Безопасность блога на WordPress. Изменение логина admin и не только…
Привет, друзья и читатели propozitiv.ru!
Для каждого из нас безопасность сайта/блога очень важна, ведь для многих — это источник клиентов и заработка. Поэтому поделюсь некоторыми моментами по безопасности.
Из этой статьи вы узнаете:
- Как повысить безопасность блога?
- Как создать более безопасный логин?
- Пример проблем с безопасностью блога и его возможные решения.
Думаю, многие столкнулись с достаточно банальной проблемой. Большинство при создании блога оставляют стандартный логин «admin», при этом упрощая злоумышленникам возможность взлома. Конечно, если использовать длинный и сложный пароль — это делает не таким и нужным изменение логина. Но чаще всего используются не очень длинные пароли, которые автор ресурса может запомнить — так проще и удобнее.
Поэтому давайте разберёмся, как же заменить стандартный «admin» на что-то другое.
Почему этому вообще уделяется внимание? Потому что просто из админ панели это сделать невозможно, там так и написано:
Что бы поменять логин нужно иметь доступ к базе данных MySQL (если не знаете как туда попасть, почитайте на сайте своего хостера или напишите ему в техподдержку).
Для доступа пользуемся phpMyAdmin. Заходим через phpMyAdmin в базу данных нашего блога и находим там талицу: wp_users. Префиксы у ваших таблиц могут быть другими.
Жмём на нужную базу данных в левой части панели, затем переходим во вкладку «Структура» и потом напротив wp_users жмём кнопку «Обзор».
Теперь мы попадаем в новое окно, где видим нужный нам логин «admin». Напротив него есть кнопка «Правка», жмём:
Далее находим поля, где собственно мы и можем изменить стандартный логин на новый:
В этих двух местах мы и производим замену.
Вот и всё, жмём «ОК».
Теперь остаётся не забыть, что вы должны войти в админ-панель под новым логином и старым паролем.
Так же думаю вы помните историю моего читателя о достижении 1000 посетителей на его строительном блоге.
В комментариях многие просили Бейбита поделиться информацией, касающейся безопасности блога. Поэтому я попросил его описать, что случилось с его блогом и дать пару советов. Он прислал мне ответ, который теперь показываю вам:
Как сделать блог безопасным?
Всё было некогда рассказать, что же случилось с моими блогами в плане безопасности. А случилось следующее. В начале сентября, я ездил в другой город на несколько дней и практически не заглядывал в блоги. Приехав же и зайдя на свои сайты http://beybitblog.ru/ и http://copy2writing.ru/, кстати, они находятся у меня на одном хостинге, обнаружил, что вместо главной страницы висит непонятная картинка. Другие блоги были в порядке. Я конечно сразу всё понял. До этого я знал о том, что блог нужно обезопасить, устанавливать плагины, менять пароли. Но всё думал, что кому может быть дело до моего скромного блога. Однако оказалось, что кому-то есть дело. Итак, закончим со вступлением, и сразу скажу, как избежать такой ситуации.
Сразу скажу что хостер тут ни причём, и помочь он вам вряд ли сможет. Поэтому слёзные мольбы о помощи не помогут. Во всяком случае, у меня так и было.
Первым делом попробуйте переустановить WordPress.
Если не помогло, значит, дело сёрьезнее. Попробуйте восстановить базу данных блога в аккаунте хостера. Заходите во вкладку база данных в своём аккаунте в php Myadmin, там будут находиться ваши базы данных. Жмёте кнопку восстановить и ждёте. Нужно заметить восстановление баз данных происходит не сразу и занимает некоторое время.
Если случай несложный это может помочь. В моём случае не помогло и пришлось обращаться к специалисту. Он хорошо сделал свою работу и восстановил работу блогов.
Далее, что нужно сделать после того как работа блогов будет восстановлена? Правильно! Сразу же поменяйте все пароли. То есть в админке хостера, в WordPress. Не нужно ставить пароли типа Петя1913, или Маша86. Как правило, такие пароли очень легко взломать. Ставьте что-нибудь такое: QRNB14**$))NBEBjmne20KJ++/. Пусть помучаются и попробуют отгадать! Если сложно придумать такой пароль существует генератор паролей.
