11.07.2017      524      0
 

А вы уверены, что ваш логин для входа в админку WordPress в безопасности?


Прочитала на досуге очередную статью о том, как защитить от взлома сайт на Вордпресс. Все в ней было по делу, включая предостережение не использовать логин WordPress, предлагаемый по умолчанию при установке движка, поскольку слово «admin» - первое, что будут прощупывать при брутфорс атаке.

Далее шли общеизвестные рекомендации: если логин отличен от "admin", следует задать ник, а если все-таки admin, то лучше создать нового пользователя с правами администратора, переназначить ему все существующие записи, а старого пользователя удалить. Все это так, но…

Вы можете назваться в нике как угодно – хоть приятелем Антона Семеныча Шпака😆, но если у вас в постах выводится активное имя автора (то есть, являющееся ссылкой), то истинный логин будет у всех на виду. В этом легко убедиться, наведя на ник курсор – логин отобразится в левом нижнем углу браузера.

А между тем сайты действительно ломают, причем независимо от их возраста и ценности. Боты – они такие боты… Им без разницы, куда ломиться. У кого стоит плагин, блокирующий взломщиков по IP, тот знает, что редкий день в бане не сидят очередные «узники». Да и не только боты могут в админку влезть.

В одних темах Вордпресс устранение этого недочета предусмотрено в пользовательских настройках. В других он убирается удалением из кода пары строчек. Правда, некоторые считают, что это минус с точки зрения оптимизации, но тут уже придется выбирать, что вам важнее. С третьими темами, увы, придется повозиться (или сменить их).

Сама я, будучи новичком, не подозревала о проблеме, пока не полезла искать толковый сайт для проверки входящих и исходящих ссылок. На сервисе http://pr-cy.ru/ меня поджидал «сюрприз». Мало того, что я обнаружила в отчете кучу страниц, которые в принципе не желала там видеть (массовые дубли - не тот случай, когда хорошего человека должно быть много в Интернете:)), так часть из них еще стояла под моим логином для авторизации в WP. Пришлось разбираться, что это за безобразие и как его исправить.

Я понимаю, что подобные меры против настоящих хакеров – защита уровня «детский сад – штаны на лямках», но это не значит, что нет смысла закрывать логин WordPress от посторонних глаз. Думаю, все-таки есть. В одной из следующих статей расскажу, как я убрала ссылку из имени автора, а на сегодня все. Удачи вам и вашим блогам!


Ваш комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Для отправки комментария поставьте отметку, что разрешаете сбор и обработку ваших персональных данных . Политика конфиденциальности