Простой способ скрыть логин WordPress! Проще уже некуда

Самый простой и легкий способ скрыть Login WordPressСкажите мне, вы никогда не задумывались о том, что сама система WordPress может и не скрывать ваш логин? Если нет, тогда я бегу к вам! На самом деле даже если вы изменили логин admin на более сложный, то вас это все равно не спасет! Вычислить его сможет даже школьник. Как видите, это серьезный недостаток в защите сайта. Хорошо, что есть несколько способов решения такой проблемы. Однако в этом материале я хочу вам рассказать о самом легком и простом способе, который поможет вам скрыть login WordPress и при этом не страдать мазохизмом. Способ настолько простой, что проще уже некуда! 

Когда я первый раз узнал про такую дыру в безопасности блога, то мягко сказать, был недоволен. Ну, а как еще? Здесь стараешься улучшить защиту WordPress, сидишь и придумываешь логин в 30 — 40 символов, а потом узнаешь о такой подлянке. Так сказать, бери — не хочу! В итоге из данных пользователя остается только пароль. Лично меня такой поворот событий не устраивает. Поэтому я решил обезопасить свой логин от недоброжелателей. Заодно хочу и вам рассказать, как это лучше всего сделать. Ведь должна же быть защита блога на приличном уровне.

Как узнать настоящий Login WordPress?

  Через страницу автора

Есть два способа узнать настоящий логин администратора блога. Самый простой способ — это через страницу автора. Вы, наверное, замечали, что многие темы рядом с датой публикации выводят ссылку на автора поста (1).

Отображение ссылки на автор поста в WordPress

Это делается ради того, чтобы читателям было удобно пользоваться вашим блогом. Если на сайте несколько авторов, то человек уже будет сразу видеть, какие материалы и какими авторами были опубликованы. Это очень удобно! Перейдя по ссылке (1) вы попадете на страницу данного автора (рисунок ниже). Там вы сможете просмотреть краткую информацию об авторе (2), а также все посты, опубликованные данным человеком.

Вид страницы автора на сайте WordPress

Если на блоге один автор, то такая функция будет бесполезной. Однако если на сайте работают несколько человек, то такое свойство будет весьма полезным не только в плане юзабилити, но и в плане трафика. Особенно это касается крупных порталов. В таком случае из авторских страниц можно создать дополнительные источники входа на сайт. Я имею в виду, оптимизировать такие страницы и открыть для индексации. Ведь очень часто в поисковике людей ищут именно по инициалам. Если на вашем сайте работают известные люди, то их смогут находить по этим авторским страницам. Конечно, трафик тут может быть небольшим!

Единственный минус — это дублированный контент. Однако я уверен, что такую проблему можно решить. Можно сделать такие страницы с неплохой уникальностью. Просто сейчас вам нужно волноваться не о дублях, а о другой серьезной проблеме в безопасности сайта! Если внимательно посмотреть, то в адресной строке страницы автора можно найти логин данного человека. Правда, ведь, неприятно!

Адрес страницы автораВ моем случае на тестовом блоге это отображение «qqqqq«. У вас же будет отображаться ваш логин. Даже если вы слово admin изменили на более сложный и длинный набор символов, то это вас все равно не спасет! Все будет отображаться в адресе страницы. Как я говорил: «Бери — не хочу!» Такая вот защита сайта на движке WordPress.

  Через исходный код комментариев

Еще один способ узнать настоящий логин WordPress — это через исходный код в комментариях автора. Для этого вам нужно скопировать свой логин и потом полностью разлогиниться на своем блоге. Далее заходим на пост со своими комментариями, открываем исходный код страницы (нажимаем Ctrl+U), включаем форму поиска (нажимаем CTRL+F), вставляем свой скопированный логин и нажимаем ввод.

Логин в исходном коде

Если вы вовремя не скрыли свой login WordPess, то вы без труда его найдете в исходном коде своих же комментариев. Свое рода, подлянка какая-та! Что они там, не могли устранить этот косяк безопасности при разработке движка? Я не понимаю! Не, надо же этим разработчикам запихнуть именно логин пользователя. Получается, что тут идет идентификация пользователя. А если присмотреться, то такой косяк имеется и на других сайтах с иными CMS. Там тоже логин не скрывают. Однако нам же такое не нужно!