В WordPress при входе также не ставьте логин admin. Поменяйте его на другой. Это также делается в php Myadmin.
Не храните пароли в компьютере. Желательно хранить пароли на флешке. А ещё лучше распечатать их на бумаге. Не запоминайте пароль с помощью браузера. Там есть такая функция, вы знаете ctrl + Enter. Меняйте пароли, как бы вы ни привыкли к ним. Можно ради профилактики делать это раз в месяц, или раз в два месяца.
Обязательно создавайте бэкап блога.
Установите плагин Anti XSS attack.
Старайтесь обновлять WordPress до последней версии.
Есть ещё множество предосторожностей вроде редактирования файлов WordPress, для того чтобы злоумышленники не узнали вашу версию. Но не стану углубляться в такие дебри, а то подумаете что у меня мания преследования . Вначале, если у вас не суперпопулярный мегапортал, шагов, которые я привёл выше должно хватить, чтобы обезопасить ваш блог. Не ленитесь и защитите свой блог. Так вы избежите неприятностей.
Будьте бдительны!
Кстати, скачать плагин Anti XSS attack можно по этой ссылке:
http://mywordpress.ru/plugins/anti-xss-attack/ (не ленимся, копируем ссылку и вставляем в браузер).
Кто забыл, как устанавливать плагины, напоминаю. Нужно скачать плагин на компьютер, разархивировать (если плагин в архиве), далее зайти на хостинг и поместить плагин в папку, где находятся все плагины. Находится она в папке с вашим блогом, а далее /wp-content/plugins.
После копирования заходите в админку блога, в раздел «Плагины» и там находите нужный. Активируете его.
Так же напомню, что для большинства плагинов появляются соответствующие меню в разделе «Настройки», где можно их более детально и правильно настроить для работы.
Не забывайте делиться ссылкой на статью в вашем блоге, если она вам была полезна. Так же убедительная просьба поставить ретвит и +1 на кнопке гугла 
.
Если у вас есть интересная информация или предложения по улучшению безопасности блога — пишите в комментариях.
| Друзья, пожалуйста твитните эту статью и расскажите знакомым! >> | Твитнуть |
|
|
А я думал что имя пользователя изменить нельзя. А при изменении последствий неприятных не будет не каких?
Все посты написаны под именем admin, что будет с snbv после смены имени пользователя, тоже поменяется или останется прежним? (или это другое совсем?)
P.S. Прикольная эмка!
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 15:57
Юрий, проблемм после такой ручной замены не замечено
. Да и у других читал-смотрел — вроде у всех всё в норме...
Этот способ хорош тем, что имя меняется, а права и т.п. остаются за новым именем, как и были за старым.
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 15:59
А...не дошло сразу до меня о чём вы... Есть имя — логин, а есть то имя, которое ник пользователя. Посмотрите в разделе «Пользователи» в админ-панели
. Так вот логин меняется, а ник можете оставить какой хотите... Тот который отображается в блоге. Иначе смысла менять не было бы никакого 
[Ответить]
Валерий Reply:
февраля 17, 2012 at 18:30
Всё сделал как Вы говорили нечего не помогает теперь и таблиц не могу войти пишет #1045 Невозможно подключиться к серверу MySQL прошу Вас мне помочь.
[Ответить]
Владимир Дручин Reply:
февраля 17, 2012 at 18:55
Валерий, я всегда говорю делать бэкап базы и файлов. Вы его сделали? Если да, то просто нужно восстановить как было
[Ответить]
поправка:
«что будет с ними после смены»
[Ответить]
Владимир, спасибо! Очень вовремя!
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 18:05
Пожалуйста
[Ответить]
Понятно, спасибо за разъяснения.
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 18:05
Пожалуйста
.
