Есть один очень простой способ узнать логин WordPress, о котором не подозревают множество пользователей этой CMS. По умолчанию в стандартной сборке, чтобы войти в админку достаточно ввести ее адрес wp-admin и ввести пару для авторизации, но мы можем ровно в половину упростить хакерам задачу, указав на реальное имя пользователя.
Как узнать логин в WordPress
Даже точнее не общий логин входа а имя автора, которое используется для входа в административную панель. В любой записи прибавьте в конце такую комбинацию.
/?author=1
Произойдет редирет на страницу администратора или основного автора с правами админа. На снимке ниже показан точное имя.
Вот так просто смогли узнать, осталось только подобрать пароль и войти злоумышленнику в главную панель управления сайтом. Не путайте данный процесс с восстановлением доступа в WordPress через почту и другими методами.
Узнать логин и пароль через базу данных (database)
Дополню статью в том случае если вы админ блога, но забыли и вспомнить логин ну никак не можете. Тогда нужен хостинг, а именно панель MySQL с PHPMyAdmin, на всех хостингах находится панель по разным адресам, поэтому покажу только сам процесс внутри таблиц.
- В левом столбце находим таблицу wp_users.
- В правом окне отобразится содержимое.
- В столбце user_login найдете логин от вашего WordPress.
Тут вы можете посмотреть почту пользователя, но пароль никак, потому что он хранится в закодированном виде MD5. Пароль можете только изменить и он автоматом перекодируется, в следующих статьях покажу как это сделать.
Как закрыть возможность узнать логин от админки через url
Есть приемы и инструменты чтобы исключить возможность узнать конфиденциальные данные в CMS WordPress, применим два пути.
Скрываем урл логина с помощью Clearfy PRO
Если ищем решение с помощью плагина, то нашел только в ClearfyPRO, включаем соответствующий пункт и при заходе на страницу с ярлыком /?author=1 посетителя перекинет на главную страницу. Отмечу что данный метод не закрывает архивы авторов, а срабатывает именно когда вводят конфигурацию по вызову get команды.
Clearfy умеет не только удалять возможность узнать имя админа, но и закрывает еще почти 50 проблем в WordPress, например, управлять canonical в Yoast. Участникам проекта Wptemplate выдаю промокод, жмите на кнопку и получайте его.
Clearfy -15%
Применяем коды
Так как не нашел аналогов в плагинах, то напишу кастомную функцию. Прописываем ее в function.php активной темы.
function wptemplate_red_avtor() {
if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
global $wp_query;
$wp_query->set_404();
status_header(404);
} else {
redirect_canonical();
}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wptemplate_red_avtor');
Если не любите PHP, а чтобы редиректы срабатывали на уровне сервера, то в htaccess добавляем такую конфигурацию. Осторожно используйте код, потому что сервер может заклинить, и кэш у него обновится не сразу, можете прождать около 10 минут, но для тех кто не боится вот инструкция.
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://test-wp-kurs.ru/? [L,R=301]
Redirect 301 /author https://wptemplate.ru/
Доменное имя меняем на своё и сохраняем. Вставляем после надписи Begin WordPress. После сохранения смотрим на работу сайта и проверяем.
На этом закончу статью, ответил на вопрос как просто узнать логин в WordPress, а так же как это исправить при помощи трех простых методов.