Скрываем админа в css-классах комментариев

Мы продолжаем работать над безопасностью нашего блога.

В предыдущих постах мы уже рассмотрели способы для защиты WordPress, такие как скрытие версии своего движка и защита сайта от XSS.

Сегодня мы будем прятать админа в css-классах комментариев в WordPress.

Первым при установке блога, очень важным шагом к повышению безопасности WordPress-сайта, является замена имени админа (admin), которое, как мы знаем, движок ставит по умолчанию.

Самое невероятное и смешное это то, что возможность менять логин при установке появилось только в 3-й версии WordPress.

Итак, подойдем к сути нашего вопроса, а вся соль в том, что имя админа можно элементарно увидеть в исходном коде комментариев, а именно в виде имени CSS-класса comment-author-admin.

Наша задача скрыть admin из CSS-классов в комментариях WordPress, потому как у злоумышленника есть возможность узнать логин админа – admin. А дальше ему остается только подобрать правильный пароль (поверьте это более, чем возможно).

Как скрыть логин админа в WordPress

Что мы делаем? Нам нужно добавить небольшую функцию в файл functions.php,  который лежит в папке с вашей темой:

function remove_comment_author_class( $classes ) {
foreach$classes as $key => $class ) {
if(strstr($class"comment-author-")) {
unset( $classes[$key] );
}
}
return $classes;
}
add_filter( 'comment_class' 'remove_comment_author_class' );

В результате мы исключаем возможность узнать логин администратора для злоумышленника.

Просмотров:

Добавить комментарий