[Ответить]
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 21:16
Валерий, спасибо за совет
[Ответить]
Lina Reply:
ноября 22, 2011 at 12:09
У меня стоит этот плагин. Дает определенную защиту. И я давно поменяла имя пользователя «admin», на другое. Спасибо за полезную информацию.
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:11
пожалуйста
хорошо что вы уже о чём-то знали
[Ответить]
Людмила Reply:
ноября 22, 2011 at 14:26
Тоже ценная подсказка. спасибо, ребята!
[Ответить]
Валерий Макаров Reply:
ноября 22, 2011 at 18:39
Безопасьтесь, Людмила
[Ответить]
Полезная статья про безопасность. Менять пароли просто необходимо.
Слышал, что плагин Anti XSS attack правомочен до версии 3.0, а выше он не актуален.
[Ответить]
Владимир Дручин Reply:
ноября 20, 2011 at 21:16
У меня он стоит, версия выше 3.0
[Ответить]
Лариса Reply:
декабря 14, 2011 at 16:22
Актуален, работает как положено.
[Ответить]
Менял. Только не очень то помогло — прошло меньше двух месяцев, и опять не только вирус, но и в админку зайти не могу.
[Ответить]
Владимир Дручин Reply:
ноября 21, 2011 at 16:23
Евгений, насколько знаю вирус и с компьютера может на хостин попасть... Так что стоит и ПК обезопасить...
[Ответить]
Ещё с помощью плагина WP-optimize можно и чистку сайта сделать (от автосохранений) и логин менять одновременно. Плагином можно пользоваться раз в месяц и отключать.
[Ответить]
Владимир Дручин Reply:
ноября 21, 2011 at 16:24
Интересно
Кстати ревизии записей можно просто отключать, если они не так нужны автору.
[Ответить]
Спасибо за интересную статью. Login LockDown- вот еще плагин которым я пользуюсь. Защищает от подбора паролей.
[Ответить]
Всё надо применять и не лениться, а то потом будешь локти кусать.
[Ответить]
А для чего делать бекапы, если они на хостинге и так хранятся?
И почему в случае взлома не поможет просто откат?
И до какой степени наращивать количество плагинов? (это не к безопасности, а вообще...)
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 11:10
Бэкап — это то что у вас под подушкой хранится грубо говоря
[Ответить]
Спасибки за подсказку. А то я у себя в wp-config не нашла места, где отключать. И в базе поэтому — такааааааая мусорка (из-за любви к редактированию
)
[Ответить]
Лена Reply:
ноября 22, 2011 at 21:45
Нажала «ответить» Ольге Абрамовой, а получился отдельный комментарий в другом месте... почему-то...
[Ответить]
Очень актуально! А главное — подробно и понятно: ясно, куда идти и что там делать
За это отдельное спасибо.
Владимир, у меня вопрос по технологии установки плагинов. Я загружаю архивы непосредственно из админ-панели WordPress — там ведь предусмотрена такая функция. Получается, это неправильно? И чем с практической точки зрения один способ от другого отличается?
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 11:14
Для загрузки плагина нужно зайти на хостинг в папку с блогом, далее в папку с плагинами и туда закинуть файл или папку самого плагина. Далее зайти в админку блога, в раздел плагинов, там найти нужный плагин и активировать его
ВОт и всё 
[Ответить]
Ирина Reply:
декабря 1, 2011 at 19:21
Да ничем не отличается! Я постоянно устанавливаю плагины из админки и все прекрасно работает. Никаких нареканий никогда не было. Вот если копаться в на хостинге без каких-либо знаний — тогда могут быть разные последствия, вплоть до потери базы данных. У меня было так.
[Ответить]
Спасибо Владимир, — как раз думал над этим?!
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 11:24
Пожалуйста
...
[Ответить]
Половину инфы знаю и использую, а вторую половину прочитал с удовольствием
Спасибо, Владимир!
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 11:33
Андрей, пожалуйста
Если есть наработки по безопасности — не стесняйтесь делиться в комментариях 
[Ответить]
Владимир, спасибо! Как всегда нужная и полезная информация.
