordPress

Ако въпреки всичко казано до тук продължава да ви гони параноя, то може да скриете тези данни. За да не се показва логина във URL адресите е необходимо да премахнете всички линкове към страницата на автора в архивите и във картата на сайта. Няма да е излишно и да забраните индексацията на страницата за автора във файл robots.txt:

Disallow: /author/

В случай, че няма директни линкове към страницата на автора, то пак може да се открият по URL адреса – wpsait.com/?author=1, където 1 – е ID на автора. Отварянето последователно на страниците със числа 1, 2, 3 и т.н. рано или късно ще отвори страницата на автора, съдържаща неговото потребителско име.

Със този проблем чудесно може да се справи пренасочване във файл .htaccess. Във долния код трябва да промените само URL адреса със този на вашият сайт. Във последния ред се назначава страницата към която ще се препраща посетителя. В случая аз съм посочил главната страница на сайта ми.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://wpsait.com/? [L,R=301]
Redirect 301 /author https://wpsait.com

За да изключите потребителското име на администратора от CSS класовете в коментарите добавете във файл functions.php следната функция:

function remove_comment_author_class($classes) {
  foreach( $classes as $key => $class ) {
    if( strstr( $class, "comment-author-") ) {
      unset( $classes[$key] );
    }
  }
  return $classes;
}
add_filter( 'comment_class', 'remove_comment_author_class' );

На страницата за вход при въвеждане на грешно потребителско име или парола WordPress любезно ни сигнализира, кои данни са грешни, като грешно име за вход и/или грешна парола.

потребителското име в wordpress

Тези подсказки улесняват задачата на домораслите хакерчета. Затова може да скрием и тези данни като поставим във файл functions.php следната функция:

add_filter( 'login_errors', create_function( '$a', "return null;" ) );

Предупрежденията, че са грешни потребителското име и/или паролата за вход в WordPress вече няма да се появяват. За днес това е всичко от мен. Успех.

С уважение, Николай Томов.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *