Запрещаем возможность узнать логины пользователей WordPress

Дата19.05.2017

Image

Запрещаем возможность узнать логины пользователей WordPressЗдравствуйте, уважаемые посетители сайта.
Я точно знаю, что некоторые администраторы WordPress сайтов в желании скрыть имя автора и его ник, который используется в качестве логина для входа, модифицируют код используемого шаблона темы.

Вот только убрав любое упоминание об имени пользователя, которое высвечивалось в поле авторства к материалу и в некоторых других местах, вы не будете защищены от возможности узнать данную информацию.

Подставив определённый запрос в адрес сайта, можно с лёгкостью узнать логины всех зарегистрированных на сайте участников.

Вот кстати этот запрос (сайт sample.com не существует, и просто является примером):

http://sample.com/?author=1

Введя его, вы узнаете логин первого зарегистрированного. Перебирая последнюю цифру, вы сможете узнать логины всех остальных участников, а также размещённые ими записи (если таковые есть).

Узнав логин, злоумышленник может методом перебора попытаться определить пароль и в конечном итоге взломать ваш сайт. Не надо думать, что ваш сайт никому не нужен. Я постоянно наблюдаю попытки сканирования созданных мной сайтов на наличие уязвимостей, причём как в автоматическом, так и в ручном режиме.

Однако вы можете заблокировать данную возможность, причём для этого не понадобится какого-либо плагина. Блокировка определения логина(ов) повысит общую безопасность вашего сайта.

Блокируем возможность определения логина на WordPress сайте

Пример кода, который был вписан сразу после строк, что имеются по умолчанию в файле .htaccess

В корне вашего сайта имеется файл .htaccess и в него необходимо вписать следующий код:

#Запрет перебора пользователей
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]
</IfModule>

Теперь при попытке отправки запроса с помощью подстановки команды в ссылке, будет осуществляться переадресация на главную страницу сайта. Теперь никто не сможет определить логин(ы) пользователей вашего Wordppress сайта, как собственно и выяснить, кто и какие записи создал и разместил (естественно, если таковые были опубликованы).

Я постарался написать данное руководство наиболее простым языком, чтобы смог разобраться новичок, но если у вас всё же остались вопросы, то без стеснения и в обязательном порядке задайте их в комментариях.

Поделиться ➞
Пожертвование сайту WPuse.ru (cбор пожертвований осуществляется через сервис «ЮMoney»)
Читайте также: