Сегодня я продолжу давать бесплатные советы по безопасности блога.
Если честно, советы не мои, а Анжелики Александровой, но она решила «постесняться», а не писать статью. Всем нам знаком её полезный блог http://delaisaity.ru.
Вместо того, чтобы самой написать статью-продолжение, она вчера весь вечер пробовала меня обучать уму-разуму... Что из этого получилось — судить вам!
Я продолжаю страшную тему, поднятую Жанной в статье о безопасности блога. Кратко повторю то, что было в предыдущей статье.
Предположим, появился шпион-взломщик. Он через браузер Гугл Хром заходит на одну из ваших страниц, где вы отвечали на комментарии, имея доступ к своей админ.панели (т.е. в любое время могли перейти в консоль). Это значит, что вы были залогинены. Этот взломщик решил проверить код странички и нажимает в Гугл Хроме одновременно клавиш Ctrl+U (при английской раскладке языка).
И взломщик легко сможет увидеть ваш логин пользователя, под которым вы заходите в админку своего блога. Ему остаётся только подобрать ваш пароль и — вуаля, сайт взломан!
Вот так, через просмотр кода комментариев, можно легко найти ваш логин. Есть выход — комментировать в том браузере, где вы не заходите в админку, комментировать как обыкновенный пользователь, а не администратор. Тогда, при том же самом заполнении электронной почты и адреса сайта — при просмотре кодов ваш логин не проявляется.
Конечно, немного неудобно бегать с одного браузера на другой — я вчера, как кузнечик прыгала, то в Оперу, то в Гугл Хром.
Есть решение! Удалить эту ссылку, которая показывает на ваш логин.
Как удалить вредную ссылку с логином пользователя?
Перед вами картинка — фрагмент кода моего блога. Теперь внимательно смотрим на участок с надписью «логин» — я его, этот мой логин, закрыла от ваших взоров, зарисовав белой краской, а сверху написала слово «логин», чтобы вы понимали, где его можно увидеть на коде. Дальше смотрим на участок, закрашенный оранжевым цветом и видим на нём надпись «url fn n».
После надписи на оранжевом фоне видим ссылку, которая обведена зелёным цветом, включая и мой логин. Именно эту вредную ссылку необходимо удалить, но она в самих кодах вашего шаблона будет выглядеть иначе. Об этом - ниже. Объявляем международный поиск в кодах шаблона вашей темы надпись «url fn n». Ищем в поте чела!!!
По-шаговая инструкция удаления ссылки в коде файла вашего шаблона
1. Заходим в админ панель.
2. Слева на вертикальной панели находим надпись «Внешний вид». Подводим стрелку курсора к надписи (не кликаем) и появляется окошко, в котором находим слово «Редактор» и кликаем по нему.
3. Попадаем в Редактор. Нас интересуют файлы шаблона, расположенные справа. В каждом шаблоне сочетание букв «url fn n» расположено по-разному. Поэтому ищем во всех файлах. Справа есть фото, как выглядят названия файлов, где вы будете искать надпись «url fn» У меня это достаточно длинный список файлов и многие не поместились на этом фото.
По очереди кликаем на надписи файлов справа. Файл открывается и вы видите коды. После того, как открыли очередной файл - нажмите одновременно кнопки на клавиатуре Ctrl и F. Появится небольшое окошечко поиска — вверху справа или слева страницы.
4. В окно, которое появится введите это сочетание букв «url fn n» и нажмите Enter. Искомые слова маркер окрасит в другой цвет — у меня — в зелёный. Если вы внимательно просмотрели файл и не нашли словосочетание, открываете следующий. У моего шаблона этот файл был почти в конце списка — пятый снизу. Я уже не верила, что его найду.
В моей теме шаблона файл, в котором была подсветка «url fn n» назывался lib-content.php, в Анжелики ссылка была в двух файлах — в функциях и ещё в одном файле. Вообще всё очень индивидуально. Но найти — можно!
