Скажите мне, вы никогда не задумывались о том, что сама система WordPress может и не скрывать ваш логин? Если нет, тогда я бегу к вам!
На самом деле даже если вы изменили логин admin на более сложный, то вас это не спасет! Вычислить его сможет даже школьник. Как видите, это серьезный недостаток в защите сайта.
Хорошо, что есть несколько способов решения такой проблемы.
Однако в этом материале я хочу вам рассказать о самом легком и простом способе. Он поможет скрыть login WordPress и при этом не страдать мазохизмом. Способ настолько простой, что проще уже некуда!
Когда я первый раз узнал про такую дыру в безопасности блога, то мягко сказать, был недоволен. Ну, а как еще? Здесь стараешься улучшить защиту WordPress. Сидишь и придумываешь логин в 30 — 40 символов, а потом узнаешь о такой подлянке.
Так сказать, бери — не хочу!
В итоге из данных пользователя остается только пароль. Лично меня такой поворот событий не устраивает. Поэтому я решил обезопасить свой логин от недоброжелателей. Заодно хочу и вам рассказать, как это лучше всего сделать. Ведь должна же быть защита сайта на приличном уровне.
Как узнать настоящий Login WordPress?
Ниже рассмотрим несколько способов узнать login WordPress для администратора и его авторов. На самом деле, это не трудно сделать.
Через страницу автора
Есть два способа узнать настоящий логин администратора блога. Самый простой способ — это через страницу автора. Вы, наверное, замечали, что многие темы рядом с датой публикации выводят ссылку на автора поста (1).
Это делается ради юзабилити сайта. Если на сайте несколько авторов, то человек уже будет видеть, какие материалы и какими авторами были опубликованы.
Это очень удобно!
Перейдя по ссылке (1) вы попадете на страницу автора (рисунок ниже). Там сможете просмотреть краткую информацию об авторе (2), а также все посты, опубликованные данным человеком.
Если на блоге один автор, то такая функция будет бесполезной.
Однако если на сайте работают несколько человек, то такое свойство будет полезным не только в плане юзабилити, но и в плане трафика. Особенно это касается крупных порталов.
Из авторских страниц можно создать дополнительные источники входа на сайт. Я имею в виду, оптимизировать авторские страницы и открыть для индексации. Ведь очень часто в поисковике людей ищут именно по инициалам.
Если на вашем сайте работают известные люди, то их смогут находить по этим авторским страницам. Конечно, трафик тут может быть небольшим!
Единственный минус — это дублированный контент.
Однако я уверен, что такую проблему можно решить. Можно сделать такие страницы с неплохой уникальностью. Просто сейчас вам нужно волноваться не о дублях, а о другой серьезной проблеме в безопасности сайта!
Если внимательно посмотреть, то в адресной строке страницы автора можно найти логин данного человека. Правда, ведь, неприятно!
В моем случае на тестовом блоге это отображение «qqqqq«. У вас же будет отображаться ваш логин. Даже если вы слово admin изменили на более сложный и длинный набор символов, то это вас все равно не спасет!
Все будет отображаться в адресе страницы. Как я говорил: «Бери — не хочу!» Такая вот защита сайта на движке WordPress.
Через исходный код комментариев
Еще один способ узнать настоящий логин WordPress — это через исходный код в комментариях автора. Для этого нужно скопировать свой логин и потом полностью разлогиниться на сайте.
Далее заходим на пост со своими комментариями. Открываем исходный код страницы (нажимаем Ctrl+U) и включаем форму поиска (нажимаем CTRL+F). Вставляем свой скопированный логин и нажимаем ввод.
Если вы вовремя не скрыли свой login WordPess, то без труда его найдете в исходном коде своих же комментариев.
Свое рода, подлянка какая-та!
Что они там, не могли устранить этот косяк безопасности при разработке движка? Я не понимаю! Не, надо же этим разработчикам запихнуть именно логин пользователя.
Получается, что тут идет идентификация пользователя. А если присмотреться, то такой косяк имеется и на других сайтах с иными CMS. Там тоже логин не скрывают. Однако нам же такое не нужно!
Способы скрыть login WordPress
На самом деле, есть несколько способов скрыть login WordPress:
- кодом — можно вставлять код либо в сами файлы движка, либо редактировать файлы установленной темы. Скажу вам, что редактировать файлы CMS я вам не рекомендую. Нежелательно вносить изменения в системные файлы. Да и после обновления WordPress все эти изменения слетят. Можно также скрыть логин путем редактирования файлов своей темы. Но такой способ не для всех может подойти. Все зависит от темы и навыков человека. В общем, мне такой способ не понравился!
- создать козла отпущения — тут подразумевается создание нового пользователя с правами автора. В итоге, если хакнут, то некоторые разделы будут закрытыми. Дальше вам нужно от имени этого «козла отпущения» оставлять все комментарии на своем блоге. Получается, вам нужно перелогиниваться на этого пользователя и отвечать своим комментаторам. Если не хотите постоянно вводить логин и пароль, то придется один раз залогинеться и отвечать с другого браузера. То есть в одном браузере вы главный администратор, в другом — козел отпущения. Это нужно чтобы при комментировании в исходном коде не светить логин админа. Только этот способ нужно совмещать с предыдущим. Не забываем, что нужно еще удалить код, который выводит ссылки на страницу автора. В общем, для сайтов с разными авторами такой способ точно не подойдет!
