Как узнать логин админа WordPress?


Как узнать, и спрятать реальный логин админа WordPress?

Этот пост я решил посвятить безопасности WordPress. А именно защите админки, т. к. реальный логин от WordPress виден, не вооруженным глазом). Вот так.

Как узнать логин админа WordPress

В очередной раз поймав себя на мысли: точнее, в поиске ответа на один из своих любимых вопросов: так чем же занять себя сноубордисту летом?

Мастер Итэ, с присущей ему долей сарказма, справедливо отметил:
А ты, ни к чему не привязывайся, и ровным счетом ничего не потеряешь!

Да, да, ровным == счетам..

Каким счетам?

Деревянным что-ли??

Или каким???

Пусконаладочным.

Да и к чему, вообще, что либо считать?

Как говорил один из моих наставников по Муай-Тай:

Никогда количество не перерастет в качество, НИКОГДА!!!

Ну да ладно, идем дальше…

С чего начинается взлом? Да с того же, с чего и родина, т. е. с начала. А в начале, как всегда лежит сбор предварительной информации, и к этой (предварительной) информации, можно смело отнести, реальный login админа ВордПресс.

Насколько безопасно использовать настройки по умолчанию?

Большинство Web серверов, вертятся на Unix подобных системах, уже и не вспомню статистики, но, что-то около 70%. А Unix системы, тем и отличаются от остальных, что имеют четкое разграничение прав доступа к своим файлам и каталогам.

Максимальными правами в ОС Unix, обладает не root, отнюдь, а тот юзер, идентификатор которого равен == 0, т. е.  [ID=0]

Passwd Linux

/etc/passwd for Linux

 

Именно нулевой ID в Unix/Linux указывает на максимальные возможности юзера, а далеко не имя пользователя root. На рисунке видно, что суперпользователем в моих Икс серверах, является не root, а kroot. 😀

Но это так, между нами. Кстати на некоторых серверах можно посмотреть /etc/passwd через уязвимые PHP скрипты.

А запретить доступ к системному файлу /etc/passwd по протоколу http можно добавив в iptables (firewall) Linux вот это правило:

iptables -A INPUT -m string --string "/etc/passwd"
\-s 0/0 -d localhost -p tcp --drop 80 -j DROP

И в этом случае, брандмауэр будет блокировать пакеты, в которых есть текст «/etc/passwd».

Ах, да к чему вообще все это я?

Где прячется реальный логин от админки WordPress

А к тому, что ВордПресс является точно такой же (свободной) разработкой, как и Linux. И узнать реальный login от админки, не составляет труда, нужно только вызвать скрипт, который и спалит всю тему.

Есть несколько способов, которые могут открыть реальный login админа WordPress:

1. В некоторых темах ВордПресс, под каждым постом выводится надпись Автор, нажав на которую мы попадаем  на страницу все записи автора и там в строке Url прячется реальный логин от админки WordPress. Как убрать эту ссылку из паблика, я  уже писал здесь.

2. Выделив в комментариях имя администратора,  можно посмотреть исходный код, и там в CSS классе, тоже можно увидеть [real] login, но данный баг можно легко пофиксить в functions.php т. е. просто заменить, или удалить вообще, вывод реального логина в CSS,  используя функцию  add_filter.

function del_login_css( $css )
{
 foreach( $css as $key => $class )
{
   //меняем admin на свой реальный логин
  if(strstr($class, "comment-author-admin"))
{
   //больше он не виден в CSS 
   $css[$key] = 'comment-author';
}
}
return $css;
}
add_filter('comment_class', 'del_login_css');

3. Простой до гениальности, админу  WordPress соответствует ID = 1, поэтому достаточно вбить в стоку Url адрес сайта, и добавить :

http://ваш-блог.ру/?author=1

Как нам успешно открывается страница [автора], а в (урле) Url страницы, четко виден реальный логин от админки ВордПресс.

ваш_сайт.ру/author/admin

Как удалить страницу Архив автора на WordPress

Если честно, наличие страницы: Все записи автора, меня уже давно начало напрягать, но, я бы не рекомендовал удалять эту страницу, и нарушать целостность движка этой CMS, ведь можно просто сделать редирект в .htaccess т. е. при обращении к станице /author/ юзер будет тупо переброшен на главную.

Для редиректа будем использовать регулярное выражение RedirectMatch Permanent, которое при обращении к конкретной странице, будет делать необходимый нам редирект. Синтаксис у RedirectMatch Permanent следующий:

 RedirectMatch Permanent ^/author/admin$ http://ваш_сайт.ру

P.S. Ну а вообще, не побоюсь повторится, и в очередной раз замечу, что защита интернет проекта будь то WordPress, Joomla, или самостоятельно разработанный сайт,  должна быть комплексной, и как минимум, для начала необходимо изменить настройки по умолчанию, а лично я для защиты админки WordPress юзаю .htaccess