5. Удаляем ссылку, которая показана на рисунке зелёной обводкой. Рисунок показывает, как выглядит эта ссылка при просмотре кода страницы в Гугле Хром. В вашем файле шаблона вид будет другой:
«url fn n» href="%2$s'. И удаляем в файле переменную похожую на эту: href="%2$s'," (это значит, что вы удалили вашу ссылку с названием блога и с логином к админке).
Само сочетание «url fn n» — не удаляем!!!
Для «особо понятливых» (как я!) — повторяю ещё раз:
— при просмотре кода страницы в Гугл Хром вид следующий: «url fn n» href="http://ваш домен/autor/ваш логин"/
— при просмотре в Редакторе файлов шаблона код будет выглядеть: «url fn n» href="%2$s',"
— удаляем href="%2$s',"
— не удаляем «url fn n»
6. Внизу страницы нажимаем «Обновить файл» и на этом процесс удаления ссылки с логином вашего сайта подошёл к концу (смотрим фотографию):
7. После этого переходим в Консоль, ищем надпись в панели слева Пользователи, подводим курсор (не кликаем) и видим надпись в новом окошке Добавить нового. откроется новая страница и вы заполняете обязательные поля (рядом стоит звёздочка). Помните: в поле надписи
прописываем ваше имя (ник) английскими буквами, например: midyk
Дальше — всё понятно. Подберите надёжный пароль, можно через сервис по подбору паролей, можно — самому. Заполнив почти все поля, подходим к надписи Роль и рядом есть окошечко, где ставим надпись Администратор. Всё готово — нажимаем (обязательно!) на надпись Добавить нового пользователя и вы попадаете на страницу Все пользователи.
8. Теперь Вам необходимо выйти из учётной записи. Для тех, кто не знает как:
подводим курсор к верхнему правому углу страницы, там есть запись Привет, Ваше Имя (у меня — Привет, Галина Нагорная), появится маленькое окошко в конце которого вы нажимаете надпись Выйти. Не забудьте перед выходом записать логин и пароль нового пользователя.
9. Вышли и перед вами появляется окошко WordPress, со старым логином и паролем — вы вводите новые и входите уже как другой пользователь. Удаляете старого пользователя ( при наведении на него курсора появится надпись Удалить, кликаем на неё и удаляем). При этом выскочит окошко:
Что нужно сделать с записями этого пользователя?
Необходимо отметить галочкой или точкой надпись Связать всё содержимое и Подтвердить удаление пользователя.
Теперь все предыдущие комментарии перейдут под нового пользователя. И только сейчас ваш логин перестанет быть видимый при проверке в кодах страницы.
10. На всякий случай в Гугл Хроме делаем повторную проверку кодов комментирования. (В Гугле Хром одновременно нажимаем при англ. языке две клавиши: Ctrl + U — появится страница с кодами, и вызываем окошко быстрого поиска — одновременно нажав Ctrl + F, в окошко вводим новый логин и проверяем его наличие). При правильном соблюдении последовательности шагов, безопасности вашего сайта ничего уже не угрожает.
Но, спешу огорчить — не расслабляйтесь! Возможен такой вариант, как у меня...
Расслабляться рано — враг не дремлет!
Возможен вариант надписи автора в виде ссылки в начале статьи или в конце анонса. Только не путать с подписью под статьёй — это не та ссылка! На всякий случай, показываю картинку со своей ссылкой. При просмотре в кодах у неё тоже появлялся логин. Сами здесь удалить не сможете — всё очень индивидуально. Обращайтесь к тем, кто это умеет делать. Мне помогла избавится Анжелика Александрова, за что ей огромное спасибо! И за терпение...
Вот картинка с надписью автора (она же — ссылка), при нажатии на неё в верхней строке браузера (рядом с названием блога), появлялся логин для входа в админ.панель:
Если и у вас есть такая ссылка — посмотрите коды и вы увидите свой логин. Ну, или кликните и в этот момент посмотрите в строку с названием вашего блога... Срочно эту ссылку тоже удалять. Описать не смогу — всё очень сложно и для каждой темы шаблона сугубо индивидуально.
Итог войны с ссылками
1. На каждом шаблоне блога есть нежелательные ссылки, которыми могут воспользоваться взломщики.
2. Некоторые действия по их удалению вы можете сделать самостоятельно, использовав мою по-шаговою инструкцию.
3. Очень важна последовательность! Те же действия, а эффект разный. Если нарушить описанную последовательность шагов, то логин вашего пользователя от админ.панели будет виден!
Комментарий Анжелики Александровой:
Сначала — удаление кода, потом — новый админ, удаление старого и привязка комментариев. Затем нужно выйти из учётной записи и просмотреть код страницы на наличие обоих паролей.
3. Есть ссылки, с которыми вы не сможете справится сами. Просите помощи у знающих блогеров.
На этом все ужасы с кодами, ссылками и логинами закончились... Из этой статьи вы узнали, как самостоятельно поддерживать безопасность своего блога и удалить из его кодов вредные ссылки.
Кто хочет, тот говорит мне спасибо. Как? Нажав кнопочки соц.сетей.
А я выражаю искреннюю благодарность Анжелике Александровой за её щедрое сердце и необыкновенную скромность, а также постоянную готовность помочь! Анжелика, честно, я не знаю, что бы я делала без Вашего участия... Примите эти нежные цветы — они Вам очень подходят:
Успеха всем в сохранении суверенитета собственного блога!
Если есть вопросы — задавайте в комментариях. С удовольствием отвечу каждому...
С уважением, Галина Нагорная
<<<все статьи здесь>>>
Понравилась статья? Расскажите друзьям:
![](/wp-content/plugins/socialbuttons/images/twitter_mini.png)
![Share in Vkontakte](/wp-content/plugins/socialbuttons/images/vk_mini.png)
![Share in Facebook](/wp-content/plugins/socialbuttons/images/fb_mini.png)
![Share in Google Buzz](/wp-content/plugins/socialbuttons/images/buzz_mini.png)
![Share in Moy Mir](/wp-content/plugins/socialbuttons/images/moymir_mini.png)
Приглашаю к общению:
![](/wp-content/plugins/socialbuttons/images/twitter_full.png)
![Friend me in Vkontakte](/wp-content/plugins/socialbuttons/images/vk_full.png)
![Friend me in Facebook](/wp-content/plugins/socialbuttons/images/fb_full.png)
![Follow me in Google Buzz](/wp-content/plugins/socialbuttons/images/buzz_full.png)
![Friend me in Moy Mir](/wp-content/plugins/socialbuttons/images/moymir_full.png)
Надеюсь, что ситуацию немного прояснила и показала наглядно, где собака зарыта! И как от этой собаки избавится...Зачем она нам, зарытая?
Спасибо, Галина! Очень люблю белые цветы!
А статью я постеснялась писать, да. Это ведь такая ответственность — гостевой пост!
То ли дело на своём блоге публиковать. Но такой статьи у меня нет, хотя автора у себя удалила ещё в прошлом году.
Моё обучение сейчас движется очень стремительно и я не успеваю о многом поведать, а после к этому уже не возвращаюсь, узнавая что-то новое.
Мне думается, что все про всё давно знают, а я ещё новичок.
Анжелика recently posted...3D эффект текста![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Анжелика, я очень радуюсь Вашему стремительному обучению, но вот думать, что остальные уже всё знают, а Вы новичок... Тогда кто я???? Зародыш...![:)](/wp-includes/images/smilies/icon_smile.gif)
Это тот случай, когда скромность надо отбросить!
Ой, ну чего прицепилась я к человеку?!!! Делайте, как Вам удобно, Анжелика!
Только лично я Вас к новичкам не отношу.![:)](/wp-includes/images/smilies/icon_smile.gif)
Здравствуйте!
Полностью согласна с Галиной — далеко НЕ ВСЕ и далеко НЕ ВСЁ знают!
Обучение бесконечно и безгранично.
