Потенциальная дыра в вашем шаблоне WordPress

Как известно, одним из способов обезопасить сайт на WordPress является смена стандартного админского логина на любой другой, что должно усложнить подбор данных для аутентификации. Однако во многих шаблонах (в том числе в default) можно легко узнать логин админа, достаточно открыть исходный код.

Откройте любой блог на странице, где есть комментарии и ответы автора, и посмотрите исходный код комментариев. Ищите классы вида «bypostauthor» и «comment-author-<login>», где <login> и есть логин автора. Поскольку в 95% блогов автор один, то это и есть логин админа.
Вам нравится такое? Мне нет, поэтому давайте избавимся от этой подсказки для хакера.

Прежде всего нужно удалить в шаблоне комментариев (смотрите functions.php) вызов функции comment_class(). Именно она выводит список стандартных классов для комментария. Чтобы сохранить оформление, вместо функции пропишите явно классы, которые вам нужны.

Если же в functions.php не задан шаблон для списка комментариев и используется стандартный, тогда нужно создать такой шаблон и в нем уже проставить нужные классы. Подробно смотрите документацию.

А как быть, если в шаблоне комментарии автора должны иметь отличное от других оформление, как определить такой комментарий? Сделать можно например так:

  • Mudriy_koder

    совет для параноиков.

  • Я считаю что это излишне, большинство блоггеров ведут свой блог и не меняют стандартный логин admin, дело в том, что подобрать пароль к этому логину практически не возможно. Даже при качественном соединении вам потребуется лет 100 чтобы мой пароль подобрать сплошным перебором. Еще и капча поможет нам, особенно если она злая, попробуй ка подбери. Так что не паникуйте раньше времени, все будет хорошо!

  • Береженного бог бережет 😉

  • Вообще-то, «bypostauthor» может и на гостевой пост ссылаться. За «дырку» спасибо, но свой шаблон я менять, наверное, не стану.

  • Evgen Lev

    полностью поддерживаю! кто вам не дает создать пароль из, к примеру, 10-ти символов (с цифрами и англ. буквами) да еще и разного регистра? даже 100 лет не хватит такой подобрать. да и плюс ко всему, более менее грамотные люди такой сложный пароль меняют хотя бы раз в месяц! ну лет так 10.000 может и хватит, чтобы подобрать! ))