Дополнительная защита от взлома

Эта запись 4 из 4 в серии Защищаем наш сайт

Всем доброго времени суток!

Сегодня, просматривая Интернет, прочитал короткий и полезный совет, как можно дополнительно обезопасить свой сайт или блог на WordPress.

Представьте ситуацию, когда кто-то, кто хочет проникнуть к вам в административную панель вашего блога, набирает известный вам и ему адрес — www.вашсайт/wp-admin —  и попадает на эту страничку:

21

Набирает наугад имя пользователя и пароль:

22

И получает в ответ:

23

Обратите внимание на скриншот выше. В ответе видно, что “нежданный” гость (взломщик) правильно набрал имя пользователя, и ошибся только в пароле.

А теперь давайте представим, что “нежданный” гость правильно набрал пароль, но ошибся с именем:

24

В ответ наш Вордпресс выдаст такое окно:

25

Разницу видите? Наше окно ввода логина и пароля сообщает взломщику правильный ответ. Если он ошибся с именем пользователя, но ввел правильный пароль – ему так и ответит админка, и наоборот: если введет правильное имя, но неправильный пароль – ответ именно такой и будет. А зная половину – легче найти вторую часть.

Как быть? Советую открыть файл functions.php вашего шаблона и где-нибудь, между началом и концом любого PHP кода (между началом – <?php и концом – ?>) добавить вот такой код:


add_filter('login_errors', create_function('$a', "return null;"));

Эта функция сделает так: она обнулит вывод сообщения о ошибке. В том смысле, что пользователь не увидит ответа: ОШИБКА: неверный логин, или неверный пароль.

И таким образом, наш “нежеланный” гость не узнает, что ему удалось подобрать логин или пароль.

Перевод отсюда: http://sixrevisions.com/wordpress/improve-wordpress-themes-tips


Понравилась статья? Поделись с друзьями!

3 коммент.

  1. Вы уважаемый ещё и трусило, комментарии ставим на проверку. Как я вижу, не зря!!

    Ответить
  2. Уважаемый. Читал некоторые Ваши статьи по безопасности. Всё это конечно замечательно. Но! Вы выдаёте мелкие и примитивные крохи. Мы все конечно понимаем, что сайт нужно регулярно наводнять статьями, хоть размером в один абзац, но нужно, и причём не плагиатить а создать свою, ну в крайнем случае перевести с английского. Но всё же будьте добры. Давайте более подробную информацию. Файла function.php в шаблоне не существует, есть файл functions.php, Вы его имели в виду? Или Вы предполали тот файл function.php, который нужно самому создать в корневом каталоге, а именно public_html. Тогда укажите нубам, как его правильно создать, отредактировать, чем нафаршировать и сохранить. Относитесь к аудитории с уважением, и к Вам потянутся не только люди, но и деньги!

    Ответить
    • В Ваших словах много высокомерия. Замечания Ваши принимаю. Можете полистать Сайдбар и найти там небольшую книжицу по безопасности, возможно, она вам покажется примитивной, но в ней — личный опыт, а не пересказ чужого…
      Заметьте, статья, о которой вы высказались, написана довольно давно, поэтому и выглядит возможно, достаточно мелко? хотя статья — не моя, она перевод и ссылка на первоисточник есть внизу статьи. Предложите свой труд, напишите интересную книгу о безопасности WordPress, и к вам потянутся не только деньги, но и люди.
      Файл действительно functions.php, вы правильно заметили мою ошибку.
      И совет на будущее — будьте снисходительнее, если нашли ошибки или неточности, написали, я исправил, и вам приятно, и люди довольны. А так…
      А что касается модерации комментариев — странно, вы свои не проверяете перед публикацией? Я проверяю, хотя публикую все, включая с матами.

      Ответить

Добавить комментарий