Как узнать имя админа

myslitelЗдравствуйте друзья! В предыдущей статье мы вроде бы как, затруднили взлом сайта путём изменения имени/логина администратора. Но, как проверить, не отображается ли ваш логин в Html-коде страницы. Для этого можно воспользоваться известным плагином-дополнением Firebug для браузера Mozilla FireFox. Вот что я случайно заметил, работая с этим дополнением. Это было отображение моего логина, который я вписываю при входе в админ-панель своего блога. Какой прок тогда от того, что я загрузил плагин, поменял имя. Ведь любой желающий может открыть статью, в которой есть мой ответ на комментарий и узнать имя админа. Считай, пол-дела сделано, осталось подобрать пароль.

 Мог ли я подумать, что в комментариях, вернее, в Html-коде комментария будет отображаться имя админа во всей красе. Хотите проверить? Если у вас установлен Firebug, кликните по своему комментарию правой клавишей мыши в любом месте,  желательно поближе к верхнему краю окна комментария (обведено кружком). В открывшемся контекстном меню выберите: Инспектировать элемент с помощью Firebug (стрелка 1).

В открывшемся дополнении Firebug, в окне Html-кода увидим подобную картинку. Это я удачно попал, что выделилась именно та строка, где отображается имя админа. Бывает, что выделится другая строка, а нужная, находится чуть выше или чуть ниже, зависит, в каком месте кликнули мышкой. Главное, строка начинается с <li id=”comment-… и так далее. 

Как скрыть имя админа

Из нескольких решений этого вопроса, я выбрал один, как мне показалось, самый подходящий. Скопируйте код :

function remove_css_class( $classes ) {
foreach( $classes as $key => $class ) {
if(strstr($class, «comment-author»)) {
unset( $classes[$key] );
}
}
return $classes;
}
add_filter(‘comment_class’, ‘remove_css_class’);

И вставить его в файл functions.php в самом низу перед закрывающим тегом ?>. Обновите файл и проверьте ещё раз свой комментарий. Если не можете, поверьте мне, логин больше не отображается.

Вот так выглядит строчка в Html-коде комментария (обведено рамкой).

Я не могу сказать, что теперь наш блог в полной безопасности, но эту дырку мы залатали. 

Для любителей озадачить незадачливого хакера, можно использовать вот такой код

function hide_login_in_css_class( $classes ) {
foreach( $classes as $key => $class ) {
if(strstr($class, «comment-author-virtual»)) {
$classes[$key] = ‘comment-author-admin’;
}
}
return $classes;
}

add_filter(‘comment_class’, ‘hide_login_in_css_class’);


В этом коде слово «virtual» замените на свой, действующий логин, а в новом CSS-классе ‘comment-author-admin’, слово «admin» можно так и оставить и это будет выглядеть, как-будто логин входа не изменялся. А можно, вместо «admin» выдумать любое другое имя.

 

Удачи Вам!

© mkoven

Поделиться ссылкой: