Как узнать, и спрятать реальный логин админа WordPress?
Этот пост я решил посвятить безопасности WordPress. А именно защите админки, т. к. реальный логин от WordPress виден, не вооруженным глазом. Вот так.

С чего начинается взлом? Да с того же, с чего и родина, т. е. с начала. А в начале, как всегда лежит сбор предварительной информации, и к этой (предварительной) информации, можно смело отнести, реальный login админа ВордПресс.
Насколько безопасно использовать настройки по умолчанию?
Большинство Web серверов, вертятся на Unix подобных системах, уже и не вспомню статистики, но, что-то около 70%. А Unix системы, тем и отличаются от остальных, что имеют четкое разграничение прав доступа к своим файлам и каталогам.
Максимальными правами в ОС Unix, обладает не root, отнюдь, а тот юзер, идентификатор которого равен == 0, т. е. [ID=0]
Именно нулевой ID в Unix/Linux указывает на максимальные возможности юзера, а далеко не имя пользователя root. На рисунке видно, что суперпользователем в моих Икс серверах, является не root, а kroot. ?
Но это так, между нами. Кстати на некоторых серверах можно посмотреть /etc/passwd через уязвимые PHP скрипты.
А запретить доступ к системному файлу /etc/passwd по протоколу http можно добавив в iptables (firewall) Linux вот это правило:
iptables -A INPUT -m string --string "/etc/passwd"
\-s 0/0 -d localhost -p tcp --drop 80 -j DROP
И в этом случае, брандмауэр будет блокировать пакеты, в которых есть текст «/etc/passwd».
Ах, да к чему вообще все это я?
Где прячется реальный логин от админки WordPress
А к тому, что ВордПресс является точно такой же (свободной) разработкой, как и Linux. И узнать реальный login от админки, не составляет труда, нужно только вызвать скрипт, который и спалит всю тему.
Есть несколько способов, которые могут открыть реальный login админа WordPress:
1. В некоторых темах ВордПресс, под каждым постом выводится надпись Автор, нажав на которую мы попадаем на страницу все записи автора и там в строке Url прячется реальный логин от админки WordPress.
2. Выделив в комментариях имя администратора, можно посмотреть исходный код, и там в CSS классе, тоже можно увидеть [real] login, но данный баг можно легко пофиксить в functions.php т. е. просто заменить, или удалить вообще, вывод реального логина в CSS, используя функцию add_filter.
function del_login_css( $css )
{
foreach( $css as $key => $class )
{
//меняем admin на свой реальный логин
if(strstr($class, "comment-author-admin"))
{
//больше он не виден в CSS
$css[$key] = 'comment-author';
}
}
return $css;
}
add_filter('comment_class', 'del_login_css');
3. Простой до гениальности, админу WordPress соответствует ID = 1, поэтому достаточно вбить в стоку Url адрес сайта, и добавить :
http://ваш-блог.ру/?author=1
Как нам успешно открывается страница [автора], а в (урле) Url страницы, четко виден реальный логин от админки ВордПресс.
ваш_сайт.ру/author/admin
Как удалить страницу Архив автора на WordPress
Если честно, наличие страницы: Все записи автора, меня уже давно начало напрягать, но, я бы не рекомендовал удалять эту страницу, и нарушать целостность движка этой CMS, ведь можно просто сделать редирект в .htaccess т. е. при обращении к станице /author/ юзер будет тупо переброшен на главную.
Для редиректа будем использовать регулярное выражение RedirectMatch Permanent, которое при обращении к конкретной странице, будет делать необходимый нам редирект. Синтаксис у RedirectMatch Permanent следующий:
RedirectMatch Permanent ^/author/admin$ http://ваш_сайт.ру
P.S. Ну а вообще, не побоюсь повторится, и в очередной раз замечу, что защита интернет проекта будь то WordPress, Joomla, или самостоятельно разработанный сайт, должна быть комплексной, и как минимум, для начала необходимо изменить настройки по умолчанию, а лично я для защиты админки WordPress юзаю .htaccess