- браузерные скачки — можно и не создавать козла отпущения, а просто, будучи разлогиненным, отвечать на комментарии с другого браузера. Этот способ такой же, как и предыдущий. Только тут получше будет. Вам не нужно создавать козла отпущения. На комментарии можно отвечать и разлогиненным. Так даже лучше, так как для незарегистрированных пользователей WordPress логин не прописывает. Остается только удалить авторскую страницу. Но мне такой способ тоже не нравится. Комментировать неудобно, приходиться постоянно скакать по этим браузерам. Так можно очень легко пропустить какого-то комментатора и не ответить ему.
- плагины защиты — это самый простой способ скрыть login WordPress. Вам не придется лазить в этих кодах, скакать по браузерам. И тем более не нужно создавать отдельного «козла отпущения». Такой способ подходит для всех. Особенно для тех, у кого на сайте несколько авторов. Авторские страницы не будут показывать настоящий логин пользователя. Все будет скрыто за семью печатями! Все же, не перевелись добрые люди на этом свете!
Устанавливаем плагины защиты WordPress:
SF Author Url Control
Итак, приступим к делу! Теперь можно начинать устанавливать необходимые плагины защиты WordPress. Сначала устанавливаем плагин SF Author Url Control. Скачать его можно тут.
Этот плагин создает красивые ссылки на авторские страницы. Таким образом, в урлах можно скрыть логин пользователя. После активации плагина у вас вверху появятся всякие нехорошие надписи.
Нас предупреждают, что нужно установить дополнительный плагин и задать некоторые настройки. Не обращаем внимания и идем дальше.
Теперь устанавливаем плагин SX User Name Security. Скачать его можно здесь. Он будет скрывать логин в исходном коде, а также автоматически задавать ложные данные хакерам.
Итак, плагины активировали, теперь нужно настроить SF Author Url Control. То есть разобраться с проблемой отображения логина на странице автора.
Для этого заходим в «Настройки» —> «Постоянные ссылки«. В самом низу в дополнительных настройках у вас появится новое окно Authors page base (3).
Вы наверное, заметили, что страница автора идет так: домен сайта/author/логин автора. Если кому-то не нравится слово author, то в этой настройке его можно заменить на свое.
Например, так: сайт/имя/фамилия.
Как добавить фамилию, читайте ниже. Лично я тут оставил все пустым. И тем, у кого закрыта регистрация, здесь тоже можно ничего не трогать. Все равно при удалении плагина эта настройка слетит и будет по умолчанию отображаться слово author.
Поэтому данную функцию я считаю лишней красивостью.
Теперь вам нужно зайти в настройки своего профиля: «Пользователи» —> «Ваш профиль«. Там в самом низу появится новое окошко Profile URL slug. В этом окне вы увидите свой логин (4).
Рекомендую его удалить и заменить на что-нибудь другое.
Например, английскими буквами пропишите свое имя и фамилию. Оно не только будет отображаться в исходном коде комментариев, но и в урле авторской страницы, что очень красиво.
SX User Name Security
Теперь давайте поговорим про плагин SX User Name Security. Этот плагин работает с функцией body_class ().
Данная функция в исходном коде выводит данные пользователя, а именно логин автора. Также она ответственна за вывод логина на странице автора. Это то, что я вам показывал ранее.
Так вот, этот плагин переписывает функцию, тем самым выдавая ложные данные для чужих глаз. В итоге, вместо настоящего логина у вас будет прописано то, что вы набрали в окошке (4). Вот часть исходного кода моего сообщения:
Я решил в поле (4) вставить свою фамилию на английском языке. Теперь оно (5) выводится вместо настоящего логина в исходном коде и в адресе страницы автора.
Все, теперь на сайте WordPress логин автора защищен.
Хочу вам также рассказать об одной полезной функции плагина SX User Name Security. Дело в том, что при регистрации нового пользователя сама CMS в поле «Ник» и «Отображать как» выводит имя пользователя (логин).
Мы-то в курсе, что эти данные нужно поменять. Однако обычные пользователи могут этого и не знать. Поэтому для не просвещенных людей плагин автоматически меняет эти данные.
По рисунку видно, что в поле «Ник» плагин выводит левые данные. Также если не будет указано имя пользователя, то модуль автоматом выведет левое имя в поле «Отображать как«.
Таким образом, настоящий login логин не будет светиться на страницах сайта (в имени комментатора). Однако в исходном коде и на страницах автора он не сразу скрывается.
Это один из недостатков.
Когда новый пользователь зарегистрируется на вашем сайте, то в его профиле будет выскакивать такое предупреждение.
Там говорится, что логин пользователя используется на странице автора и в исходном коде. Далее предлагают ссылку, чтобы устранить этот недостаток. Но когда человек кликает по ней, то ничего не происходит.
Функции-то у него ограничены. В настройках его профиля нет поля Profile URL slug, в котором можно изменить имя.
Поэтому такую операцию нужно проделать самому администратору. Когда он изменит данные этого поля, то предупреждение исчезнет. Поэтому, если на вашем сайте есть открытая регистрация, то не забывайте вовремя отредактировать нужные настройки для новых пользователей.
В общем, по плагинам понятно.
