Надеюсь, Вы не зря посетили эту страницу, моего блога.
А почему, поймете, если прочтёте статью до конца и, если Вам не безразлична защита сайта от хакеров.
Уязвимость сайта зависит от обычных запросов взломщики в адресной строке браузера. Не всегда хакеры имеют достаточно знаний, но действуют по логике пользователя.
Основная задача взломщика, получить доступ к админке и взломать сайт. А наша – установить защиту на пути хакерских атак.
Для защиты от атак по взлому сайта часто применяют капчу, используют защитные коды от ботов и различные скрипы.
В одной из статей «Защита сайта от перебора пароля» я касался первоочередного вопроса об изменении имени администратора, сразу после установки WordPress.
Сколько уже сделано по защите сайта wordpress, а новые дыры все появляются. И разговор снова о возможности взломщиков определить логин (имя пользователя) Вашего сайта.
Я был огорошен простотой действий и огромными возможностям хакеров узнать login администратора сайта. Ведь эта дыра оказалась и у меня.
Может быть поэтому, однажды мой сайт был взломан хакером. Он даже оставил изображение и бегущую строку. Остерегайтесь хакеров. На поддержку хостинга сильно не надейтесь.
Платформа WordPress показывает авторов статей. А если им является администратор сайта, то имеется возможность узнать о нем хоть какую-нибудь информацию, чтобы начать атаку.
На примере своего сайта привожу ниже скриншот, из которого можно узнать имя и фамилию автора.
Наберите в браузере http://mysite/?author=1
И вы увидите следующую страницу (как у меня):
Если на сайте не один автор, а несколько,то заменив цифру 1 на 2,3,4,5… можете узнать обо всех.
А если вы откроете любую свою страницу с ответами на комментарии и наберете на клавиатуре Ctrl+U, то откроется страница с кодом, где можно найти имя пользователя(log).
Для этого наберите на клавиатуре CTRL+F и правом верхнем углу страницы откроется строка поиска.
Вставьте свое имя пользователя (login) и оно высветиться в коде страницы другим цветом. Если у вас также, то срочно принимайте меры.
О чем это говорит? О том, что замена имя пользователя при первой установке wordpress не дает полной возможности скрыть login (имя пользователя) администратора.
Ну что? У Вас губа не отвисла от такой подлянки Wordpres? Или Ваш логин не обнаружился? Тогда отпишите в комментарии, что для этого сделали. Я буду очень благодарен.
Что же делать? Оказывается скрыть логин администратора сайта возможно. И это не очень трудно даже для начинающих блогеров.
У Вас в корне сайта должен быть файл .htaccess. Так вот в него нужно внести небольшой код и безопасность сайта намного возрастет.
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://mysite/? [L,R=301]
Redirect 301 /author http://mysite
Не забудьте указать URL Вашего сайта. Перед изменением файла сохраните резервную копию.
Этот код означает, что если взломщик пытается узнать логин администратора через браузер, набирая в поисковой строке комбинацию запроса http://mysite/?author=1 или http://mysite/author/xxx, то он будет отправлен на главную страницу сайта или на тот, URL, который Вы укажите в коде.
На сегодня все.
Надеюсь, Вы поняли, как скрыть логин администратора сайта и повысить его защиту от взлома.
До встречи в статье «Защита сайта от спама».
С Вами был, Николай Иванов.
ОСТАВЬ КОММЕНТАРИЙ ИЛИ ЗАДАЙ ВОПРОС.
9 пингов
Перейти полю для комментария ↓