Галина, вот ещё одна тема для вашего вещания — мы иногда стесняемся или боимся писать на своём блоге что-то, потому что нам кажется, что это уже известный факт. Может оно и так, но не для всех. На тему сегодняшней статьи написано в Интеренете много, вопрос как написано и вопрос веры (на заборе тоже написано..., а заглянешь — дрова)
Как говорится, на каждый товар свой покупатель, так и здесь, на каждый вопрос свой читатель.
Потому что может именно НАШЕ (ваше, моё, Анжелики и так каждого в своём деле) слово окажется тем решающим и понятным.
Наталья recently posted...Семейное воспитание детей. Теория и практика.![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Наталья, Вы очень классно подметили одну деталь:
не столь важно о чём ты пишешь, важно то, насколько тебе доверяют постоянные читатели и Как ты — даже банальную тему, сделаешь интересной, пропустив её через своё восприятие и своё видение.
Относительно ЗНАЮТ — знать и сделать очень отличаются понятия...
Здравствуйте, Галина! А я и не подозревала, что логин хозяина сайта так просто обнаружить!!! Однако есть еще один выход для спасения от брут-форс атаки. Можно поставить защитный плагин (лично у меня стоит iThemes Security) и настроить его таким образом, что при попытке подобрать пароль к админке определенное количество раз (у меня настроено на 10 или 20 попыток, не помню точно) IP злоумышленника блокируется. После попытки взлома мне на почту приходит письмо, что кто-то пытался залезть. Единственное, что если сам пароль забудешь и будешь подбирать его методом научного тыка или по памяти, то плагин и тебя забанит![:)](/wp-includes/images/smilies/icon_smile.gif)
Юлия, я тоже не подозревала, что логин так просто обнаружить! Это спасибо двум умницам — Жанне и Анжелике — просветили меня, тёмную и я сразу об этом и поведала...
Я сейчас сделала очень серьёзный пароль и поменяла пользователя. Это не сложно было.
А относительно плагина по защите — он у меня конфликтует с плагином комментирования. Пришлось удалить.
Очень полезный плагин, Юлия, согласна! В нём есть настройка скрытия страницы входа. Т. е., обычно для входа мы вводим логин и пароль в специальную форму, когда набираем после доменного имени wp-admin или wp-login.php, а настроив в плагине iThemes Security кодовое слово (которое известно только владельцу сайта), зайти в страницу входа в Вордпресс возможно будет только так: http//сайт.ru/кодовое слово. Вот, например, на мою страницу входа в админку не попасть. Нет её))).
Анжелика, есть упущение в этом плагине — если заходить в админку из приложения вордпресса для андроида, то доступ ко входу обычный, несмотря на то, что у меня в браузере тоже настроена отличная от стандартной страница входа. Надо бы еще проверить, считает ли этот плагин количество попыток входа из этого приложения.
Я с андроида захожу так же с кодовым словом, без него меня перекидывает на Главную (стоит редирект). Какое интересное приложение у вас, Жанна), а как называется?)))
Анжелика recently posted...Неоновое свечение для текста![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Анжелика, приложение называется очень оригинально — WordPress, создатели подписаны как Automattic, Inc
Да, эту настройку я тоже использую, так что в мою админку тоже так сразу не попадешь![:)](/wp-includes/images/smilies/icon_smile.gif)
Юлия Qween recently posted...Как я изучаю английский. Подборка полезных онлайн-ресурсов![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Прошлась по своему «Взгляду...» ничего подобного в коде не обнаружила((( Не знаю, радоваться или огорчаться. Я смотрела ссылку в комментариях, а в вопросе автора мне легче- у меня нет автора в статьях, потому что на моем сайте я — единственный автор)
Лора recently posted...Весна на исходе. Пора подводить итоги!![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Лора, я тоже единственный автор, посмотрите на рисунок — имеется в виду, что в шаблоне есть ссылка на Вас, как автора...
Ни Вы, ни я её не делали — такой шаблон!
