Поддержка Проблемы и решения Страница автора палит все))

  • Здравствуйте
    Создал сайт.
    Опубликовал страницу или запись или коммент
    И есть в нем поле Автор
    Переходу на него и попадаю на страницу:
    http://mysite.ru/author/login/

    То есть имя этой страницы совпадает с логином админа на сайте
    Вопрос: как это побороть?

    В настройках пользователя я ему дал видимое имя, и оно отображается на сайте, но имя этой страницы осталось с админ логином.

    Что делать?

    • Тема изменена 1 месяц, 1 неделя назад пользователем wor012.
Просмотр 6 ответов — с 1 по 6 (всего 6)
  • Что делать?

    Ну можете создать свою CMS, где нет такой ужасающей дыры

    Модератор Yui

    (@fierevere)

    ゆい

    Есть темы, которые данную информацию в записи не отображают
    Есть темы, которые можно настроить этим плагином https://ru.wordpress.org/plugins/hide-metadata/

    В остальном — можете исправить в своей теме шаблон вывода записей,
    создав дочернюю тему, см https://ru.wordpress.org/support/article/child-themes/

    Ну и последнее — логин/username автора не считается особо секретной информацией.

    Yui, спасибо
    Посмотрю.

    Это типа как с почтой?
    Все знают адрес, который и есть логин.
    Понял.

    wor012, привет.

    То есть имя этой страницы совпадает с логином админа на сайте
    Вопрос: как это побороть?

    Запретите энумерацию/перебор, это действует не на 100%, но отсеит большинство сканов, если вас это так беспокоит.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Это типа как с почтой?
    Все знают адрес, который и есть логин.

    Именно так.

    Вопрос: как это побороть?

    Для поддержания безопасности есть более подходящие способы. В общем случае рекомендуется:

    • Иметь надёжные пароли (от 24 символов, с цифрами и спецсимволами).
    • Не давать права администратора и редактора случайным людям.
    • Плагины и темы скачивать только с официальных ресурсов.
    • Своевременно обновляться.

    Можно также настроить двухэтапную аутентификацию с помощью Google Authenticator.

    Пытаться скрывать движок, его версию, адрес входа в админку, логин администратора и т.д. не имеет особого смысла — это создаёт лишь иллюзию безопасности. Гораздо большее значение имеют надёжные пароли и своевременное обновление.

    Ещё, кстати, можно создать «подставного администратора» сайта (который на самом деле имеет минимальные права), запретить ему вход в админку, на случай, если часто брутят и есть повод переживать по этому поводу.

Просмотр 6 ответов — с 1 по 6 (всего 6)