SF Author Url Control позволяет создавать красивый адрес на авторских страницах. А SX User Name Security скрывает настоящий логин пользователя. А также вместо него выводит данные, указанные в настройках предыдущего плагина.
То есть плагины работают только в связке. По отдельности использовать их нельзя.
Как изменить настоящий логин WordPress?
Если вы обнаружили у себя такую дыру в безопасности, то я вам настоятельно рекомендую изменить свой настоящий логин WordPress. Если он у вас раньше был открыт, то ради безопасности имя пользователя лучше поменять.
Однако в самой админке имя пользователя изменить нельзя. Поэтому вам нужно создать нового пользователя с надежным логином, а старого удалить.
Итак, переходим в меню «Пользователи» —> «Добавить нового» и заполняем все необходимые поля. Имя пользователя (логин) делайте где-то на 30 символов.
Далее указываем дополнительную почту. Просто WordPress не позволит вам создать нового юзера с одним и тем же email.
Ниже указываем свое имя и фамилию, а затем и пароль. Пароль делайте не менее 40 символов. Обязательно включайте сочетание больших и маленьких букв, цифр и символов. Так хоть защита WordPress не будет такой слабой.
Чуть ниже в поле «Роль» выбираем «Администратор» и нажимаем «Добавить нового пользователя«.
Когда новый пользователь создан, то переходим в его профиль и в поле Profile URL slug изменяем логин на свое имя и фамилию (на английском). После сохраняемся, полностью разлогиниваемся и заходим уже с данными нового пользователя.
Это нужно для того, чтобы можно было удалить старый аккаунт.
Опять заходим в меню «Пользователи» —> «Все пользователи» и удаляем (6) старого пользователя. Перед удалением обязательно посмотрите имя своего нового аккаунта в графе Display Name. Так вы не запутаетесь в дальнейшем.
Рекомендую заранее сделать бэкап сайта.
Для этого отмечаем «Связать все содержимое» и в правом окне выбираем имя только что созданного пользователя (графа Display Name), к которому вы привязываете записи от удаляемого аккаунта.
Если никаких еще аккаунтов у вас не создано, то здесь будет отображаться один пользователь. Но все равно, в этом пункте будьте внимательными. Когда вы четко определились, то нажимаем «Подтвердите удаление«.
Все, безопасность сайта улучшена. Новый пользователь создан, а старый логин изменен на более надежный. Осталось только зайти в новый профиль и при желании отредактировать некоторые данные.
Не забываем про окошко Profile URL slug.
Теперь вы знаете, как правильно изменить логин WordPress. Скажу, что я ни один раз видел блоги, авторы которых по-прежнему используют логин admin.
Как правило, такие люди либо не знают о проблеме, либо уже совсем страх потеряли. Поэтому если вы обнаружили у себя такой недостаток, то постарайтесь как можно быстрее его исправить.
Заключение
Итак, теперь вы знаете, как можно простым способом защитить login WordPress. В принципе, здесь ничего сложного нет. От вас требуется только установить плагины защиты сайта, создать нового пользователя, удалить старого и задать параметры в профиле.
Таким образом, вам не нужно рыться в кодах, удалять доступ к страницам автора. А также создавать козла отпущения или скакать с одного браузера на другой. Однако, как быть дальше?
После удаления все данные останутся в базе. Также они останутся и при обновлении WordPress. Устанавливать расширения стоит только при создании нового аккаунта.
Если вы создали нового пользователя, но при этом не активировали плагины, то логин не будет защищен. Поэтому здесь будьте внимательны! Создавать пользователей только с включенными плагинами.
Когда захотите удалить плагины, то на всякий случай после удаления проверьте еще раз отображение: что показано на авторской странице и в исходном коде. Я сам лично не один раз проверял — проблем не было. И темы Вордпресс менял и CMS обновлял — все работало нормально и без плагинов.
Однако, несмотря на это, я вам рекомендую лишний раз перестраховаться и перепроверить защиту своего блога. Если возникнут проблемы, то плагины лучше оставить включенными. Код у них чистый, да и нагрузки с гулькин нос.
Ну а на этом я заканчиваю грузить вам мозг. В общем, удачного блогинга!
Очень любопытная статья. Я сейчас как раз занимаюсь созданием подобной функции на клиентском сайте. Вот думаю, стоит ли заморочиться над безопасностью.
Конечно стоит! Да, на 100% защиту не сделаешь, но на низком уровне ее тоже оставлять не стоит. Хотя бы нужно сделать базовые операции по защите блога или сайта. :-)
Замечала такой косяк несколько месяцев назад, тогда в качестве «лечения» на странице комментариев изменяла эл. адрес в собственных комментариях и логин исчезал. А сейчас вроде все нормально — на странице пользователя заданн ник и он отображается: comment-author-zhannalira bypostauthor.
Ага, у меня тоже так. Только я решил плагины поставить. Просто мне отвечать залогиненным очень удобно. Бывает, отвечаю с админки блога, чтобы не пропустить какой-нибудь комментарий на старые записи.
Спасибо! Актуально!
Хотя Жанна Лира на моём блоге сделала гостевой пост о подобном косяке ещё летом, чем повергла меня в ступор. Поставила плагин защищающий от подбора пароля — после 5 попытки он блокирует и с автора вообще снят линк. *give_rose*
Да, Галина. Помню, вы публиковали материал на эту тему. Даже в двух частях написали. Я тоже тогда в ступоре был. Однако мне неахота было постоянно разлогиниваться или скакать по браузерам. *mosking* Поэтому решил поискать что-нибудь оптимальное.