Главное, что все предельно ясно и доходчиво!
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 11:55
Рад что на пользу
[Ответить]
Владимир, объясните, пожалуйста, принципиальную разницу между загрузкой плагинов через хостинг и загрузкой сразу из админки. Может быть я делаю что-то неправильно, потому что загружаю плагины в админке. Мне такой способ зажется простым, а вот о его безопасности или правильности я не задумывалась. Владимир, спасибо и удачи.
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:12
Ольга, если всё у вас работает, значит всё нормально
Никогда через админку не загружал плагины... Всегда на хостинг, мне так проще 
[Ответить]
Ольга Reply:
ноября 23, 2011 at 10:19
Да, я, кстати, тоже загружаю плагины через админку. Пока все работает.
[Ответить]
Здравствуйте, Владимир.
Создал на всякий случай пробный блог на поддомене. Чтобы зайти в phpMyAdmin потребовалось прописать пароль доступа, прописал и в wp_users поменял логин. После этого пробный блог по адресу поддомена выдает белый лист с ошибкой, что нет базы данных. В чем моя ошибка. Заранее благодарен.
С уважением Алексей Гомзин
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:15
Алексей, честно говоря не знаю. Я к сожалению не видел что и как вы делали
. Но сама суть смены логина рабочая, у всех всё нормально, значит вы где-то ошиблись ещё...
[Ответить]
Спасибо за материал. Возникло несколько вопросов. 1) Если ставишь Anti XSS attack, то нужно ли ставить плагин Limit Logins Attempts. 2) Не получится ли так ,что поставив плагин Anti XSS attack потом сам не сможешь войти. На странице этого плагина говорится о том, что нужно в браузере включить передачу referer и что если PHP работает как CGI, а не модуль Апача, плагин может не получить от сервера авторизационные данные и соответственно не пустить никого в админпанель, или все эти опасения излишни. 2) Достаточно ли тех бэкапов, которые делает хостер ?
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:17
Владимир, я делаю бэкапы сам на компьютер. Скачиваю базу и файлы. Хостер вроде раз в сутки делает... Но я предпочитаю перестраховаться.
По поводу плагина... У меня на многих блогах работает нормально в админку пускает... Просто по ссылке нужно перейти и выводится окно доступа в админ-панель.
[Ответить]
Здравствуйте Владимир! Спасибо за своевременную информацию.Это самое ценное
для меня. Я работаю сейчас преимущественно в Joomla но проблемы в администрировании CMS одни и те-же и самая главная это недостаток знаний. В этой сфере — надо постоянно практиковаться — иначе труба.
Как раз сейчас тестировал на локалке один из своих новых сайтов и решил поставить плагин jSecure Authentication. Но знал-бы, где споткнешься соломки бы
подстелил.После прикрутки этого плагинчика приходится долго думать. Судя по всему — данная версмия не русифицированная и наверно криво стала на мою версию
Jumlы. Причем свою основную функцию данный плагин выполняет нормально. Вход в админку обеспечивается через добавочнай пароль тоже отлично. Но когда пытаешься зайти в менеджер материалов и открыть для добавления новый материал обнаруживаешь вот эти кракозябы и сообщение об ошибке системы:
Заголовок Опубликовано Нет Р"Р°
Псевдоним РќР° главной Нет Р"Р°
Раздел Категория
Fatal error: Call to a member function get() on a non-object in X:\home\localhost\www\newsportal\plugins\editors\tinymce.php on line 433
Вот сейчас буду искать причину. Ощущение того, что это какае-то мелочь
Но опять-же надо знать где крутнуть и че вставить. Может Вы Владимир сталкивались с подобной задачкой?
Пуду благодарен всем кто откликнется и поможет в данном вопросе...
Так, что ВЫ всегда вовремя Владимир. Статья очень актуальна для нашей темы
и уверен представляет живой интерес для всех.
