Как скрыть логин админа из Html — кода
Как узнать имя админа
Здравствуйте друзья! В предыдущей статье мы вроде бы как, затруднили взлом сайта путём изменения имени/логина администратора. Но, как проверить, не отображается ли ваш логин в Html-коде страницы. Для этого можно воспользоваться известным плагином-дополнением Firebug для браузера Mozilla FireFox. Вот что я случайно заметил, работая с этим дополнением. Это было отображение моего логина, который я вписываю при входе в админ-панель своего блога. Какой прок тогда от того, что я загрузил плагин, поменял имя. Ведь любой желающий может открыть статью, в которой есть мой ответ на комментарий и узнать имя админа. Считай, пол-дела сделано, осталось подобрать пароль.
Мог ли я подумать, что в комментариях, вернее, в Html-коде комментария будет отображаться имя админа во всей красе. Хотите проверить? Если у вас установлен Firebug, кликните по своему комментарию правой клавишей мыши в любом месте, желательно поближе к верхнему краю окна комментария (обведено кружком). В открывшемся контекстном меню выберите: Инспектировать элемент с помощью Firebug (стрелка 1).
В открывшемся дополнении Firebug, в окне Html-кода увидим подобную картинку. Это я удачно попал, что выделилась именно та строка, где отображается имя админа. Бывает, что выделится другая строка, а нужная, находится чуть выше или чуть ниже, зависит, в каком месте кликнули мышкой. Главное, строка начинается с <li id=”comment-… и так далее.
Как скрыть имя админа
Из нескольких решений этого вопроса, я выбрал один, как мне показалось, самый подходящий. Скопируйте код :
foreach( $classes as $key => $class ) {
if(strstr($class, «comment-author»)) {
unset( $classes[$key] );
}
}
return $classes;
}
add_filter(‘comment_class’, ‘remove_css_class’);
И вставить его в файл functions.php в самом низу перед закрывающим тегом ?>. Обновите файл и проверьте ещё раз свой комментарий. Если не можете, поверьте мне, логин больше не отображается.
Вот так выглядит строчка в Html-коде комментария (обведено рамкой).
Я не могу сказать, что теперь наш блог в полной безопасности, но эту дырку мы залатали.
Для любителей озадачить незадачливого хакера, можно использовать вот такой код
foreach( $classes as $key => $class ) {
if(strstr($class, «comment-author-virtual»)) {
$classes[$key] = ‘comment-author-admin’;
}
}
return $classes;
}
add_filter(‘comment_class’, ‘hide_login_in_css_class’);
В этом коде слово «virtual» замените на свой, действующий логин, а в новом CSS-классе ‘comment-author-admin’, слово «admin» можно так и оставить и это будет выглядеть, как-будто логин входа не изменялся. А можно, вместо «admin» выдумать любое другое имя.
Удачи Вам!
© mkoven
Огромное Вам спасибо, все получилось! Согласна с Вами, вроде бы везде защиту поставили, а тут такой недочет, ну ничего теперь все исправлено!
Пожалуйста, Ника! Рад за Вас!
Ой, как все сложно и опасно! Хорошо вам мальчикам коды, как орешки грызете. А что делать нам, тем, кто боится к кодам подступиться?
Попросить мальчиков помочь.
Firebug сейчас не обязательно иметь. В браузерах эта фича уже встроена.
Миш, вот я что-то ничего не понял и на скрине не разглядел твоего логина. Вот, если нетрудно, посмотри на моём блоге, какой логин? У меня никаких защит, как у Игоря, не установлено…
Честно говоря, не знал, спасибо Саша! Сейчас посмотрю, но вроде помнится, что админ стоял у тебя, я многие комменты просматривал перед написанием статьи.
