Бывают случаи, когда используя много разных комбинаций, одна из них забывается. Не исключено, что это может произойти и с данными от админки WordPress. Разбираемся, как легко узнать логин и не дать сделать это хакерам.
Через уязвимость
Заводская ошибка, которая присутствует на любом неоптимизированном сайте: по URL адресу site.com/?author=1 отображается логин автора и все его публикации. Вариации этой страницы меняются в зависимости от темы.
Первоначально проверьте свой блог на присутствие такой дыры авторизации. Если перенаправление произошло и отображается страница с нежелательным содержимым, то любой пользователь (даже неавторизованный) сможет попасть на такую страницу и узнать логин WordPress.
Это — большая проблема, которую лучше убрать (во избежание проникновения в панель администратора злоумышленниками).
Узнать используя базу данных
По большей части, БД, включая используемую в WordPress, написаны на языке MySQL. Если предыдущий метод не работает — следует зайти непосредственно в базу данных и восстановить имя аккаунта для входа.
Для этого необходимо зайти в панель управления веб-сервером (если не знаете как это сделать — обратитесь в техническую поддержку вашего хостинг-провайдера), после выберите раздел с базами данных.
Дальше необходимо выбрать используемую на ресурсе и перейти в интерфейс управления (зачастую это PHPMyAdmin или PHPPgAdmin).
Если смотреть на самом частом примере, то есть на PMA: в правом боковом меню выберите таблицу wp_users.
В столбцах user_login и user_pass можно определить нужную информацию о логине и пароле соответственно. Не рекомендую менять данные, так как все, кроме логина и почты, зашифрованы методом md5. Но можно поменять логин или почту в силу отсутствия шифрования.
Отключаем возможность узнать логин WordPress
Существует всего лишь один плагин для WordPress, способный решить эту задачу. В остальном — необходим опыт системного администрирования или программирования на PHP.
Через Clearfy PRO
Наиболее подходящий новичку вариант. В рамках улучшения безопасности и технического SEO, клиарфай также помогает скрыть название аккаунта админа, не дав узнать его взломщикам.
Найти эту опцию можно в разделе “Защита”, который доступен при настройке конфига плагина (вкладка в левом боковом меню). Советую отметить этот чекбокс, потому что негативного влияния на продвижение не будет, а безопасность ресурса это повысит.
При помощи системной функции
Кроме расширения, решить эту задачу можно посредством вставки функции. Для этого перейдите в редактор тем (вкладка “Внешний вид”) или ПУ хостинга и выберите functions.php, после вставьте следующий код:
function wpboost_red_avtor() {
if ( is_author() || ( isset( $_GET['author'] ) && $_GET['author'] && !is_admin()) ) {
global $wp_query;
$wp_query->set_404();
status_header(404);
} else {
redirect_canonical();
}
}
remove_filter('template_redirect', 'redirect_canonical');
add_action('template_redirect', 'wpboost_red_avtor');
После обязательно нажмите “Обновить файл”, иначе внесенные изменения не будут успешно сохранены и можно будет узнать логин.
Посредством настроек сервера
Один из самых сложных для новичка способов. Суть его заключается в редактировании файла .htaccess, который является конфигурацией сервера, управляя всей его работой.
Перед тем, как изменять что-либо, на всякий случай попросите сотрудников технической поддержки в рамках администрирования самих произвести настройку.
Перейдите в самый конец документа и после строки “#END WordPress” вставьте следующий фрагмент (с заменой на ваш домен):
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://site.ru/? [L,R=301]
Redirect 301 /author https://site.ru/
Важно также поставить правильный ответ сервера: вместо 404, из-за которого будет увеличиваться нагрузка поисковых роботов на сервер в силу множества лишних страниц в обходе, 301 (перманентный редирект), который будет гарантировано направлять роботов на главную.
Если вы сделали что-то не так, могут появиться ошибки при входе в админку WP. В статье по ссылке рассказываю, как их победить.