Как убрать возможность узнать имя пользователя WordPress

Одним из главных советов по безопасности Worpdress является переименовывание администратора сайта с admin на какого-то другого пользователя. Кроме этого, конечно, рекомендуется убрать вывод авторов, если автором записей является администратор.

Однако у движка Вордпресс есть одна встроенная особенность, которую нельзя отключить стандартными настройками блога. Эта особенность показывает все статьи определенного автора по адресу "http://мой-сайт/?author=1". Вместо "1" может быть любая цифра, то есть перебором номеров можно узнать имена всех пользователей сайта на WordPress.

Получается, что смена логина администратора не остается незамеченной.

Как отключить возможность узнать имя пользователя таким образом? Это особенно важно, если нужно скрыть логин администратора сайта на WordPress.

Делается это просто.

Нужно в файл .htaccess в корне сайта добавить следующую инструкцию:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://адрес-сайта/раздел/? [L,R=301]

Логично, что вместо "адрес-сайта/раздел" нужно указать действующую ссылку, например главную страницу сайта.

Чтобы лучше защитить ваш сайт на WordPress от взлома, не забывайте про защиту от перебора пароля.

Не забудьте и про адрес "/author/xxx". Он аналогичен ?author=1 и выводит записи указанного (например, xxx) автора. Чтобы скрыть эту страницу достаточно добавить в .htaccess следующую строку:

Redirect 301 /author http://ваш-сайт

Вместо "ваш-сайт" нужно подставить действительный урл.

One thought on “Как убрать возможность узнать имя пользователя WordPress

  1. Не плохой ответ по защите сайта. Но меня интересует другой вопрос. Как узнать имена пользователей, подписавшихся у меня на блоге?

Добавить комментарий