На моем Взгляде шаблон я практически делала сама, пользуясь стандартной темой гугла. Я знаю, как искать нужный код в шаблоне)) И в принципе свой шаблон знаю как свои пять пальцев)) Просто я изначально не хотела указывать авторство статей и поэтому и не прописывала этот параметр. А что касается тем, то в любой теме этот пункт можно просто удалить)) Я вот на Обовсёмке авторство удалила. Оставила в тегах ссылки на авторов статей, потому что на новом сайте будут три автора, а может быть и больше)))
Хотя , если честно, совсем не уверена, что если какой-то спец соберется «взломать» мой блог, то он не найдет любой иной способ))
Лора recently posted...Ночная серенада. Романтика давних времен.![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Я опять стучусь к Вам, Лора. А какое сочетание Вы искали? Оно должно быть url fn n
и вроде бы есть у всех. Вы глазами искали или через поиск, как в статье описано? Потому что я первый раз (глазами) его не нашла.
Искать надо через Редактор. И во всех Ваших файлах. Оно может быть не в одном.
Я искала через редактор. На Взгляде таких фраз нет) а вот на Обовсёмке есть, но все равно при удалении их, я виду свой логин на вход... как впрочем вижу сейчас и ваш... Он чуть выше располагается чем указанная фраза...
Лора recently posted...Что останется после меня… Что возьму я на память с собой…![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Но конечно, береженого и Бог бережет)) Спасибо за информацию!!! По крайней мере, я узнала, что можно подобраться к моему блогу «с тыла»))) Как-то раньше и не задумывалась... А вот прочитала Вашу статью и задумалась))
Лора recently posted...Весна на исходе. Пора подводить итоги!![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
К сожалению, этот вариант не защищает((( Я все равно вижу ссылку на ваш, Галина, логин... И сейчас, когда вы убрали те значки... У меня тоже не срабатывает на втором сайте, где код я нашла и исправила... Или у нас с Вами необычные шаблоны, и поэтому защита не действует, либо что-то не то в самом предложении ))
Лора recently posted...Весна на исходе. Пора подводить итоги!![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Здравствуйте!! В сегодняшнем полуночном эксперименте с блогом Натальи Тараскиной по удалению логина из кода страницы, мы пришли к желаемому результату вот таким способом:
сначала удалили код, про который написано в статье, затем создали нового администратора, удалили прежнего и связали все комментарии с новым.
После удаления кода из файлов, у нового администратора логин не отобразился в просмотре кода страницы, а после привязки комментариев, логин предыдущего администратора исчез из просмотра.
Таким образом, мы убрали все логины из просмотра кода страницы.
У кого не получается удалить логин по какой-либо причине, обращайтесь ко мне:
e-mail: delaisaityru@yandex.ru ICQ: 697068914
Разберёмся!
Анжелика recently posted...Непрерывно печатающийся текст![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Анжелика, а когда новый администратор начинает комментировать, его логин тоже не появляется?
Пользуюсь, как обычно. Никакой разницы и неудобств не ощущаю. Логина нет. Можете проверить. Нет его, удалила! И старый пропадает после удаления прежнего админа.
Анжелика, отлично, спасибо, что поделились опытом — завтра буду свой блог улучшать![:)](/wp-includes/images/smilies/icon_smile.gif)
Анжелика, но ведь у меня мы сделали всё тоже самое, что Вы сейчас описали, но логин вижу невооружённым взглядом... Что за муть?
Всё дело в последовательности... Сначала удаление кода, потом новый админ, удаление старого и привязка комментариев. Затем нужно выйти из учётной записи и просмотреть код страницы на наличие обоих паролей.
Анжелика recently posted...Текст с тенью![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Вот безопасность точно никогда лишней не бывает. Надо бы тоже всерьез заняться блогом. Уже больше года этого не делала. Вы так легко и доступно пишете, буду следовать вашим советам, Галина!
Светлана recently posted...Необычное применение лака для волос![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Светлана, там не так всё просто... Почти в каждом шаблоне — свои заморочки!
Галина Нагорная recently posted...Ключ к написанию статей для блога. Пишем, как дышим – легко и просто.![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)
Галина, благодарю за разъяснение.
У меня тоже стоит плагин iThemes Security , но нажав на Автора Записей увидела,что логин все таки видно![:(](/wp-includes/images/smilies/icon_sad.gif)
А я все думала, ну как взломщики видят даже сложные логины (наблюдала у Клиентов). Оказывается все так просто.