Способы скрыть login WordPress

На самом деле, есть несколько способов скрыть login WordPress:

  •   кодом — можно вставлять код либо в сами файлы движка, либо редактировать файлы установленной темы. Скажу вам, что редактировать файлы CMS я вам не рекомендую. Нежелательно вносить изменения в системные файлы. Да и после обновления WordPress все эти изменения слетят. Можно также скрыть логин путем редактирования файлов своей темы, но такой способ не для всех может подойти. Все зависит от темы и навыков человека. В общем, мне такой способ не понравился!

Создаем козла отпущения для защиты своего блога WordPress

  •   создать козла отпущения — тут подразумевается создание нового пользователя с правами автора. В итоге, если хакнут, то некоторые разделы будут закрытыми. Дальше вам нужно от имени этого «козла отпущения» оставлять все комментарии на своем блоге. Получается, вам нужно перелогиниваться на этого пользователя и отвечать своим комментаторам. Если не хотите постоянно вводить логин и пароль, то вам придется один раз залогиниться и отвечать с другого браузера. То есть в одном браузере вы главный администратор, в другом — козел отпущения. Это нужно чтобы при комментировании в исходном коде не светить логин админа. Только этот способ нужно совмещать с предыдущим. Не забываем, что нужно еще удалить код, который выводит ссылки на страницу автора. В общем, для сайтов с разными авторами такой способ точно не подойдет!

Скачки по различным браузерам

  •   браузерные скачки — можно и не создавать козла отпущения, а просто, будучи разлогиненным, отвечать на комментарии с другого браузера. Этот способ такой же, как и предыдущий. Только тут получше будет — вам не нужно создавать козла отпущения. На комментарии можно отвечать и разлогиненным. Так даже лучше, так как для незарегистрированных пользователей WordPress логин не прописывает. Остается только удалить авторскую страницу. Но мне такой способ тоже не нравится. Комментировать неудобно, приходиться постоянно скакать по этим браузерам. Так можно очень легко пропустить какого-то комментатора и не ответить ему.
  •   плагины защиты — это самый простой способ скрыть login WordPress. Вам не придется лазить в этих кодах, скакать по браузерам и тем более не нужно создавать отдельного «козла отпущения». Такой способ подходит для всех, особенно для тех, у кого на сайте несколько авторов. Авторские страницы не будут показывать настоящий логин пользователя. Все будет скрыто за семью печатями! Все же, не перевелись добрые люди на этом свете!

Устанавливаем плагины защиты WordPress:

SF Author Url Control

Итак, приступим к делу! Теперь можно начинать устанавливать необходимые плагины защиты WordPress. Сначала устанавливаем плагин SF Author Url Control. Этот плагин создает красивые ссылки на авторские страницы. Таким образом, в урлах можно скрыть логин пользователя. После активации плагина у вас вверху появятся всякие нехорошие надписи. Нас предупреждают, что нужно установить дополнительный плагин и задать некоторые настройки. Не обращаем внимания и идем дальше.

Теперь устанавливаем плагин SX User Name Security. Он будет скрывать логин в исходном коде, а также автоматически задавать ложные данные хакерам. Итак, плагины активировали, теперь нужно настроить SF Author Url Control, то есть разобраться с проблемой отображения логина на странице автора. Для этого заходим в «Настройки» —> «Постоянные ссылки«. В самом низу в дополнительных настройках у вас появится новое окно Authors page base (3).

 Настройка Authors page base в WordPress

Вы наверное, заметили, что страница автора идет так: домен сайта/author/логин автора. Если кому-то не нравится слово author, то в этой настройке его можно заменить на свое. Например, так: сайт/имя/фамилия. Как добавить фамилию, читайте ниже. Лично я тут оставил все пустым. И тем, у кого закрыта регистрация, здесь тоже можно ничего не трогать. Все равно при удалении плагина эта настройка слетит и будет по умолчанию отображаться слово author. Поэтому данную функцию я считаю лишней красивостью.

