Записи с тегом "безопасность"

Удаляем имя админа из CSS-классов в комментариях

3
17 марта 2010 г.

Одной из рекомендаций, касаемых безопасности WordPress-сайта, является замена имени админа (admin), которое устанавливается системой по умолчанию.

Я удивляюсь тому, как долго разработчики движка шли к следующему – лишь в 3-й версии WordPress появилась возможность при установке указать свое имя.

Так вот, суть в том, что имя админа содержится в исходном коде комментариев, в виде имени CSS-класса comment-author-admin. Вот так это выглядит:

Удаляем имя админа из названий CSS-классов в комментариях

Видя этот класс, сразу понятно, что логин админа – admin. Остается только подобрать пароль.

Чтобы усложнить задачу хакерам, необходимо удалить этот класс путем добавления следующей функции в файл functions.php вашей темы:

function remove_comment_author_class( $classes ) {
	foreach( $classes as $key => $class ) {
		if(strstr($class, "comment-author-")) {
			unset( $classes[$key] );
		}
	}
	return $classes;
}
add_filter( 'comment_class' , 'remove_comment_author_class' );

В результате мы избавились от одной из возможных подсказок для взломщиков.

P.S. Плюсом к вышеописанному рекомендую заблокировать отображение ошибок на странице авторизации.

Запрет отображения ошибок на странице авторизации

6
25 июня 2009 г.

При попытке авторизации на WordPress-сайте, если указаны неправильные данные (либо логин, либо пароль, либо то и другое одновременно), система выдает ошибку, в которой сообщает, что именно было введено неверно, т.е. если был указан неправильный логин, то WordPress в ошибке скажет, что логин неверен.

А такая информация увеличивает вероятность подбора логина/пароля, поскольку взломщик будет наглядно видеть, какая часть данный не подобрана.

Чтобы избежать этого, достаточно лишь добавить в файл functions.php своей WordPress-темы следующую строчку:

add_filter('login_errors',create_function('$a', "return null;"));

Теперь информация об ошибке выводиться не будет, останется только сигнальная розовая рамочка.

—–
Посетив сайт JimmClub, вы сможете мобильную аську Jimm для телефона скачать бесплатно, воспользовавшись онлайн конструктором, либо выбрать уже готовую сборку из представленного списка наиболее популярных.

Облако тегов

Последнее

Популярное

Архивы