Но сама в код шаблона темы не полезу, напишу Автору шаблона премиум класса, чтобы уточнить КАК это сделать на своих сайтах
Татьяна Прозорова recently posted...Как защитить сайты на wordpress с помощью плагина iThemes Security![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Конечно, если есть возможность — лучше обратится к разработчику, Татьяна!
Интересная информация. Правда я сама коды не исправляю, все кажется что что-нибудь сломаю. Пока программист обслуживает, покажу ему Вашу статью. Спасибо.
Зоя recently posted...Техники исполнения желаний![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Там всё дело в последовательности действий, хотя я Вас понимаю — сама трусиха, спасибо Анжелике, взяла надо мной шефство...
Начиталась про вредность, Галина! Вчера поискала у себя не нашла! Вечером еще Анжелике написала, ух, точно нет! Заодно и пароль на боле надежный сменила!
Вот видите, как всё хорошо у вас складывается Мария! Даже вредные ссылки от Вас сбежали...
Свое детище нужно оберегать. Это правда. Но сложная все-таки то наука. Особенно тем кто в технических тонкостях ни бумбум.
Алексей Григорьев recently posted...Александр Борисов закрывает бизнес![My Profile](/wp-content/plugins/commentluv/images/littleheart.gif)
Как я Вас понимаю, Алексей!
Жанна! Огромное спасибо за кошечек без полоски — так красиво стало по бокам!!! Какая Вы молодец!
Галина Нагорная recently posted...Как организовать конкурс на блоге — мои секреты![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)
Фоновое изображение в Хроме просто потрясно выглядит, а в Опере — справа есть полоска... Или это у меня кешь?
Галина, вот про эту полоску я вам и писала, что не понимаю, почему изменилась ширина картинки, хотя я обрезала ее в высоту (ведь получается, что в ширину теперь помещается больше повторений фоновой картинки — на половинку картинки). Появится свободное время, попробую разобраться.
но ведь в Хроме — просто загляденье! Может это баг какой-то?
Галина Нагорная recently posted...Ключ к написанию статей для блога. Пишем, как дышим – легко и просто.![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)
Галина, если бы я знала, что это, я бы уже эту ошибку исправила ) У меня на тестовом блоге полоска справа была и в гугл хроме.
Когда у меня будет время — поиграюсь в фотошопе с картинкой, вдруг что-то придумаю...
Галина Нагорная recently posted...Безопасность блога. Вредные ссылки на вашем блоге.![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)
Важность безопасности понял давно. Плагин защиты последней версии тоже установлен. Ограничил число попыток подбора пароля 3, меньше опасно, вдруг сам ошибусь.
Так же у меня установлена дополнительная защита от роботов, от хостера (кстати очень надежная).
А вот о том что так легко можно увидеть логин не знал. Орудовать с кодами я побаиваюсь, но посмотреть можно. Инструкция очень понятная. Спасибо.
Александр Викторович! Мой Вам совет — не заморачивайтесь, а просто отвечайте на комментарии с другого браузера, где вы не залогинены. А исправлять и редактировать можете в своём родном браузере.
Так намного проще тем, кто не хочет разбираться с кодами или боится...
Галина Нагорная recently posted... Email-маркетинг для блогеров. Особенности![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)
Мама дорогая... Работы непочатый край. Что-то я немного завертелась и столько интересного пропустили, бегаю все мимо, а прочесть внимательно вышло только сегодня. Ставлю себе заданием №1 — следуя инструкциям уберечь свой сайт от взлома. Если честно я не знала о возможности увидеть логин администратора...
Лиля, если это Вам сложно — делайте, как в предыдущей статье советует Жанна — комментируете с другого браузера, как обыкновенный, незалогиненый, читатель.
И всех-то делов! Тогда логин не виден.
Галина Нагорная recently posted... Email-маркетинг для блогеров. Особенности![My Profile](/wp-content/plugins/commentluv/images/littleheartplus.gif)