10.07.2017      374      0
 

А вы уверены, что ваш логин для входа в админку WordPress в безопасности?


Прочитала я на досуге очередную статью о том, как защитить от взлома сайт на Вордпресс. Все в ней было по делу, включая предостережение не использовать логин WordPress, предлагаемый по умолчанию при установке движка, поскольку слово «admin» — первое, что будут прощупывать при брутфорс атаке.

Далее шли общеизвестные рекомендации: если логин отличен от админа, следует задать ник, а если все-таки admin, то лучше создать нового пользователя с правами администратора, переназначить ему все существующие записи, а старого пользователя удалить. Все это так, но…

Вы можете назваться в нике как угодно – хоть приятелем Антона Семеныча Шпака:), но если у вас в постах выводится активное имя автора (то есть, со ссылкой на другие его записи), то истинный логин будет у всех на виду. В этом легко убедиться, наведя на ник курсор – логин отобразится в нижнем углу браузера.

А между тем сайты действительно ломают, причем независимо от их возраста и ценности. Боты – они такие боты… Им без разницы, куда лезть. У кого стоит плагин, блокирующий взломщиков по IP, тот знает, что редкий день в бане не сидит очередной «узник».

Кто-то скажет, что боты перебирают возможные варианты вслепую и предварительных справок не наводят, но есть иное мнение на этот счет. Многие пишут, что если имя автора хотя бы раз публиковалось рядом со статьей, то ботам оно уже известно. Да и не только боты могут в админку влезть.

В одних темах Вордпресс устранение этого недочета предусмотрено в пользовательских настройках. В других он убирается удалением из кода пары строчек. Правда, некоторые считают, что это минус с точки зрения оптимизации, но тут уже придется выбирать, что вам важнее. С третьими темами, увы, придется повозиться (или сменить их).

Сама я, будучи новичком, не подозревала о проблеме, пока не полезла искать толковый сайт для проверки входящих и исходящих ссылок. На сервисе  http://pr-cy.ru/ меня поджидал «сюрприз». Мало того, что я обнаружила в отчете кучу страниц, которые в принципе не желала там видеть (массовые дубли — не тот случай, когда хорошего человека должно быть много в Интернете:)), так часть из них стояла под моим логином для авторизации в WP. Пришлось разбираться, что это за безобразие и как его исправить.

Я понимаю, что подобные меры против настоящих хакеров – защита уровня «детский сад – штаны на лямках», но это не значит, что нет смысла защищать логин WordPress. Думаю, все-таки есть. В одной из следующих статей я расскажу, как убрать ссылку из имени автора, а на сегодня все. Удачи вам и вашим блогам!


Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Политика конфиденциальности
Пользовательское соглашение