Идем дальше. Теперь вам нужно зайти в настройки своего профиля: «Пользователи» —> «Ваш профиль«. Там в самом низу появится новое окошко Profile URL slug. В этом окне вы увидите свой логин (4). Рекомендую его удалить и заменить на что-нибудь другое. Например, английскими буквами пропишите свое имя и фамилию. Оно не только будет отображаться в исходном коде комментариев, но и в урле авторской страницы, что очень красиво.

Плагин WordPress для защиты логина автора

SX User Name Security

Теперь давайте поговорим про плагин SX User Name Security. Этот плагин работает с функцией body_class (). Данная функция в исходном коде выводит данные пользователя, а именно логин автора. Также она ответственна за вывод логина на странице автора. Это то, что я вам показывал ранее. Так вот, этот плагин переписывает функцию, тем самым выдавая ложные данные для чужих глаз. В итоге, вместо настоящего логина у вас будет прописано то, что вы набрали в окошке (4). Вот часть исходного кода моего сообщения:
Плагин SX User Name Security поможет легко скрыть логин WordPressЯ решил в поле (4) вставить свою фамилию на английском языке. Теперь оно (5) выводится вместо настоящего логина в исходном коде и в адресе страницы автора. Все, теперь на сайте WordPress логин автора защищен. Хочу вам также рассказать об одной полезной функции плагина SX User Name Security. Дело в том, что при регистрации нового пользователя сама CMS в поле «Ник» и «Отображать как» выводит имя пользователя (логин). Мы-то в курсе, что эти данные нужно поменять. Однако обычные же пользователи могут этого и не знать. Поэтому для не просвещенных людей плагин автоматически меняет эти данные.
Защита данных пользователя на блоге и сайте WordPressПо рисунку видно, что в поле «Ник» плагин выводит левые данные. Также если не будет указано имя пользователя, то плагин автоматом выведет левое имя в поле «Отображать как«. Таким образом, настоящий login логин не будет светиться на страницах сайта (в имени комментатора). Однако в исходном коде и на страницах автора он не сразу скрывается. Это один из недостатков. Когда новый пользователь зарегистрируется на вашем сайте, то в его профиле будет выскакивать такое предупреждение.
Предупреждение о смене логина пользователя сайта WordPressТам говорится, что логин пользователя используется на странице автора и в исходном коде. Далее предлагают ссылку, чтобы устранить этот недостаток. Но когда человек кликает по ней, то ничего не происходит. Функции-то у него ограничены. В настройках его профиля нет поля Profile URL slug, в котором можно изменить имя. Поэтому такую операцию нужно проделать самому администратору. Когда он изменит данные этого поля, то предупреждение исчезнет. Поэтому, если на вашем сайте есть открытая регистрация, то не забывайте вовремя отредактировать нужные настройки для новых пользователей.

В общем, по плагинам понятно. SF Author Url Control позволяет создавать красивый адрес на авторских страницах. А SX User Name Security скрывает настоящий логин пользователя и вместо него выводит данные, указанные в настройках предыдущего плагина. То есть плагины работают только в связке. По отдельности использовать их нельзя.

Как изменить настоящий логин WordPress?

Если вы обнаружили у себя такую дыру в безопасности, то я вам настоятельно рекомендую изменить свой настоящий login. Если он у вас раньше был открыт, то ради безопасности имя пользователя лучше поменять. Однако в самой админке блога имя пользователя изменить нельзя. Поэтому вам нужно создать нового пользователя с надежным логином, а старого удалить.

Имя пользователя можно изменить еще и в базе данных, но этого делать я вам категорически не рекомендую. Сама база может слететь или могут возникнуть какие-то ошибки. Поэтому правильным и безопасным способом будет создание нового пользователя. Также у вас должны быть установлены и активированы те два плагина безопасности, о которых я говорил выше. Настраивать их не нужно. Главное, чтобы они работали.