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:20
Сева, честно говоря видно что ошибка по такому-то адресу. Но я не програмист и вы тоже... Так что лучший способ искать другой плагин или версию. Или может конфликт с другими плагинами. А кракозябры — это проблемы с кодировкой... Например если какие-то страницы в блоге кракозябрами идут — нужно изменить кодировку на UTF8 к примеру...
[Ответить]
А я на ночь ноутбук в сейф прячу, так что к паролям тяжело добраться...А днем из розетки отключаю...
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:21
Вы шутите или серьёзно?
[Ответить]
А я при установке WordPress на локалхост сразу написала другое имя пользователя. Теперь не знаю, после переноса на удаленный сервер будет работать?
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:21
Почему же нет — будет если всё верно делали
[Ответить]
Александр Reply:
ноября 22, 2011 at 16:29
будет будет
[Ответить]
Владимир, спасибо!
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 15:22
Игорь, пожалуйста
[Ответить]
Лучше всего найти блокнот с английским алфавитом. И записывать туда вообще все пароли со всех сайтов. И генерировать пароли в генераторах. Конечно не удобно, пока не запомнишь пароль, без блокнота никак не зайдешь, и придется носить его с собой, зато безопасно.
[Ответить]
Повеяло говносайтом... сколько можно учить людей работать? Научите зарабатывать! Это я к тому, что если не хотите разбираться в основах администрирования баз даннных — закажите поддержку и пусть голова болит у исполнителя!
[Ответить]
Денис Reply:
ноября 23, 2011 at 9:03
Владимир, поговаривают, что в начале следующего года, поисковики будут банить за нецензурные выражения. Следственно такого рода высказывания лучше не пропускать
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 16:55
Так вроде тут не было ничего нецензурного... Даже если так и будет в будущем...
[Ответить]
Добрый вечер,Владимир!
Спасибо за полезные материалы, вы очень помогаете таким как я «чайникам» разобраться с препонами интернета. Благородно, с вашей стороны, с моей обещаю, когда начну более менее зарабатывать на блоге(правда до этого ещё далеко),переведу вам благодарность в денежном эквиваленте.
А пока робкими шагами крадусь по коридорам инета.
Вам успехов в вашем нелегком деле!
[Ответить]
Владимир Дручин Reply:
ноября 22, 2011 at 17:58
Спасибо за отзыв, Олег
Рад что помогаю 
[Ответить]
Огромное спасибо, а то я думала пара плагинов меня защищает, оказывается все намного сложнее.
Никак не могу понять — зачем кому-то взламывать сайты.
Пойду работать над обороной своего сайта
Еще раз спасибо.
[Ответить]
Я дополнительно поставил плагин Stealth Login чтобы обезопасить вход в админку по адресу
[Ответить]
Спасибо Большое Владимир!
Очень важная и полезная инфа и главное-очень доступным языком.
Удачи Вам!!
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 2:05
Феликс, пожалуйста
Рад помочь 
[Ответить]
XX зловредная атака может быть встроена в сам шаблон, до того, как вы его скачали и установили…
Как-то, установив понравившийся русифицированный шаблон, у меня пишет ошибка такая-то… Открываю посмотреть файлы, в файле functions.php нахожу подозрительный код:
«тут был код»
Естественно, я удалила эту установку, скачала себе первоначальную англоязычную версию этого шаблона.
[Ответить]
Владимир, спасибо за информацию, плагины установила, сразу после прочтения вашего поста, а вот сменить логин у меня не получится, слишком сложно это для меня.
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 16:53
Надежда, тогда ставьте сложный пароль
. Вообще там ничего сложного. Со временем сделаете 
[Ответить]
Я для безопасности wordpress сделал следующее:
* Установка плагина Antispam Bee (интересный кстати плагин, он «прячет» область комментариев, делая это так что спам-робот не сможет найти сооветствующее поле для вставки спам коммента. Человеческий глаз этих полей не замечает и видит обычные поля для заполнения. У меня каждый день около тысячи спам комментариев отсеивается благодаря только этому плагину.