Сергей, а ты удалил потом эти плагины защиты?
У меня стоит Login LockDown и надёжный пароль, который я постоянно меняю (это не спасёт!) :-( . Другую защиту ещё не изучала… Спасибо. Надо ещё раз перечитать.
Да, перечитай еще раз. Я там все подробно расписал. Твой плагин Login LockDown логин на блоге не скрывает. Он ограничивает попытки неправильного входа в админку WordPress.
Вот сейчас зашел к тебе и увидел, что логин у тебя admin. Поэтому Оля, не откладывай защиту своего логина. Тем более он у тебя очень простой.
Сергей, а как же почта. У нового администратора ведь будет другая=)
Тут без разницы. Все равно идет идентификация зарегистрированных пользователей. Даже если сменить почту или просто создать нового пользователя, то логин все равно будет виден. :-(
Это мне всё понятно)))
Просто я о том что, если я удалю себя как администратора, а поставлю нового пользователя с новой почтой, то у меня сменится аватар и почта связанная с сайтом. Ты этот вопрос не пояснил, мне не понятно.
Мне WP шлёт все уведомления о комментариях на почту @gmail.com, а если я сделаю другого пользователя администратором, то куда он будет присылать…на вторую почту. :-)
Я на Денвере проверяю этот метод и вижу, что это так и с почтами не понятка))))
Ничего страшного! Сначала создашь нового админа с другой почтой, а потом, когда удалишь старый аккаунт и привяжешь все записи, то в своем новом профиле просто опять укажешь другую нужную почту и все! После этого все уведомления будут присылаться на нужную почту.
Хорошо попробую, я всё сделала, только не удалила пока себя, чем это всё закончится). :-) :-)
Не забудь привязать старые записи к новому аккаунту — это когда будешь удалять старый аккаунт. Ну и заранее бэкап сделай. :-)
P.S. Оля, не боись! Все нормально будет! :-)
Всё хорошо на денвере прошло, можно делать на блоге. Спасибо=) :-)
Жуть-жуть-жуть… Страшно стало))
Опять плагины… Но надо подумать и о безопасности…
Однако не хочется много плагинов. Вот у тебя сколько плагинов стоит?
Татьяна, не дрейф! :-) Скажу тебе, плагинами защитами никогда не принебригай. Тем более эти плагины не нагружают сильно блог. Да и их вообще, можно потом отключить, когда задаш настройки в профиле. Главное, нет ли бага и скрыт ли логин.
У меня стоит 22 плагина. 4 из них пока не активны. Но тут не нужно обращать на количество плагинов. Важно их качество. Да и плагин плагину рознь. По функционалу и назначению они могут быть одинаковы, но работать могут по-разному. Также они по-разному нагружают сайт. Все зависит от кода и лишних запросов к БД.
В общем, устанавливай быстрей эти плагины защиты! А то у тебя тоже там admin. Исправляй быстрей, пока не ломанули! *mosking*
Окей, займусь этим… Но на свежую голову. Как-то всё сложно…
Не, расписал ты понятно, просто действий много и я толком не поняла, как именно это работает всё вместе))
Завтра на свежую голову перечитаешь и поймешь. :-) Ничего страшного. *don-t_mention* Я тоже когда первый раз узнал о таком косяке от Галины Нагорной, то с первого раза и не понял. Перечитывал ее статьи, чтобы полностью внедриться в тему.
Захотят — взломают. Просто у нас не «такие» масштабы, чтобы нас ломали профессионалы.
Главное адрес админки сменить и пароль необычный поставить.
В одноклассниках страничку взломали, фотку сменили, имя, фамилию и так далее. Пришлось удалять.
Так что я понимаю блогеров, у которых посещалка не одна тысяча, наверняка найдётся умник решивший нанести вред блогу.
Все равно, нужно стараться улучшить защиту. Просто сменить пароль и адрес админки будет недостаточно.
Да у меня такие пароли, что угадать вообще нереально.
Сергей, Как снежинки сделать?)
Иван, зайди сюда:
alpha-byte.ru/wordpresso/plaginyi/novogodnee-oformlenie-sajta
Там неплохая подборка плагинов. Для вывода снега на своем блоге я использую Simply Snow в связке с WP Super Snow.
интересный способ скрыть логин, но каждому свой путь защиты, тогда это реально сложно угадать какая защита стоит — то ли количество попыток, то ли логин обманщик, то ли ограничение по IP
Сергей, посмотрел ваши статьи и тоже возник вопрос — вы описываете способ работы то с блогом (в основном), то иногда с сайтом. Вы сами видите разницу между тем и другим? И есть ли разница в технологиях их ведения и обслуживания?
Николай, разница есть. Сайт и блог это не одно и тоже. Сайт — это проект на уровень выше блога. Это может быть какая-нибудь энциклопедия, сайт компании, хостинг или онлайн-сервис. Обычно здесь размещается статическая информация: создаются разделы для справки и правил, идет описание услуг, продуктов и так далее. Как правило информация на сайтах редко меняется. Добавляется она только тогда, когда появляются какие-то новые услуги или разделы.
