Вордпресс незаметно для нас передает логин для входа на сайт. Половина дела сделана! Хакерам остается только подобрать пароль.
Обратите внимание на свой сайт, который применяет cms WordPress. Откройте любую запись в блоге. Под заголовком записи стоит дата создания и автор. При этом имя и фамилия автора являются активной гиперссылкой.
Кликните по ссылке — имени автора. На экране откроется страница со всеми записями автора. В адресной строке браузера (слева вверху на экране) мы увидим адрес этой страницы.
Теперь, внимание! Ловкость рук и никакого мошенничества. То, что идет за словом author является логином для входа на сайт для этого автора. На примере я замазал это слово. У себя вы увидите свой логин.
Вы захотели узнать мой логин? На своем сайте смотрите! На этом сайте и на сайте «Новые русские сказки», который я привел в качестве примера, я всё давно уже привел в порядок. Но вы не верьте мне, проверьте! Заодно и сказки послушаете, забыли, небось, когда бабушка вам читала на ночь. Посмеетесь над старыми героями в современных бытовых условиях.
Вот это фокус Вордпресса! Половину работы для хакеров делает, передает им логин на блюдечке с голубой каемочкой. Даже ленивый хакер сделает пол-работы и подберет пароль, даже просто ради интереса. И занесет заразу на открытый сайт, например, поставит где-нибудь неприличное слово. Сайт будет вонять, его поисковики забанят. А автор будет удивляться, чего-то его сайт не индексируется и не продвигается… Предохраняться надо от заразы хакерской.
Вы загрустили? Да? Ничего, сейчас я подниму вам настроение.
Давайте ответим на вопрос: а нужна ли страница с архивом статей автора? Согласитесь, если авторов много, то желательно предоставить посетителям по их желанию все статьи автора. А создатель сайта должен позаботиться о безопасности своего проекта.
А когда автор сайта один-одинешенек, то и так ясно, что все статьи на сайте пишет он сам. Даже когда переписывает чужие статьи, все равно это его творчество.
Отсюда вывод: можно обойтись без страницы с архивом статей автора!
А раз так, то и делать имя автора активной гиперссылкой, в которой присутствует логин для входа на сайт, тоже не надо. Имя автора можно вообще не писать, а можно вывести без ссылки. Я склонен выводить имя автора. Пусть все поисковики знают творца, закрепляют за ним авторское право и банят всех плагиаторов.
Что делать? Да, действительно, а Кто будет делать?
Если вы плаваете в html-кодах сайта, а слово пи-эйч-пи вызывает смех, то лучше найдите веб-мастера. Он за скромную плату за 10-15 минут приведет в порядок ваш сайт. Вы сэкономите своё время и нервы и обезопасите свой сайт от хакеров.
Если вы прекрасно разбираетесь в html-кодах сайта, знакомы с php, то флаг вам в руки. Заходите в консоль сайта (панель управления), Внешний вид, редактор. Начните с файла Одна запись (single.php).
Находите код с выводом имени автора со ссылкой. Например, он может выглядеть так:
< ?php _e('Author', 'kubrick'); ?>:
< ?php the_author_posts_link() ?>
Вместо всего этого «безобразия» поставьте имя и фамилию автора
Автор: Пётр Сидоров
Сохраните файл и посмотрите на сайте. Активная ссылка исчезла. Вот и отлично!
Затем обязательно проверьте все остальные файлы, особенно Страницы, Главная страница, Архив, функции…
Желаю вам успеха в безопасном сайте.
Василий Сенченко, психолог и веб-мастер
P.S. Если вы обратитесь ко мне с просьбой привести в порядок ваш сайт, то я сделаю вам подарок и выполню две работы — удалю ссылку с имени автора и ускорю работу сайта за счет сокращения обращений к базе данных.