Мы продолжаем работать над безопасностью нашего блога.
В предыдущих постах мы уже рассмотрели способы для защиты WordPress, такие как скрытие версии своего движка и защита сайта от XSS.
Сегодня мы будем прятать админа в css-классах комментариев в WordPress.
Первым при установке блога, очень важным шагом к повышению безопасности WordPress-сайта, является замена имени админа (admin), которое, как мы знаем, движок ставит по умолчанию.
Самое невероятное и смешное это то, что возможность менять логин при установке появилось только в 3-й версии WordPress.
Итак, подойдем к сути нашего вопроса, а вся соль в том, что имя админа можно элементарно увидеть в исходном коде комментариев, а именно в виде имени CSS-класса comment-author-admin.
Наша задача скрыть admin из CSS-классов в комментариях WordPress, потому как у злоумышленника есть возможность узнать логин админа – admin. А дальше ему остается только подобрать правильный пароль (поверьте это более, чем возможно).
Как скрыть логин админа в WordPress
Что мы делаем? Нам нужно добавить небольшую функцию в файл functions.php, который лежит в папке с вашей темой:
function
remove_comment_author_class(
$classes
) {
foreach
(
$classes
as
$key
=>
$class
) {
if
(
strstr
(
$class
,
"comment-author-"
)) {
unset(
$classes
[
$key
] );
}
}
return
$classes
;
}
add_filter(
'comment_class'
,
'remove_comment_author_class'
);
В результате мы исключаем возможность узнать логин администратора для злоумышленника.