WordPress: удаляем имя админа из CSS-классов в комментариях
Одной из рекомендаций, касаемых безопасности WordPress-сайта, является замена имени админа (admin), которое устанавливается системой по умолчанию.
Я удивляюсь тому, как долго разработчики движка шли к следующему – лишь в 3-й версии WordPress появилась возможность при установке указать свое имя.
Так вот, суть в том, что имя админа содержится в исходном коде комментариев, в виде имени CSS-класса comment-author-admin
. Вот так это выглядит:
Видя этот класс, сразу понятно, что логин админа – admin. Остается только подобрать пароль.
Чтобы усложнить задачу хакерам, необходимо удалить этот класс путем добавления следующей функции в файл functions.php
вашей темы:
function remove_comment_author_class( $classes ) {
foreach( $classes as $key => $class ) {
if(strstr($class, "comment-author-")) {
unset( $classes[$key] );
}
}
return $classes;
}
add_filter( 'comment_class' , 'remove_comment_author_class' );
В результате мы избавились от одной из возможных подсказок для взломщиков.
P.S. Плюсом к вышеописанному рекомендую заблокировать отображение ошибок на странице авторизации.
Комментарии (3)
В исходном коде также отображается ID автора сайта, вот в такой строке
И тут уже меняй – не меняй ID автора, он всё равно на виду.
Может быть вы знаете, как в functions.php запретить также и вывод этого класса в исходном коде страниц?
В файле header.php найдите строку с тегом body и замените ее на
<body>
. Вот и все дела.Это сработало!! Спасибо!! ))