Манипуляции с логином администратора в комментариях

Помните статью, в которой мы редактировали сообщения об ошибках на странице входа в админку? Для того, чтобы недоброжелатели на усекли наш настоящий логин.

Сегодня же мы представим себя в шкуре тех самых недоброжелателей, которым позарез понадобился логин администратора в WordPress. Возможно у нас уже даже появилось несколько догадок посчет этого и мы хотим убедиться в своей правоте на странице /wp-admin путём подстановки в форму входа.

В итоге натыкаемся на хрень:

ошибка при подборе на английском

Успокаивает лишь то, что админка не залочена по IP и автор либо лентяй, либо нуб. Не замечаете ничего подозрительного?

Да ведь сам движок на русском, а ошибка на английском, это значит, что владелец сайта просто скопировал готовый хук с какого-то зарубежного блога как есть и сидит довольный, чувствуя себя в безопасности.

И где же можно выудить логин? В комментах уж.

Нужно найти комментарии, оставленные администратором. В основном это определяется по контексту, хотя зачастую они бывают выделены при помощи CSS-стилей.

Итак, нашли. Где может быть логин — либо прямо в имени, либо в CSS-классе.

логин админа в css-классе

Отлично, администраторский юзернейм у нас в руках! (в примере это boss5)

А теперь защищаем свой собственный сайт:

Скрываем логин в имени комментирующего

Тут два простейших способа, первый — через админку. Заходим в «Ваш профиль», вписываем имя и фамилию (естественно никто вас не заставляет указывать настоящие) и меняем отображение — подробнее на скрине:

меню профиль пользователя WordPress

Второй способ — вставляем этот код в functions.php:

function hide_login_in_name($author){
    if(strstr($author,"boss5")) {
        // меняем boss5 на свой логин
        return "Миша";
    }
    // т.е. вместо логина будет отображаться например ваше имя
    return $author;
}
 
add_filter('get_comment_author', 'hide_login_in_name');

Избавляемся от логина в CSS-классе

Код вставляем туде же.

function hide_login_in_css_class( $classes ) {
    foreach( $classes as $key => $class ) {
        if(strstr($class, "comment-author-boss5")) {
        // меняем boss5 на свой логин
            $classes[$key] = 'comment-author-admin';
            // новый css класс в комментах администратора
        }
    }
    return $classes;
}
 
add_filter('comment_class', 'hide_login_in_css_class');

Почему я выбрал класс «comment-author-admin»? А пускай злоумышленники думают, будто бы у нас на блоге используется логин администратора по умолчанию.

Хочу обратить внимание на отдельный случай.

Допустим, у меня крупный портал, на котором зарегистрированы тысячи пользователей. Не хотелось бы палить их юзернеймы в коде, верно? В таком случае лучше избавиться от CSS-класса вообще! Для этого код:

function remove_css_class( $classes ) {
    foreach( $classes as $key => $class ) {
        if(strstr($class, "comment-author-")) {
            unset( $classes[$key] );
        }
    }
    return $classes;
}
add_filter('comment_class', 'remove_css_class');

Источник: misha.blog

Миша Рудрастых

Путешествует по миру и рассказывает всем о WordPress лично, у себя в блогах и на курсах в Санкт-Петербурге. Умеет просто объяснять сложные вещи, делает это красиво. Организовывает неплохие WordCamp's, но совсем не умеет слушать чужие доклады.

Добавить комментарий

%d такие блоггеры, как: