Cum se ascund utilizatorii inregistrati (WordPress)

Oricat de mult imi place platforma de blogging WordPress, pe care o folosesc pentru acest blog, sunt constient de vulnerabilitatile ce pot fii cu usurinta exploate de persoane cu intentii nu tocmai bune.

De exemplu stiati ca se pot afla utilizatorii inregistrati pe un blog accesand un simplu link pe acel domeniu? In poza de mai sus se poate vedea cum sunt redirectionat catre lista de articole scrise de un utilizator prin adaugarea la adresa blog-ului parametrul /?author=1. Se poate afla toata lista de utilizatori folosing aceasta metoda si incrementand numarul 1 la fiecare accesare. Cu ajutorul acestei metode pot afla ID-ul utilizatorului, username-ul si numele complet (daca a fost adaugat in momentul inregistrarii).

Probabil va intrebari la ce ajuta aflarea acestor informarii. O persoana rau voita care vrea sa acceseze panoul de administrare a blog-ului, va incerca probabil metoda brute-force (un atac prin care se incearca aflarea parolei incercand o lista cu parole uzuale). Desigur, daca utilizatorii folosesc parole complexe si metode de blocare a incercarilor esuate de autentificare, nimeni nu va reusi sa acceseze panoul de administrare a blog-ului. Un plus la securizarea blog-ului este “dezactivarea” acestei functionalitati folosing una din cele doua metode descrise mai jos.

1. adauga codul de mai jos in fisierul .htaccess situat in folder-ul parinte al blog-ului

RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

2. adauga codul de mai jos in fisierul functions.php situat in folder-ul temei curente

function redirectToHome() {
	$is_author = get_query_var('author', '');
	if ($is_author != '' && !is_admin()) {
		wp_redirect(home_url(), 301);
		die();
	}
}
add_action('template_redirect', 'redirectToHome');

Intrebari?

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.