Сам же блог — проект динамический. В отличие от сайта, тут разделы постоянно обновляются. Все время появляется новая информация. Многие сайты специально прикручивают блог. В этот блог они уже публикуют какие-то новости и акции для клиентов, пишут полезную информацию для людей, а также различные статьи под трафик.
Поэтому сравнивать блог и сайт, как одно и тоже нельзя! Это два разных понятия.
А все-таки в одном месте надо сменить пароль. н совпадает с открытой информацией. Ага.
Оля, если совпадает, то меняй обязательно. Это не дело держать свой логин в открытом доступе.
Дружище!
Посмотри, пожалуйста, правильно я сделала?
Хотя как ты посмотришь..Ну, в исходном коде admin остался… Почему???
Вроде всё сделала, как надо… Автор сменился, а в исходном коде остался…
Может, надо сменить логин теперь?
Привет! В исходном коде твоих комментариев админа у тебя нет. Там вместо старого admin выводится tanyuchka. Посмотри у себя в профиле WordPress. Если это слово совпадает с твоим настоящим логином (имя пользователя), то это плохо. Тебе придется создать нового администратора, но уже с другим более надежным и длинным логином. Если же это слово не совпадает с настоящим логином, то все нормально.
Татьяна, admin у тебя отображается в имени комментатора. Тебе нужно в своем профиле заполнить поля: имя, фамилия и ник. После чего в поле «Отображать как» нужно выбрать, как ты хочешь отображать на блоге свое имя. Только не выбирай отображение логина. Я к примеру, как ты видишь, в комментариях вывожу свое имя и фамилию.
Насчёт имени и фамилии поняла)
Логин пока не изменяла, но поскольку он — «admin», нужно создать нового юзера с правами админа, так?
И ещё вопрос. В этих плагинах я ничего не понимаю, может, ты поймёшь. Постоянно висит надпись:
SX User Name Security: There is 4 users left to treat. Visit the users’ page.
Что он имеет в виду? Там можно пройти по ссылке, но я ж не понимаю, для чего)) «4 юзера что-то там оставили и надо пройти…» О чём это он?)))
Да-да. Нужно создать нового юзера.
На счет надписи, то у тебя еще какие-то пользователи есть. В общем, тебе сейчас нужно создать нового пользователя. Потом перелогиниться на этого нового пользователя и затем удалить всех других юзеров с привязкой опубликованных записей на нового юзера. Далее заполняешь данные в новом профиле и все! После этого запись исчезнет. :-)
Не могла зайти на твой сайт почему-то…
Кажется, у меня всё получилось) Старого удалила, новый не отображается.
Вроде бы)))
Спасибо! Сама бы ни за что не справилась.
А, вопрос: та фраза не исчезла)
И ещё оказалось, что у меня 8 «подписчиков»- пользователей. Принцип их появления мне непонятен.
Давно хотела разобраться, да руки не доходят.
Есть там и норм.пользователи, и совершенно левые, с цифрами вместо логинов. Слышала, это уязвимость.
Но как её устранить…
У тебя наверное, открыта регистрация. Поэтому всякие боты лезут и регистрируются на твоем блоге. Вот плагин и предупреждает, что какие-то непонятные юзеры у тебя завелись. В общем, Татьяна, тебе нужно запретить регистрацию. Для этого заходишь в «Настройки» —> «Общие«. Потом в пункте «Членство» убираешь галочку с функции «Любой может зарегистрироваться«.
Ведать, раньше она у тебя стояла, поэтому отсюда новые юзеры в роли подписчика. Потом этих юзеров не забудь удалить.
В том-то и дело, что нет этой галочки))
Всех «подписчиков» удалять не буду, поскольку там есть и нормальные.
Они ж комменты оставляли.
А вот 4, которые он выделает, удалю)
А я бы всех удалил бы. Зачем тебе лишние юзеры? Это не безопасно. Понимаю, если на твоем блоге несколько авторов, которые публикуют у тебя свои посты. А так просто зарегистрированные люди ни к чему тебе. Если это не авторы, то удаляй и не парься. :-)
Удалить не долго. Там, к примеру, есть пользователь, которому я доверяю 100%, он помог мне с блогом и до сих пор помогает. Мне важно выявить, как такие пользователи появляются, как попадают в «подписчики». Вот, допустим, оставил он коммент, используя акк вк или тви — и почему-то попал сюда. Непонятно мне это.
Давно этот вопрос мучает, надо будет разобраться.
Ещё раз спасибо за помощь!)
Действительно, не понятно. Как они так к тебе заходят. Ведь у тебя нет авторизации через социальные сети. Что он у тебя оставляет комментарий на блоге и потом сразу переходит в зарегистрированного юзера подписчика? Что-то я не пойму.
На всякий случай убери рейтинги в комментариях. Это лишнее. Сейчас на твоем блоге от этого никакой пользы нет. Так что лучше убрать. Сейчас нашел у тебя битую замаскированную ссылку в двоеточии. Она скрыта в статьях под соц кнопками. Там, где написано Опубликовано. В «:» ссылка на сайт kingstars. Вообще, просканирую свою тему на внешние ссылки. Плагин TAC тебе поможет. Ну и потом рекомендую установить плагин iThemes Security. Там дофига настроек, но он тебе залатает многие дыры. Установи его потом обязательно. Может, потом проблема исчезнет.
