Ochrona hasła i loginu
Jeśli chodzi o zastosowanie hasła w WordPress – należy je podać w wyżej wymienionej postaci już podczas pierwszej jego instalacji. Jeśli tego nie zrobiliście, należy usunąć utworzonych do tej pory użytkowników i zastąpić ich nowymi. Modyfikowania bazy danych początkującym nie polecam. Są też wtyczki, które umożliwią nam takie modyfikacje, ale po co. Uwaga. Najpierw należy utworzyć nowych użytkowników z mocnymi hasłami i odpowiednimi uprawnieniami – administratora, lub redaktora. A później dopiero usuwać starych. Musimy bowiem dotychczasowe wpisy i strony przypisać nowemu autorowi, a ten musi już być znany WordPressowi. Druga ważna informacja – należy od razu wypełnić pole imię i nazwisko użytkownika podczas jego kreowania i wybrać sposób w jaki będzie się przedstawiał szerszej publiczności. Inaczej bowiem jawny stanie się jego login, a to już drobny krok w stronę złamania zabezpieczeń.
Prawda jest taka że i to nie chroni przed możliwością poznania Waszego loginu! Jest łatwy sposób aby podejrzeć nazwę użytkownika taką jaką ustawił użytkownik do logowania sprawdzając autorów prowadzących daną stronę. Nie będę tego sposobu tutaj demonstrował, ponieważ blog ma poprawiać zabezpieczenia a nie je osłabiać. Zatem podam tylko sposób na to aby zabezpieczyć tą niewielką lukę. A aby to zrobić do pliku functions.php należy dodać następujący wpis:
add_action('template_redirect', 'bwp_template_redirect');
function bwp_template_redirect() {
if (is_author())
{
wp_redirect( home_url() );
exit;
}
}
(powyższy kod pochodzi z sieci, najpewniej z portalu GitHub Gist i linkuję do źródła)
Ponieważ po raz pierwszy piszę o dodawaniu czegokolwiek do pliku functions.php dla osób początkujących kilka słów wyjaśnienia.
Modyfikowanie szablonu
W szablonie używanego przez Was motywu znajduje się plik który najczęściej posiada nazwę functions.php. Są w nim zawarte jak nazwa wskazuje funkcje, czyli napisane specjalne instrukcje jak coś wykonać. Dodanie na końcu w/w instrukcji spowoduje że niemożliwym stanie się wyświetlenie autorów prowadzących daną stronę. Aby móc coś w pliku functions.php zapisać potrzebujecie dwóch programów. Po pierwsze klienta FTP.
FTP
to protokół wymiany plików, a aplikacja której szukamy to FileZilla lub Total Commander. Dzięki takiemu programowi uzyskamy dostęp do plików naszej strony. Nie będę w tym miejscu opisywał wszelkich detali jak to zrobić. Ale skrótowo – po uruchomieniu programu należy znaleźć nowe połączenie FTP. Następnie podać w odpowiednie rubryki Sesję (nasza robocza nazwa), nazwę hosta (podane przez hostingodawcę), użytkownika i hasło (podane przez hostingodawcę). Po zalogowaniu możemy już przejść do katalogu z WordPressem, najczęściej znajduje się on w domains → nazwa domeny → public_html → wp-content → themes → nazwa naszego motywu → i tu szukamy functions.php.
Musimy go pobrać na nasz dysk, a następnie zmodyfikować za pomocą drugiego programu jaki potrzebujemy, służącego do edycji plików html/php.
Uwaga! W programach klienckich do FTP nie powinniśmy zapisywać haseł! Są bowiem coraz bardziej popularne wirusy, które wykorzystują nasze hasła zapisane w takich programach i w ten sposób mogą zainfekować wszystkie konta które mamy tam zgromadzone!
Edytor
Program jaki polecam to Notepad ++, albo komercyjny Dreamweaver którego sam używam. Można to zrobić i w zwykłym notatniku, ale nie daje on żadnej pomocy i ma ograniczoną funkcjonalność.
Po dokonaniu zmian plik należy wyeksportować z powrotem na serwer nadpisując poprzednią jego wersję. Ot i cała sprawa.
Zapraszam niebawem do następnych wpisów związanych z poprawą bezpieczeństwa w systemie WordPress.