Удаляем логин из кода комментариев, пуля в лоб от хакеров кто это не сделает.

СОДЕРЖАНИЕ

08 февраля 2019

Маленькая история.
Как узнать есть ли проблема?
Мой авторский метод.
Второй способ, через функции.

защита логина
Всем привет на блоге. Я все вспоминал, какие же я шаги делал для своей безопасности, их же была целая куча, и накалябал целые шесть вещей, но для каждой будет отдельная статья. А сегодня я хочу вам показать, как взлом сайта, вы сами можете облегчить ровно на половину нехорошим людям, что заинтересовал?

Маленькая история.

Однажды я заметил, что один ip ломится ко мне на блог в админку, причем ровно в одно и то же время, когда плагин ограничения авторизаций снимает санкции, но не суть. Я просто подумал, почему так происходит, значит что-то ему уже удалось сделать, потому что такие вещи не происходят сами по себе.

Так вот я начал смотреть бреши в безопасности, и нашел. Как оказывается я сам дал хакерам на блюдечке свой логин, то есть половину работы сделал за них. Слава богу что за состоянием слежу, и знаю что бяки нет, каждые три дня просматриваю свой шаблон и статьи, на всякую хрень. Скажу сразу все это шло из комментариев, а точнее от моих авторских, в коде было все разложено и показано, ай да Валёк, ай да….. молодец.

Как узнать есть ли проблема?

Все просто, идете на свой сайт, в любую статью где есть ваши комментарии и смотрим исходный код. Для этого нажимаем на имени комментатора (то есть на вашем) правой кнопкой, и выбираем “просмотр кода элемента”, если не понятно вот скрин.

Если у вас все в порядке, то поздравлю, у вас тема данную функцию закрывает, и имя логина не отображается. Но если у вас это присутствует, то могу вас поздравить, вы претендент на взлом, как это не звучит прискорбно. Что же делать? Скажу сразу перепробовал разные способы, но ребята, на 100% нашел один, точнее сам его вывел, так что статья это не рерайт чего то найденного в интернете. Но и те способы я разберу потому что они так же действенные, но у кого как.

Мой авторский метод.

Говорю сразу, придется править движок, знаю, сейчас полетит множество возгласов, что после обновления вордпресса все слетит, но это того стоит. Как этого избежать напишу ниже. Повторюсь, что работает на сто процентов, не зависимо от темы и том подобного. Итак, идем по пути /wp-includes/comment-template.php. Находим его и открываем для редактирования, вот скрин. защита логина ftp

Не забываем делать резервные копии изменяемых файлов.

Открыли и начинаем изменения, вся суть состоит в правке всего лишь нескольких символов. Я открыл файл через dreamveawer, что и вам советую, и запускаю поиск, с помощью клавиш CNTRL+F5, и ввожу вот такой запрос.

$classes[] = 'comment-author-' . sanitize_html_class($user->user_nicename, $comment->user_id);

Необходимое место нашли, видите эту маленькую фразу user_nicename, для подробностей прошу смотреть картинку ниже.

Вот эта директива и выводит этот сдающий с потрохами логин автора. Ну ничего страшного, можете прописать вместо него любую билеберду, я сделал вот так.

В чем тут суть, просто при обращении, к функции user, именно автора поста, то мы передаем параметр ведущий в никуда, и вордпресс просто на этом месте ничего не выводит. Так что ничего страшного нет.

Что касаемо обновлений, просто сделайте себе файлик, в нем будут храниться все изменения которые вы делали, А как еще, это наша плата за простоту использования.

На этом все, сохраняем и загружаем. Проверяйте через исходный код, должно быть все в порядке.

Второй способ, через функции.

Ничего сложного, но не всегда срабатывает, конечно, он предпочтительнее чем мой, но на моей теме не сработал, но на половине остальных тестируемых, бывало, делал свое дело. Все намного проще, вот берите вот этот код.

function hide_login_in_name($author){
if(strstr($author,"тут ваш основной логин при входе")) {
return "Ваш логин который будет отображаться для отвода глаз";
}
return $author;
} 
add_filter('get_comment_author', 'hide_login_in_name');

И вставляете его в файл function.php вашей активной темы, в самый низ, все подробности на скриншоте. вставка в код шаблона

И если все сделано правильно, то данная палящая надпись исчезнет, но повторюсь не везде срабатывает. Был еще вариант плагина, но я не стал его рассматривать, потому что, там надо ставить один на другой, а я дикий противник всего этого. В общем ребята, мальчишки и девчонки, выбирайте, я делал по своему и все хорошо.