* Установка плагина DCaptcha как дополнение тоже не повредит
* Установка плагина AntiVirus, котрый по расписанию сканирует блог на наличие вирусов
* Установка плагина Replace WP version, котрый удаляет строчку котрая отображает текущую версию WordPress (зная версию хакеру будет попроще подобрать инструменты для взлома) Можно эту строчку и вручную удалить, кто умеет самостоятельно в коде копаться
* Установка WordPress Database Backup (плагин делает бэкап базы данных с отправкой на емейл)
* Установка BackUpWordPress (более навороченный плагин, делает бэкап всех плагинов, файлов, всего что есть на блоге)
* Ну и естественно меняем стандартный логин Admin на какой нибудь abrakadabrashvabra, чтобы усложнить хакеру подбор пароля (теперь еще и логин нужно подбирать)
Из админ панели поменять логин действительно невозможно, Владимир хорошо все это описал в посте, но есть еще второй вариант, немного попроще. Создаем новый аккаунт abrakadabrashvabra но только со всеми правами администратора, делаем выход, затем заходим уже с него и удаляем аккаунт Admin. После этого заходим уже под другим логином. Все, аккаунта admin больше не существует...
Все эти способы как раз подойдут для тех, кто ни разу в галаза не видел открытый html код и панически боится прикасаться к базе MySQL
Если есть какие то еще идеи кто какими способами защищается от хакеров,чтоб взять на вооружение, интересно будет почитать в комментариях...
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 17:11
Влад, спасибо за подробные дополнения
[Ответить]
Интересно, если пароли длиной в 25 символов хранить на обычной бумаге, это сколько же надо его вводить ручками?
Владимир, вопрос не по теме: какой плагин смайликов у тебя установлен?
На моем блоге Мона-Лиза, почему то все рожицы после добавления обосновываются в верхней части текста, как при возведении в степень!
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 17:23
Яков, вот тут описано как ставить мои смайлы:
[Ответить]
Спасибо, ребята!
Очень информативная и практичная статья, особенно для чайников.
Успехов вам и роста!
[Ответить]
Владимир Дручин Reply:
ноября 23, 2011 at 17:14
Валентин, пожалуйста
[Ответить]
Я себе еще плагин WordPress Firewall установила после взлома блога.
[Ответить]
8)Я сменил и всё удачно !Но есть же бесплатный сторож ввиде плагина,который сообщает про вторжения и всё такое--Jumpple !!! Рекомендуй его своим подписчикам . Если сайт обвалится по причине хостинга , письмо придёт сразу!!ПРОВЕРЕНО!!!Jumpple !!!
[Ответить]
Кстати, зачем усложнять себе жизнь? Как только создали сайт, тут же создаём нового пользователя(в админпанели) и присваиваем права администратора.Выходим и заходим под новым именем и теперь пользователя с именем админ можно вообще удалить, или для смеха задать емува гостя или вообще никаких прав. И ещё: можно входить под одним именем(логином), а в статьях и комментах отображать другое. Всё это настраивается в админпанели в профиле пользователя.
[Ответить]
Ирина Reply:
декабря 1, 2011 at 18:51
Ваш совет просто супер! Как я сама не догадалась так сделать? Здорово, так просто, но работает!
[Ответить]
Галина Reply:
февраля 28, 2012 at 19:17
Я давно поменяла имя админа в статьях и комментариях, а толку-то. Все время кто-то пытается вскрыть админа.Вот,admin при заходе на сайт у меня остался,поэтому хороший совет:лишить его прав,а заходить под другим пользователем с административными правами. Спасибо.
[Ответить]
Спасибо за информацию! Очень полезна для начинающих!
[Ответить]
Владимир Дручин Reply:
декабря 1, 2011 at 18:04
Пожалуйста
...
[Ответить]
А я сделала в точности, как Вы советовали и потеряла блог полностью! Потеряна вся база данных. Пришлось обращаться к хостинг-провайдеру. Все восстановила, конечно, но сколько нервов! Пропал большой объем постов. Это примерно 2 недели работы. Блин.