Итак, переходим в меню «Пользователи» —> «Добавить нового» и заполняем все необходимые поля. Имя пользователя (логин) делайте где-то на 30 символов. Далее указываем дополнительную почту. Просто WordPress не позволит вам создать нового юзера с одним и тем же email. Ниже указываем свое имя и фамилию, а затем и пароль. Пароль делайте не менее 40 символов. Обязательно включайте сочетание больших и маленьких букв, цифр и символов. Так хоть защита WordPress не будет такой слабой. Чуть ниже в поле «Роль» выбираем «Администратор» и нажимаем «Добавить нового пользователя«.
Создаем нового администратора на сайте WordPressКогда новый пользователь создан, то переходим в его профиль и в поле Profile URL slug изменяем логин на свое имя и фамилию (на английском). После сохраняемся, полностью разлогиниваемся и заходим уже с данными нового пользователя. Это нужно для того, чтобы можно было удалить старый аккаунт. Опять заходим в меню «Пользователи» —> «Все пользователи» и удаляем (6) старого пользователя. Перед удалением обязательно посмотрите имя своего нового аккаунта в графе Display Name. Так вы не запутаетесь в дальнейшем. Рекомендую заранее сделать бэкап сайта.
Удалить пользователя

Далее нужно быть внимательным, потому что вам придется удалить пользователя, но при этом все его записи связать с новым аккаунтом! Для этого отмечаем «Связать все содержимое» и в правом окне выбираем имя только что созданного пользователя (графа Display Name), к которому вы привязываете записи от удаляемого аккаунта. Если никаких еще аккаунтов у вас не создано, то здесь будет отображаться один пользователь. Но все равно, в этом пункте будьте внимательными. Когда вы четко определились, то нажимаем «Подтвердите удаление«.
Как правильно удалять пользователей на сайте WordPressВсе, безопасность сайта улучшена, новый пользователь создан, а старый логин изменен на более надежный. Осталось только зайти в новый профиль и при желании отредактировать некоторые данные. Не забываем про окошко Profile URL slug. Теперь вы знаете, как правильно изменить логин WordPress. Скажу, что я ни один раз видел блоги, авторы которых по-прежнему используют логин admin. Как правило, такие люди либо не знают о проблеме, либо уже совсем страх потеряли. Поэтому если вы обнаружили у себя такой недостаток, то постарайтесь как можно быстрее его исправить.

Заключение

Итак, теперь вы знаете, как можно простым способом защитить login WordPress. В принципе, здесь ничего сложного нет. От вас требуется только установить плагины защиты сайта, создать нового пользователя, удалить старого и задать параметры в профиле. Таким образом, вам не нужно рыться в кодах, удалять доступ к страницам автора, а также создавать козла отпущения или скакать с одного браузера на другой. Однако, как быть дальше?

Скажу вам, если на вашем сайте вы сделали открытую регистрацию, то плагины для защиты логина пользователя удалять не стоит. Ну, вы поняли почему? Если же у вас регистрация запрещена или вы сами регистрируете новых пользователей, то после создания нового аккаунта, данные плагины можно на время удалить. После удаления все данные останутся в базе. Также они останутся и при обновлении WordPress. Устанавливать плагины стоит только при создании нового аккаунта. Если вы создали нового пользователя, но при этом не активировали плагины, то логин не будет защищен. Поэтому здесь будьте внимательны! Создавать пользователей только с включенными плагинами.

Когда захотите удалить плагины, то на всякий случай после удаления проверьте еще раз отображение: что показано на авторской странице и в исходном коде. Я сам лично не один раз проверял — проблем не было. И темы менял и CMS обновлял — все работало нормально и без плагинов. Однако, не смотря на это, я вам рекомендую лишний раз перестраховаться и перепроверить защиту своего блога. Если возникнут проблемы, то плагины лучше оставить включенными. Код у них чистый, да и нагрузки с гулькин нос. Ну а на этом я заканчиваю грузить вам мозг. В общем, удачного блогинга!

Еще советы о защите WordPress:

  • рекомендую присмотреться к десятке неплохих плагинов безопасности WordPress. Некоторые из них я использую на своем блоге.
  • если на вашем блоге зарегистрировано несколько пользователей, то все их действия можно отслеживать. В этом вам поможет плагин Threewp Activity Monitor. Только рекомендую его ставить, если у вас PHP v5.3.
  • еще парочку советов по защите сайта в интернете. Для владельцев сайтов и блогов они могут очень пригодиться.

Zavitushka-dlya-sayta

 
rss-1Следить за новыми статьями на этом блоге!

