Безопасность WordPress: изменение имени администратора и сообщения об ошибке входа


Безопасность WordPress: изменение имени администратора и сообщения об ошибке входа

WordPress является CMS с открытым кодом, поэтому умельцы давно изучили все входы и выходы, через которые можно взломать ваш сайт на WordPress.

Есть различные способы: ограничение на доступ к файлам в «админской» папке, изменение адреса страницы авторизации и многие другие, о которых нужно бы рассказать позднее. А сейчас рассмотрим самые простые способы увеличить безопасность сайта на WordPress.

Здесь мы разберемся, как изменить имя администратора сайта и текст сообщения об ошибке при входе на сайт, а также кое-что еще.

Имя администратора первоначально устанавливается при установке CMS WordPress на хостинг. Вот фрагмент картинки из статьи «Установка блога WordPress на хостинг»:

Имя администратора WordPress

Как видно, по умолчанию, предлагается имя администратора как ADMIN. Желательно при установке WordPress указать другое имя – взломщику придется подбирать не только пароль, но и комбинацию пароль-имя, что сразу увеличивает надежность в миллионы раз.

Если же имя ADMIN уже установлено, то его можно поменять позднее, хотя сообщается, что сделать это не возможно. Возможно! Например, с помощью плагина GD Press Tools.

Опция смены имени в разделе «Administration» плагина GD Press Tools:

Опция смены имени в разделе «Administration» плагина GD Press Tools

Еще одна серьезная лазейка для хакеров – регистрация на сайте и вход на него под своими именами других пользователей. Во-первых, отключите возможность регистрации, если в этом нет особой необходимости.

По умолчанию, в WordPress регистрация отключена, но если вы ее включали и хотите отключить, то перейдите в меню «Параметры», раздел «Общие» и снимите флажок с этой опции.

Вид опции «Членство» в общих настройках WordPress:

Вид опции «Членство» в общих настройках WordPress

Если же вы решили оставить регистрацию на сайте, то желательно изменить сообщение, которое появляется при введении неправильного имени или пароля.

По умолчанию уведомляется, что именно введено неправильно, пароль или логин. Не будем сужать поле поиска для злоумышленника – сообщим только, что данные неверные, но какие именно – указывать не будем.

Для этого придется редактировать файл function.php в папке с текущей темой WordPress. Откройте файл в редакторе и добавьте в него код с текстом «Введены неверные данные. Попробуйте еще раз» или любым другим на ваш вкус:

function my_failed_login () {

 return 'Введены неверные данные. Попробуйте еще раз.'

 }

 add_filter ( 'login_errors', 'my_failed_login ' );

Кроме имени администратора и сообщения об ошибке важное значение имеет версия WordPress. Во-первых, используйте всегда самую свежую версию, в которой исправляются обнаруженные уязвимости предыдущей. А во-вторых, скройте информацию о версии – кроме вас это никому знать не нужно. Хакеры знают о недостатках старых версий и автоматически ищут те сайта, которые их используют.

Чтобы удалить из исходного кода страниц сайта информацию о версии WordPress, на которой он работает, нужно также внести изменения в файл function.php вашей темы. Добавьте в этот файл следующий код:

function remove_my_wp_version () {

 return '';

 }

 add_filter ( 'the_generator', 'remove_my_wp_version );

Кстати, с упомянутым уже плагином GD Press Tools это можно сделать, не открывая файл function, в разделе Settings / Security плагина можно отметить опцию «Remove WordPress version» и некоторые другие.

Remove WordPress version GD Press Tools

Например, с помощью этого чудесного плагина можно отключить страницу ошибки при входе, которую мы вспоминали выше:

Remove error messages from login screen GD Press Tools

Удачи и спокойствия за свои сайты в Интернете!

Удачи и спокойствия за свои сайты в Интернете

Фотографии в статье: Higger Tor by Andrew Stawarz и Day 2400 by evaxebra.

Похожие публикации

Поделитесь своими мыслями с помощью ВКонтакте или Facebook!



Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>