[Ответить]
Владимир Дручин Reply:
декабря 1, 2011 at 21:17
Ирина, очень много людей так делает и делало и всё в норме. Возможно, где-то что-то было не так. Жаль...
[Ответить]
А еще можно быстро изменить логин при помощи sql-запроса к базе данных:
UPDATE wp_users SET user_login='admin', user_login='mylogin';
mylogin — взят для примера, можно написать любой, это будет новый логин.
Все делается за 5 секунд
[Ответить]
Еще для защиты блога. Сгенерируйте значения для строк AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY в файле wp-config.php.
Генератор можно найти здесь:
api.wordpress.org/secret-key/1.1/
[Ответить]
Все сделал, только с плагином не стал связываться. Как-то страшноватенько его описали на странице сайта — разработчика
[Ответить]
Лариса Reply:
декабря 17, 2011 at 12:27
Можно сначала на локалхосте протестировать его работу, если страшно сразу устанавливать на удаленном сервере.
[Ответить]
Вот это классно.Попробую изменить логин.
[Ответить]
Владимир Дручин Reply:
декабря 16, 2011 at 14:06
Попробуйте
Не забывайте про бэкап.
[Ответить]
Володя,упомянутый mywordpress.ru/plugins/anti-xss-attack/ достаточно старый.Будет ли он работать на WordPress 3.2.1. ,а тем более с 3.3.1.?
[Ответить]
Владимир Дручин Reply:
января 10, 2012 at 21:32
на 3.2.1 работал точно... Щас обновился вроде тоже должен. Его же не видно как он работает, только иногда не пускает когда думает что ты сам что-то пытаешься сделать не то...
[Ответить]
Чтож,попробуем!Кстати ты обновил WP,ну и как нормально идет.Тут С. Жуковский вроде писал,что версия глючит на popup domination.
[Ответить]
Владимир Дручин Reply:
января 10, 2012 at 23:40
Вроде всё в норме.
[Ответить]
По сути вопроса Марины. А если не загружать плагин на хостинг, а с компьютера устанавливать? Что от этого измениться?
[Ответить]
Владимир Дручин Reply:
января 11, 2012 at 23:23
Да ничего. Главное что б заработал
[Ответить]
Спасибо! Понял. Сейчас тренировался делать замены wp-config. Раньше это я читал у Рогова Виктора. Поддержка хостинга мне ответила, что если все работает нормально, то и незачем менять. Почему так ответили? Или это просто отписка?
[Ответить]
Владимир Дручин Reply:
января 11, 2012 at 23:54
Не совсем понял... Менять версию вордпресс? Если да — то это отписка. Потому что чем более старая версия тем больше вероятность взлома.
[Ответить]
Я о wp-config
[Ответить]
Владимир Дручин Reply:
января 12, 2012 at 0:11
А зачем его менять? Вы меня запутали... При установке блога да это нужно. Иначе работать и не будет. А потом зачем?
[Ответить]
Наверно я не корректно задал вопрос. При обновлении версии вордпресса Вы рекомендуете перенести данные из wp-config в wp-config-semple и переименовать его в wp-config. А поддержка хостинга несколько недоумевает зачем это делать.
[Ответить]
Владимир Дручин Reply:
января 12, 2012 at 0:29
Для закрепления материала так сказать. Главное что бы данные были правильно введены и файл был правильно назван.
[Ответить]
АГАААА!
[Ответить]
У меня стоит плагин: Limit Login Attempts, а после 5 изоляций (3 подряд неправильных паролей по 5 раз) блокирую атакующий IP в .htaccess
Стандарного пользователя admin -удалил
Люди еще советуют поставит плагин контролирующий изменение файлов WordPress File Monitor, но у меня ругался просто так... (может Belavir попроще не знаю...)
А так же сменить стандартный путь (wp-admin) к админке, но не пробовал и говорят с обновлениями напряг
А стоит ли ставить anti-xss-attack? что-то не совсем понял...