 

Комментарии 91

  • Очень любопытная статья. Я сейчас как раз занимаюсь созданием подобной функции на клиентском сайте. Вот думаю, стоит ли заморочиться над безопасностью.

    • Конечно стоит! Да, на 100% защиту не сделаешь, но на низком уровне ее тоже оставлять не стоит. Хотя бы нужно сделать базовые операции по защите блога или сайта. :-)

  • Замечала такой косяк несколько месяцев назад, тогда в качестве «лечения» на странице комментариев изменяла эл. адрес в собственных комментариях и логин исчезал. А сейчас вроде все нормально — на странице пользователя заданн ник и он отображается: comment-author-zhannalira bypostauthor.

    • Ага, у меня тоже так. Только я решил плагины поставить. Просто мне отвечать залогиненным очень удобно. Бывает, отвечаю с админки блога, чтобы не пропустить какой-нибудь комментарий на старые записи.

  • Спасибо! Актуально!
    Хотя Жанна Лира на моём блоге сделала гостевой пост о подобном косяке ещё летом, чем повергла меня в ступор. Поставила плагин защищающий от подбора пароля — после 5 попытки он блокирует и с автора вообще снят линк. *give_rose*

    • Да, Галина. Помню, вы публиковали материал на эту тему. Даже в двух частях написали. Я тоже тогда в ступоре был. Однако мне неахота было постоянно разлогиниваться или скакать по браузерам. *mosking* Поэтому решил поискать что-нибудь оптимальное.

  • Сергей, а ты удалил потом эти плагины защиты?
    У меня стоит Login LockDown и надёжный пароль, который я постоянно меняю (это не спасёт!) :-( . Другую защиту ещё не изучала… Спасибо. Надо ещё раз перечитать.

    • Да, перечитай еще раз. Я там все подробно расписал. Твой плагин Login LockDown логин на блоге не скрывает. Он ограничивает попытки неправильного входа в админку WordPress.
      Вот сейчас зашел к тебе и увидел, что логин у тебя admin. Поэтому Оля, не откладывай защиту своего логина. Тем более он у тебя очень простой.

      • Сергей, а как же почта. У нового администратора ведь будет другая=)

        • Тут без разницы. Все равно идет идентификация зарегистрированных пользователей. Даже если сменить почту или просто создать нового пользователя, то логин все равно будет виден. :-(

          • Это мне всё понятно)))
            Просто я о том что, если я удалю себя как администратора, а поставлю нового пользователя с новой почтой, то у меня сменится аватар и почта связанная с сайтом. Ты этот вопрос не пояснил, мне не понятно.
            Мне WP шлёт все уведомления о комментариях на почту @gmail.com, а если я сделаю другого пользователя администратором, то куда он будет присылать…на вторую почту. :-)
            Я на Денвере проверяю этот метод и вижу, что это так и с почтами не понятка))))

            • Ничего страшного! Сначала создашь нового админа с другой почтой, а потом, когда удалишь старый аккаунт и привяжешь все записи, то в своем новом профиле просто опять укажешь другую нужную почту и все! После этого все уведомления будут присылаться на нужную почту.

              • Хорошо попробую, я всё сделала, только не удалила пока себя, чем это всё закончится). :-) :-)

                • Не забудь привязать старые записи к новому аккаунту — это когда будешь удалять старый аккаунт. Ну и заранее бэкап сделай. :-)
                  P.S. Оля, не боись! Все нормально будет! :-)

  • Жуть-жуть-жуть… Страшно стало))
    Опять плагины… Но надо подумать и о безопасности…
    Однако не хочется много плагинов. Вот у тебя сколько плагинов стоит?

    • Татьяна, не дрейф! :-) Скажу тебе, плагинами защитами никогда не принебригай. Тем более эти плагины не нагружают сильно блог. Да и их вообще, можно потом отключить, когда задаш настройки в профиле. Главное, нет ли бага и скрыт ли логин.