Так а чем рейтинги-то мешают?))
Понимаю, что бесполезно, но с этим я потом разберусь)
А ссылка реально есть! Откуда она?)) И как ты её нашёл?)
Кто её туда запихнул…и как теперь убрать…
Спасибо за советы, буду думать.
Татьяна, рейтинги в комментарии стоит ставить только тогда, когда у тебя сформируется целое сообщество читателей, которые очень часто тебя комментируют. А так сейчас у тебя людей мало, поэтому и никто на эти рейтинги не тискает. Так что лучше пока убери. Никто же не нажимает!
Откуда ссылка? Наверное в теме падлюка засела. :-D Это скорее всего автор прописал. Обнаружил я ее RDS-баром для браузера. Тоже советую тебе его установить.
Сергей, ТАС нашёл 7 статических ссылок, в том числе, ту, что ты обнаружил. Но пишет, что всё ок)
Теперь скажи, как их удалить)))
Или шут с ними?))
Не, внешние ссылки лучше удалить. Как удалить ссылки, плагин TAC тебе подскажет. Таня, о нем можешь у меня почитать:
alpha-byte.ru/wordpresso/plaginyi/tac
Только заранее сделай бэкап всех файлов и базы данных блога!
Окей, почитаю завтра)
Сергей, у меня вот в исходном коде светится как раз «admin», хотя логин изменен))) Плагином при этом не пользуюсь))) Если не занят, попытайся вычислить мой логин? Получится — молодец))) Не получится — значит есть более легкий способ скрыть свой логин в WordPress)))
Нет, не получилось. Показывает admin в коде. Катя, давай «колись», что за еще более легкий способ скрыть логин. :-) Я сейчас тоже плагины отключил. Подключаю их тогда, когда нужно создать нового пользователя.
Если честно, то здесь вообще все элементарно))) Ты ведь в phpMyAdmin в двух местах менял логин (в графах: user_login и user_nicename)? А я сменила только в user_login, а в nicename оставила admin) Вот поэтому в коде прописывается ник, а для входа в админку используется уже логин :-)
Не, это не вариант! Лезть в базу данных лучше не стоит. Могут возникнуть некоторые ошибки. Особенно это часто возникает с немолодыми сайтами, когда БД содержит в себе немало данных. Конечно, если с молодым блогом, то еще может прокатить, так как база еще маленькая. Но такой вариант все равно лучше не использовать.
Когда у меня был молодой блог, то я тоже такой ерундой страдал. :-) Лазил в базу и менял данные. Спустя два года такое уже не прокатило. Пробовал несколько раз, но возникали всякие ошибки. Поэтому рекомендую менять логин только при создании нового пользователя. Да и все разработчики WordPress так тоже советуют. Просто так более надежнее и правильнее.
Не знаю, мне кажется многие как раз через базу данных и меняют свой логин и пароль) Да и по сути user_login используется только для входа и все (+ в админке еще видно, что логин изменился), больше нигде не «светится»)) А ты именно с логином экспериментировал, или другие какие-то данные в базе менял?
P.S.: Специально ведь через пару лет проведу эксперимент: сменю логин через БД и сообщу тебе, что у меня никаких ошибок не возникло)))…
Точно не помню, но вроде бы логин и пароль только менял. Больше не трогал. В общем делал так, как и на большинстве блогов было написано. Но как видишь, не пошло. Пришлось восстанавливать базу заново. Поэтому больше этим способом не занимаюсь. Знаю, что на многих блогах написано так. Однако, сами разработчики не рекомендуют такой способ.
Можешь конечно поэкспериментировать, но я лично как видишь, уже доиспериментировался. :-D
Наконец-то я выползла из танка)). Мда уж… Сергей, я так понимаю, плагин защиты от этой беды не спасает ((. Не буду морочиться и установлю себе один из тобой рекомендуемых, думаю сильно не затормозит сайт). У меня такой вопрос возник (я извиняюсь сразу — в этих темах я дуб-дубом *dash* ): у меня стоит скрипт, закрывающий ссылки комментаторов от индексирования. Эти плагины ничего с этим не сделают? (еще раз извиняюсь, вопрос, наверное, дурацкий, но я предупреждала :-) )…
Я как-раз тоже временно из танка выполз. :-) Чувствую, скоро опять надо обратно заползать и покрепче закупориваться. :-D
Ирина, ты не боись. Все норм будет. *don-t_mention* Плагины ни с чем не конфликтуют. Со скриптом для закрытия ссылок в комментариях ничего не случится. Так что ставь. Устанавливать нужно оба плагина, так как они работают только в паре. По отдельности не прокатит. Также нагрузки от них практически никакой. Тем более после проделанных манипуляций эти плагины можно удалить. Оставлять их стоит тогда, когда есть открытая регистрация пользователей.
Сергей, я правильно поняла: сделал все, что надо и плагины можно деактивировать или вообще удалить?! *wink* Тогда это вообще классно — займусь на днях. Спасибо за полезную информацию!
Да, Ирина! После проделанных манипуляций плагины можно удалить. Дальше можно без них работать. Если ты снова захочешь создать нового пользователя, то устанавливаешь эти плагины, создаешь пользователя, настраиваешь его данные и потом опять удаляешь плагины. как видишь, все просто! *victory*
Еще всерьез не разобралась в теме, но по ходу вопрос возник. А как же быть с rel autor? Мы же привязываем блог к аккаунту Гугл+ для зашиты контента. Если я меняю почту эти настройки тоже слетают?