[Ответить]
Владимир Дручин Reply:
января 16, 2012 at 21:40
У меня anti-xss-attack стоит
[Ответить]
Что бы поменять логин нужно- делал всё как описано — но после замены admin на другое имя получил ( Error establishing a database connection). Что делать?
[Ответить]
Владимир Дручин Reply:
января 16, 2012 at 22:44
Виталий, удалить эту базу данных и вернуть старую. Надеюсь, вы сделали бэкап? Я об этом говорю очень часто. Прежде чем что-либо менять, нужно сохранить резервные файлы и базу данных.
[Ответить]
Здравствуйте! Хочу последовать совету и заменить логин «admin». Открыл базы с помощью FZ. Такого файла не нашел, зато есть wp_login.php Полез а папку wp_admin. Зашел туда. Есть файл admin.php, user_new.php и usres.php. Но там черт ногу сломит. Где что менять?
[Ответить]
Владимир Дручин Reply:
января 19, 2012 at 22:53
Пётр, прочтите внимательнее... Менять в базе данных нужно, а не файлах блога.
[Ответить]
Петр не уверен не лезь.
Я не зная залез неделю восстанавливал блог. 
Проще в админке добавь пользователя (имя и пароль) 
, дай ему права админа, а пользователя админа можешь либо удалить либо дать ему права читателя. 
[Ответить]
Татьяна Reply:
февраля 14, 2012 at 18:53
Дельный совет!
[Ответить]
Спасибо. Все получилось. Немного перепутал из-за незнания. Только пока все-таки предлагает ввести старый логин.
[Ответить]
Владимир Дручин Reply:
января 19, 2012 at 23:50
Я так понимаю Вы о том, что в браузере запомнился старый. Удалите старый из памяти браузера, введите новый и он запомнит новый.
[Ответить]
Спасибо за статью! Обязательно воспользуюсь Вашими советами!
[Ответить]
Объясните, пожалуйста, как делать бэкап блога. Спасибо!
[Ответить]
Владимир Дручин Reply:
февраля 18, 2012 at 22:19
Татьяна, скачиваете мой бесплатный курс Блоггер-Новичок:
И находите там урок на эту тему.
[Ответить]
Еще хотела бы узнать, не конфликтуют ли между собой плагины «Anti-XSS attack» и «Limit Logins Attempts»? Спасибо!
[Ответить]
Владимир Дручин Reply:
февраля 22, 2012 at 16:47
Я второй не использую, не знаю
Так установите и увидите. До этого сделайте бекапы для верности 
[Ответить]
Прочитала статью и комментарии очень внимательно,потому что( некоторые недоумевают зачем ставить столько плагинов и менять админа) мой сайт уже 3 месяца трясет от ХСС-атак и вредоносных кодов. Убивала бы всех подряд,кто этим занимается.
Я поставила все возможные плагины(8шт),убрала файлы,определяющие версию Вордпресс.Меняю пароли 2 раза в месяц.Только админ у меня оставался и на пароли не был поставлен плагин с ограничением кол-ва попыток. Сегодня опять Яндекс прислал мне жука.
Мне понравилась ваша статья и комментарии к ним.Уже поставила плагин Limit Logins Attempts . Сейчас буду изменять админа.
Но у меня вопрос:что такое «сломанный DNS»? Как я могу ликвидировать это сломанное DNS? Написала в техподдержку хостинга.Но,бесполезный номер,они уже три месяца мне отвечают,чтобы я поменяла пароль.Я-то думаю,что у них проблемы были 3 месяца назад:на хостинг были атаки и он 2 дня не работал.Может отсюда идут и мои проблемы.Как думаете,менять хостинг? или можно что-то сделать с этим сломанным DNS?
[Ответить]
Владимир, спасибо за столь ценную информацию. Как и большинство высказавшихся использую плагин Limit Logins Attempts, а вот логин сменил описанным вами способом. Все получилось, все работает! Проблем не возникло! Еще раз спасибо!
[Ответить]
Супер!!!!!!!!!!!! Спасибо большое за информацию — самое простое и понятное объяснение. Сменила, наконец, логин в админ-панель!
[Ответить]