При создании блога на cms WordPress, по умолчанию, Ваш логин (имя пользователя), генерируется автоматически, и изменить его нельзя.
Думаю, всем известна эта запись в Вашем профиле.
И к сожалению, об этом так же знают все, кто хотя бы раз устанавливал этот движок . Что же это? Разработчики ничуть не заботятся о безопасности, и злоумышленникам остается только подобрать пароль? Хотя это не так уж просто, но поверьте, делать они это умеют.
Конечно, над дырами в безопасности, ведется серьезная работа, и в сети не много полезной информации можно найти по запросу «взлом WordPress».
И исходя из этого, можно сделать вывод, что скрипт довольно хорошо защищен, особенно последние версии.
Но тем не менее, давайте предпримем несколько шагов, для своего спокойствия. Ведь на многих хостингах безопасность оставляет желать лучшего.
И так, что мы сегодня реализуем:
- Изменим имя (логин) администратора, на более надежный
- Защитим вход в админку от brootfors (перебор пароля)
- Защитим папки от не желательного визита
Итак приступим:
Изменение логина администратора
Для изменения логина admin (который «изменить нельзя») , нужно на своем хостинге зайти на вкладку базы данных — phpMyadmin, выбрать соответствующую Вашему блогу базу, и найти в ней таблицу wp_users и кликнуть на пиктограмму «обзор».
Попадаем внутрь таблицы (иконка редактировать), меняем строку user_login, в столбце «значение», запись admin на, к примеру, Administrator, или ту которую сами пожелаете, нажимаем сохранить.
Далее в админку, на вкладке «Пользователи» —> «Ваш профиль», Выбираем отображение на сайте, имя или ник.
Кстати, ник admin и логин это разные имена, поэтому ник можно не менять, так как к входу в админку он отношения не имеет.
С этим разобрались.
Идем далее по схеме:
Защита от перебора пароля
Защитой от brootfors (перебор пароля) с помощью специальных программ/скриптов, нам послужит плагин Login LockDown. Устанавливается по обычной схеме:
- Распаковываем архив с плагином
- Файл из папки login-lockdown закидываем в папку wp-content/plugins на Вашем сервере (можно папку login-lockdown целиком)
- Активируем в админке — плагины/login-lockdown
Переходим в настройки.
В результате, при входе в админ панель получаем такую картину:
Что означает «Форма входа, защищена плагином LockDown».
Переходим к последнему шагу.
Защита папок
Попробуйте проверить доступ к вашим папкам, подставив к адресу сайта имя папки, к примеру http://ваш сайт/images, или любой другой размещенной в вашей корневой директории.
Если видим пустую страницу или сообщение об 404 ошибке, значит все хорошо, и ничего предпринимать не стоит. На вашем сервере достаточно хороший уровень безопасности. Если видим, например (в случае с папкой images) список каталогов, то это уже не есть хорошо. Но сейчас мы пойдем другим путем.
Откройте файл . htaccess вашего блога, и добавьте в него вот такую строчку:
Options All - Indexes
Вот на этом пожалуй, стоит остановиться. Добавить хочу только одно:
не забывайте обновляться до новых версий.
Оберегайте свои проекты, и пусть Ваш on-line бизнес, процветает.
С уважением, Яровиков Олег