P.S. Проверяйте свои сайты на эту ерунду, и обязательно исправляйте, а вам данная статья понадобилась?

Подробнее читайте тут

Автор: Лифанов Валентин

Рубрика: Защита WP

Комментировать

http://alpha-byte.ru/ Сергей Стеклов
Стоит отметить, что логин высвечивается и в адресе на страницу автора. Поэтому просто скрывать в исходном коде комментария будет конечно же, недостаточно. Нужно еще менять или удалять ссылку на страницу автора.
- https://wpsovet.ru Лифанов Валентин
  Надо проверить, только у меня этой страницы нет вроде, хотя может вордпресс ее сгенерировал, сейчас проверю.
  - http://alpha-byte.ru/ Сергей Стеклов
    Да, вордпресс автоматом создает страницы автора. Но у тебя в теме я не нашел на нее ссылку. Но все равно, желательно скрывать логин в урле на страницу автора. Неизвестно, где такая ссылка может еще всплыть. Она может появляться не только в статьях, но и на странице поиска к примеру. Поэтому от греха подальше я предпочитаю полностью менять урл. Так надежнее. И если ссылка где-то в теме всплывет, то будет уже не так страшно.))
    - https://wpsovet.ru Лифанов Валентин
      Все прошерстил, не нашел страниц автора. Тему сам верстал, поэтому все по-минимому, ничего в ней лишнего нет. За совет спасибо, буду знать.
http://free-blog.ru/way/kak-najti-sebya.html Павел
Капец, сколько мне нужно всего сделать на блоге в техническом плане, как оказалось!
- https://wpsovet.ru Лифанов Валентин
  Да да Павел, у тебя такая же проблема я посмотрел, так у тебя еще и логин стоковый стоит admin. Меняй его срочно вот статья https://wpsovet.ru/zashhita-wp/kak-smenit-imya-administratora-v-wordpress.html. Ничего что я на “ты” обращаюсь?
  - http://free-blog.ru/blogosfera/psihologiya-vedeniya-bloga.html Павел
    Да, без проблем Добавил в закладки, займусь технической стороной блога на выходных! В благодарность предлагаю тебе посмотреть пост о моей мини-книге, которая может быть тебе полезна Ссылку оставил в графе “сайт”!
    - https://wpsovet.ru Лифанов Валентин
      Уже скачал, но читать буду после того как курс по jawascript изучу, никак не могу его осилить. Я тоже скоро выпущу курс, но на более технические темы, по адаптивному дизайну, кстати у тебя нет мобильной версии, тоже косяк, надо делать!!!
      - http://free-blog.ru/blogosfera/psihologiya-vedeniya-bloga.html Павел
        Там 20 страниц) А насчёт мобильной версии: в принципе блог не криво открывается на мобильных устройствах
      - https://wpsovet.ru Лифанов Валентин
        Я проверял через page speed, сайт не адаптирован под мобильные устройства. Дело в том что у тебя как бы хорошо все, но чтобы прочитать текст читателю придется увеличавать текст и делать всякие манипуляции, обычно такие сайты просто закрывают пользователи, ты бы стал читать такой сайт, ну предположим в дороге, все глаза сломаешь, в общем надо делать, а то гугл к этому очень не хорошо относится. Но посидеть придётся, я когда делал впервые дня два или три просидел, а сейчас за 2-3 часа все могу сделать. Но Павел делать надо обязательно.
http://prozdorovechko.ru Галина Нагорная
У меня нет такого закрывающего тега, как описано в статье. Стоит фигурная дужка:
}
} while($showWinners);
}
Что делать?
- https://wpsovet.ru Лифанов Валентин
  Галина, файл comments-template.php у борисовской темы есть в папке с самой темой, вы там искали?
http://prozdorovechko.ru Галина Нагорная
Нет, я в админке смотрела на файл function.php (как написано в статье). Сейчас гляну, если есть в админке. Есть. И закрывающий тег есть, но после него ещё идёт форма подписки.
?>

и продолжаются коды до фигурной дужки – она последняя.
- https://wpsovet.ru Лифанов Валентин
  Галина пришлите мне шаблон сам полностью на почту, и файл comments-template из самого движка (из папки wp-includes), я придаю как это сделать.