Саша вот у тебя как: <div class=»comment byuser comment-author-admin bypostauthor odd alt depth-2 comment-wrap»> Только он почему-то в диве, а не в <li ID…
Ну понятно, эту строку я тоже увидел…
Ну и что это кому даст? Как это поможет в подборе пароля? Дело в том, что в основном пароли не подбираются — хлопотно это, а при надлежащей сложности пароля, даже бесперспективно. Пароли попросту воруются. Из сохранённых в браузере, FTP-клиентах и т.д… И тут никакое закрытие логина не поможет…
Саш, я может никогда и не писал бы этот пост, вернее, аж два поста получилось. Но, представь моё состояние. Я тут вставляю всякие защитные коды во все папки и файлы, ставлю плагины для защиты и вдруг, я совершенно случайно увидел свой логин в открытом дополнении, которое может открыть каждый пацан и увидеть то же самое, если ему это станет нужно.
Да, я всё понимаю — кому нужно, тот откроет твой блог, хоть сам чёрт там будет стоять на защите, это факт. Но вот эта мелочь вывела меня из себя и я почувствовал какую-то беззащитность, какую-то обманутость и полное разочарование. Ну что, полез в инет, понаходил всякие коды и поставил один из них в функции. И, даже не для читателя, а для себя самого сделал этот пост и почувствовал хоть какое-то удовлетворение.
Вот как-то так.
Здесь важно понимание того, что на самом деле это не защищает блог… Хотя может кое кого удержать от соблазна… Тут согласен…
У нас на дачах после советских времён люди стали себе городить заборы. Кто из шифера, кто из сетки рабицы, но высокие и обязательно с колючей проволокой вверху. На нашей аллее один я не стал ничего городить, такая, непуганая белая ворона. И что?! А то, что мою дачу обворовали самую первую. Причина!? Провокация! Я сам спровоцировал людей зайти в участок и взломать домик. А что, или карячиться лезть через 2-2,5м забор или переступить через ограду 80см высотой? То же самое может случиться и с сайтом.
Спасибо, что-то название знакомое, я уже имел с ним когда-то дело, может где-то не активированный валяется.
Привет Миша. Вчера не ответил, так как поздно уже было, пошел в кроватку 🙂
По поводу плагина…
Так я о нем как раз написал в моей статье про плагины установленные у меня на блоге, не помнишь?
Игорь, я ж подобные статьи читаю как? «Так, этот плагин мне знаком, этот тоже знаю, а, вот этот не знаю — что он делает, какая польза или вред, нужен ли, или, пригодится ли он на моих блогах?» Видимо в твоей статье я посчитал его очень знакомым плагином, потому что видимо я его когда-то устанавливал, но ещё не понимал до конца, какую роль он выполняет и видимо, был деактивирован, а может и удалён. Я такой человек, увидел что-то интересное, давай себе на сайт сходу устанавливать, тестить. У меня из-за этой моей дурной привычки столько раз рабочие блоги вылетали, бывало до двух дней. А теперь я всё тестирую на тестовом блоге. Вылетел блог, ну и ч с ним, сейчас новый закину. Ценного-то почти ничего нет в тестовом блоге.
Да, есть и для Хрома и для Оперы подобные дополнения, они имеют другие названия, но я не проверял в других браузерах. Можешь набрать в поисковике Firebog для Хрома или Опера. Попробуй. Кстати, с Firebog намного быстрей верстать темы и другие блоки.
Миша, я только что проверил у себя с помощью этого плагина и вот что я увидел:
li#comment-5744.comment.byuser.comment-author-admin.bypostauthor.odd
То есть название моего админа отображается как admin хотя понятное дело, что мой админ совсем другой!
Так что это значит? Что у меня всё нормально?
Да, если ты для входа используешь другое имя, то нормально, значит у тебя какой-то плагин выполняет эту роль или в теме уже вшит код.
Агааааа, это мой плагин защиты работает 🙂
Хороший плагин, умный плагин, молодец 🙂
Это который?
А это вот этот — iThemes Security
Кстати, для Хрома плагин называется Firebug Lite.
А это можно проверить только с помощью плагина debug? Или в Хроме есть тоже нечто похожее?