      У меня стоит 22 плагина. 4 из них пока не активны. Но тут не нужно обращать на количество плагинов. Важно их качество. Да и плагин плагину рознь. По функционалу и назначению они могут быть одинаковы, но работать могут по-разному. Также они по-разному нагружают сайт. Все зависит от кода и лишних запросов к БД.
      В общем, устанавливай быстрей эти плагины защиты! А то у тебя тоже там admin. Исправляй быстрей, пока не ломанули! *mosking*

  • Окей, займусь этим… Но на свежую голову. Как-то всё сложно…
    Не, расписал ты понятно, просто действий много и я толком не поняла, как именно это работает всё вместе))

    • Завтра на свежую голову перечитаешь и поймешь. :-) Ничего страшного. *don-t_mention* Я тоже когда первый раз узнал о таком косяке от Галины Нагорной, то с первого раза и не понял. Перечитывал ее статьи, чтобы полностью внедриться в тему.

  • Захотят — взломают. Просто у нас не «такие» масштабы, чтобы нас ломали профессионалы.
    Главное адрес админки сменить и пароль необычный поставить.
    В одноклассниках страничку взломали, фотку сменили, имя, фамилию и так далее. Пришлось удалять.
    Так что я понимаю блогеров, у которых посещалка не одна тысяча, наверняка найдётся умник решивший нанести вред блогу.

    • Все равно, нужно стараться улучшить защиту. Просто сменить пароль и адрес админки будет недостаточно.

  • Да у меня такие пароли, что угадать вообще нереально.

  • Сергей, Как снежинки сделать?)

    • Иван, зайди сюда:
      alpha-byte.ru/wordpresso/plaginyi/novogodnee-oformlenie-sajta

      Там неплохая подборка плагинов. Для вывода снега на своем блоге я использую Simply Snow в связке с WP Super Snow.

  • интересный способ скрыть логин, но каждому свой путь защиты, тогда это реально сложно угадать какая защита стоит — то ли количество попыток, то ли логин обманщик, то ли ограничение по IP

  • Сергей, посмотрел ваши статьи и тоже возник вопрос — вы описываете способ работы то с блогом (в основном), то иногда с сайтом. Вы сами видите разницу между тем и другим? И есть ли разница в технологиях их ведения и обслуживания?

    • Николай, разница есть. Сайт и блог это не одно и тоже. Сайт — это проект на уровень выше блога. Это может быть какая-нибудь энциклопедия, сайт компании, хостинг или онлайн-сервис. Обычно здесь размещается статическая информация: создаются разделы для справки и правил, идет описание услуг, продуктов и так далее. Как правило информация на сайтах редко меняется. Добавляется она только тогда, когда появляются какие-то новые услуги или разделы.

      Сам же блог — проект динамический. В отличие от сайта, тут разделы постоянно обновляются. Все время появляется новая информация. Многие сайты специально прикручивают блог. В этот блог они уже публикуют какие-то новости и акции для клиентов, пишут полезную информацию для людей, а также различные статьи под трафик.
      Поэтому сравнивать блог и сайт, как одно и тоже нельзя! Это два разных понятия.

  • А все-таки в одном месте надо сменить пароль. н совпадает с открытой информацией. Ага.

    • Оля, если совпадает, то меняй обязательно. Это не дело держать свой логин в открытом доступе.

  • Дружище!
    Посмотри, пожалуйста, правильно я сделала?
    Хотя как ты посмотришь..Ну, в исходном коде admin остался… Почему???
    Вроде всё сделала, как надо… Автор сменился, а в исходном коде остался…
    Может, надо сменить логин теперь?

    • Привет! В исходном коде твоих комментариев админа у тебя нет. Там вместо старого admin выводится tanyuchka. Посмотри у себя в профиле WordPress. Если это слово совпадает с твоим настоящим логином (имя пользователя), то это плохо. Тебе придется создать нового администратора, но уже с другим более надежным и длинным логином. Если же это слово не совпадает с настоящим логином, то все нормально.

      Татьяна, admin у тебя отображается в имени комментатора. Тебе нужно в своем профиле заполнить поля: имя, фамилия и ник. После чего в поле «Отображать как» нужно выбрать, как ты хочешь отображать на блоге свое имя. Только не выбирай отображение логина. Я к примеру, как ты видишь, в комментариях вывожу свое имя и фамилию.

1 2 3

А что вы думаете по этому поводу?

Ваш e-mail не будет опубликован. Обязательные поля помечены *