Узнать логин входа в админку WordPress – определяем уязвимость и закрываем от злоумышленников

Защита WordPress

Есть один очень простой способ узнать логин WordPress, о котором не подозревают множество пользователей этой CMS. По умолчанию в стандартной сборке, чтобы войти в админку достаточно ввести ее адрес wp-admin и ввести пару для авторизации, но мы можем ровно в половину упростить хакерам задачу, указав на реальное имя пользователя.

Как узнать логин в WordPress

Даже точнее не общий логин входа а имя автора, которое используется для входа в административную панель. В любой записи прибавьте в конце такую комбинацию.

/?author=1
Правим адрес записи.
Вставляем комбинацию.

Произойдет редирет на страницу администратора или основного автора с правами админа. На снимке ниже показан точное имя.

Видим login.
Результат.

Вот так просто смогли узнать, осталось только подобрать пароль и войти злоумышленнику в главную панель управления сайтом. Не путайте данный процесс с восстановлением доступа в WordPress через почту и другими методами.

Узнать логин и пароль через базу данных (database)

Дополню статью в том случае если вы админ блога, но забыли и вспомнить логин ну никак не можете. Тогда нужен хостинг, а именно панель MySQL с PHPMyAdmin, на всех хостингах находится панель по разным адресам, поэтому покажу только сам процесс внутри таблиц.

 Database.
Узнать login через БД.
  • В левом столбце находим таблицу wp_users.
  • В правом окне отобразится содержимое.
  • В столбце user_login найдете логин от вашего WordPress.

Тут вы можете посмотреть почту пользователя, но пароль никак, потому что он хранится в закодированном виде MD5. Пароль можете только изменить и он автоматом перекодируется, в следующих статьях покажу как это сделать.

Как закрыть возможность узнать логин от админки через url

Есть приемы и инструменты чтобы исключить возможность узнать конфиденциальные данные в CMS WordPress, применим два пути.

Скрываем урл логина с помощью Clearfy PRO

Если ищем решение с помощью плагина, то нашел только в ClearfyPRO, включаем соответствующий пункт и при заходе на страницу с ярлыком /?author=1 посетителя перекинет на главную страницу. Отмечу что данный метод не закрывает архивы авторов, а срабатывает именно когда вводят конфигурацию по вызову get команды.

Клеарфай ПРО.
Клеарфай.

Clearfy умеет не только удалять возможность узнать имя админа, но и закрывает еще почти 50 проблем в WordPress, например, управлять canonical в Yoast. Участникам проекта Wptemplate выдаю промокод, жмите на кнопку и получайте его.

Clearfy -15%

Применяем коды

Так как не нашел аналогов в плагинах, то напишу кастомную функцию. Прописываем ее в function.php активной темы.

function wptemplate_red_avtor() {
	if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
		global $wp_query;
		$wp_query->set_404();
		status_header(404);
	} else {
		redirect_canonical();
	}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wptemplate_red_avtor');
Вставляем код, скрывающий логин.
Вставка кода.

Если не любите PHP, а чтобы редиректы срабатывали на уровне сервера, то в htaccess добавляем такую конфигурацию. Осторожно используйте код, потому что сервер может заклинить, и кэш у него обновится не сразу, можете прождать около 10 минут, но для тех кто не боится вот инструкция.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://test-wp-kurs.ru/? [L,R=301]
Redirect 301 /author https://wptemplate.ru/

Доменное имя меняем на своё и сохраняем. Вставляем после надписи Begin WordPress. После сохранения смотрим на работу сайта и проверяем.

На этом закончу статью, ответил на вопрос как просто узнать логин в WordPress, а так же как это исправить при помощи трех простых методов.

Лифанов Валентин

Делаю обзоры, создаю сайты на WordPress с 2008 года. Данный блог покажет плюсы и минусы любой темы и плагина, и даст полезные советы.

Оцените автора
Лучшие шаблоны и плагины для WordPress
Добавить комментарий