Анна, тут ничего страшного! Сначала создашь пользователя с другой почтой. А после того, когда удалишь старого админа, то потом поставишь нужную тебе почту, а также задашь те настройки, которые были в старом профиле (в том числе пропишешь ссылку на профиль в гугл+). Так что все будет ок! *victory* Тут главное сменить и скрыть настоящий логин админа. А данные все равно потом прописываешь те же. Просто в новом профиле ничего сразу не будет.
Привет Сергей, напомни пожалуйста твой плагин смайликов) У меня с новым дизом, Wp-monalisa не корректно работает)
И ещё вопросик — у тебя на блоге нет рекламы? Не увидел.
И плагин редактировать в комметнах ещё скинь. Заранее спс.
Привет, Иван!
Плагин для сайликов — Kama WP Smiles. Плагин для редактирования комментариев WordPress — Simple Comment Editing. На блоге у меня рекламы нет. Пока еще не ставил.
Сергей, еще не применял твои советы!!!)) Что-то не вижу в исходном коде)
Попробуй угадать мой логин))
Азик, сейчас посмотрел, в исходном коде у тебя я не нашел логин. Там у тебя ответы выводятся специальным плагином, который не выводит логин администратора. Поэтому, пока с этим норм! *good*
*good* :-) *sarcastic* *wink* :-D *victory*
Я крут!!))
Но ты пока не радуйся. :-) Если у тебя admin или просто небольшой логин (меньше 15 символов), то рекомендую тебе поменять логин на более сложный и надежный. Я к примеру, логин использую в 35 символов, пароль в 40. Использую буквы, символы и цифры. Вот тебе так тоже советую сделать.
Я не сильна во всех этих тонкостях, но у меня логин скрыт, иначе взломщики легко смогли бы его узнать. Но ничего из перечисленного не делала. Пользуюсь плагином Better WordPress Security
Надежда, посмотрел, у вас там выводиться «admin». Если это не настоящий логин, то тогда все нормально. :-)
Сергей, ну конечно не admin :) У меня все четко ;)
Добрый день, Сергей! Спасибо за статью, очень полезная. Все голову ломала, как заменить логин. Плагины отключила, но появилось в плагинах выделение — Необходимый (1) открыла, а там запись Файлы в каталоге /wp-content/mu-plugins выполняются автоматически.
1 элемент плагин описание
p3-profiler.php
Что это значит? Разъясните мне, не опытному блогеру.
Здравствуйте, Мария! Вам нужно попробовать на время деактивировать плагин P3 (Plugin Performance Profiler). Скорее всего он у вас работал и поэтому выскочила такая ошибка. Файл p3-profiler.php принадлежит именно этому плагину, поэтому дело было в нем.
Ага. Оба эти способа я знала. Поэтому я записи делаю от лица второго пользователя, не админа, и в коде комментов у меня намёка на логин нет. :-D Коварная я.
Юля вперед меня успела примчаться! :) Сергей — приверженец плагинов. Ему что? Сервер мощный! Выдержит! Сереж, у меня не тот логин, который виден, правда. Два пользователя. С одного вхожу, другой подставляет. Я-то испугалась, что скриншот сделала вместе с логином. Аж поджилки затряслись, пока не удостоверилась в том, что нет логина. Тема-то какая обсуждаемая, оказывается!
Да, вот такие мы вот обе коварные, нас не просечёшь. :)
Надежда, вы правы. Я приверженец плагинов. Особенно если дело касается защиты, то предпочтение отдаю именно плагинам, а не ручной вставкой кода. Просто с плагинами надежнее. Если появятся какие-то изъяны в безопасности блога, то разработчики это и справят и выпустят очередное обновление. Если же делать все самому, то тут мало гарантий по безопасности.
А сервер у меня не такой мощный. Просто я стараюсь подбирать оптимальные плагины без лишней нагрузки или каких-то функций. *yes*
Юля, конечно, можно и создать другого пользователя (козла отпущения). :-) Тут главное надежность и удобство. Мне к примеру удобнее плагином воспользоваться. Просто создавая другого пользователя, это нужно потом перелогиниваться или заходить с другого браузера.
А в вордпресс при создании записи можно выбрать пользователя, от имени которого она публикуется. И не надо от его имени авторизоваться.
Кстати, каким плагином вы делаете уведомления ТОЛЬКО об ответах? Я ищу такой, который не будет присылать ответы админа другим пользователям.
Но тут еще дело в комментариях. В исходном коде комментариев логин может просвечиваться. Это тогда нужно отвечать либо разлогиненным, либо залогиненным вторым автором (козлом отпущения). :-)
Плагин для оповещения только об ответах на комментарий у меня называется Comment Reply Notification. Правда, он давно не обновлялся, но у меня работает нормально. А других хороших аналогов пока я не знаю. Можно использовать Subscribe to Comments Reloaded, но у многих он плохо работает. Поэтому я его использую только для полной подписки на все комментарии.
Всё получилось!
Логина через комментарии уже не видно. *good*
Зато он всё-таки остался светиться в другом месте. И как его там скрыть — не знаю… *sorry*
Вы имеете в виду авторская ссылка в анонсах и в самих статьях? Тогда в настройках своего профиля в окошке Profile URL slug введите слово, которое будет не похоже на ваш логин. Тогда оно будет отображаться вместо настоящего логина.
У меня так и сделано по вашей рекомендации, Сергей. Но логин всё равно виден вот здесь: span class=’username’
Ага, теперь ясно! Тут вам переживать не нужно. Этот логин отображается только для зарегистрированных пользователей. То есть он отображается в самой верхней горизонтальной панели управления. Для незарегистрированных пользователей она не видна. Поэтому волноваться тут не стоит. Логин у вас скрыт от чужих глаз. Можете полностью выйти из своего блога и проверить. Логин виден не будет. :-)
Большое спасибо, Сергей, за подсказку! Действительно при выходе из аккаунта логин не виден! Ура! :-) *good*
Одна из самых полезных и важных статей за последнее время, что я прочёл о защите сайта на WordPress. *good* Пришлось вспомнить о таких серьёзных задачах, когда сегодня увидел в логах «гостей»… на сайте организации, который создал и обслуживаю я. Сейчас изучил Bootstrap для создания с нуля полностью адаптивных сайтов с супер юзабилити на этом фрейворке + изучаю API WordPress для создания тем с нуля под эту замечательную CMS, но сегодня почти половину дня полностью посвятил защите всех рабочих сайтов, остальные личные уже завтра :-) Ещё раз спасибо *good*
P.S.: Специально подробнее написал, может кому полезно будет *wink* правда изучать там огого и без базовых представлений о программировании на HTML+CSS+PHP+JavaScript и знания jQuery+jQueryUI и т.д. и т.п. *rtfm* делать там нечего :-D Как говорится, всё приходит с опытом :-)
Ренат, да ты крутой чел! *good* Уже в программировании шаришь. Скоро будешь темы новые клепать. Молодец.
А я так в программировании пока не в зуб ногой. :-D Все собираюсь-собираюсь, да никак не соберусь. :-) На все это нужно много времени и терпения. Тоже хочется научится свои темы и плагины создавать. Но пока время уходит на другие дела: контент, исправление ошибок на сайтах и тому подобное.
:-)
Большое спасибо! Все настроил и работает!
Сергей, и что Вы думаете? На днях я уже здесь у Вас была, изучала, но плагинов не хочу. Другого способа детально не подскажете? Уж если теперь еще и Вера указала на изъян, то это знак. :)
Надежда, установленные плагины вы потом можете удалить. Логин все равно не будет показываться. Ставить их нужно только тогда, когда захотите изменить авторскую страницу или создать нового пользователя на сайте WordPress. Потом после проделанной работы плагины можно удалить.
Других способов скрытия логина на сайте я не пробовал. Вообще, что касается защиты сайта, то рекомендую повышать ее только плагинами безопасности. Так будет намного надежнее чем искать какие-то альтернативные пути решения проблемы.
А некоторые просто код редактируют. (( Придется устанавливать плагины, если разберусь с настройками. При первом прочтении что-то сложным показалось. И все равно спасибо! :)
Можно конечно самому все делать: и код редактировать, и данные в таблице менять. Но все это делается на свой страх и риск. Я как-то решил поменять логин вручную в базе данных. Два раза пробовал и два раз база данных слетала. Хотя раньше менял без проблем. Но это было когда блог был молодой и база не была такой увесистой.
Сейчас же когда в базе много таблиц данных, делать что-то вручную очень опасно. Все делать только через специальные функции или плагины. Так надежнее и быстрее. :-)
Придется плагины пробовать установить. В блоге-то скорость позволяет — он быстро грузится, а вот на сайте сама тема тяжелая плюс к ней плагины-конструкторы. Больше 2 секунд, хотя и графики никакой. Хочу и рыбку съесть, и не уколоться. :)
Сергей привет. Плагин имеет смысл ставвить, но я покопался в коде самого вордпресса и сменил этот косяк, если надо то могу сказать где править. Можно через функции, либо же на прямую в движке.
Привет, Валентин. Через функцию будет тоже неплохим вариантом. Можешь тут в комментариях про нее и написать. А вот правкой системных файлов в движке лучше избегать. При обновлении все изменения слетят. Поэтому я стараюсь системные файлы не трогать. :-)
А что делать, бывает нужно, плагин тоже бывает не срабатывает, а через движок на сто процентов. Про функцию, напишу статью через день, можешь зайти прочесть, но она тоже не всегда идет.
Да, иногда бывает и плагин не хочет работать. Но что касается защиты, то я рекомендую смотреть именно в сторону плагинов. Просто так надежнее и безопаснее. За ними хоть разработчики смотрят. Если появятся уязвимости, то они их устранят. Ну и конечно, в плане совместимости, тут получше будет. Если появятся проблемы, то можно обратиться прямо на форум. Конечно, не всегда они там отвечают. Но надежда кое-какая есть. :-)
Также если не пойдет один плагин, то в репозитории всегда можно найти другой похожий. Как никак выбор есть. Более 40 000 расширений. Выбирай не хочу. :-)
Полезная статья, очень помогла. Единственное что плагин SF Author Url Control не обновлялся уже год. Этот метод на данный момент для вас актуальный или вы уже другие способы используете?
Здравствуйте. Да, этот метод еще актуален. Сам им пользуюсь.