Артём Санников

Система управления содержимым сайта WordPress позволяет работать с сайтом нескольким пользователям одновременно, и у каждого пользователя есть своя страница со списком опубликованных записей. Это достаточно удобно, но несет в себе угрозу безопасности.

Злоумышленники могут узнать имя пользователя если перейдут в браузере по следующему адресу ваш-сайт.ru/?author=N, где N — идентификатор пользователя. Система автоматически перенаправит злоумышленника на страницу пользователя, и в адресной строке будет указано имя пользователя. Такой ситуации быть не должно, поэтому нужно отключить перенаправление на страницу пользователя.

Открываем браузер и переходим по следующему адресу http://localhost/my-site/?author=1

Система автоматически перенаправила нас на страницу пользователя с ID = 1 и в адресной строке указано имя пользователя.

Отключить нумерацию пользователей можно двумя способами:

1. при помощи файла functions.php в директории wp-includes;
2. при помощи файла functions.php вашей темы оформления.

Какой вариант использовать непринципиально, в данном случае будет использоваться первый вариант. Переходим в директорию wp-includes, находим и открываем файл functions.php

Спускаемся в самый низ файла functions.php, и добавляем следующий код:

// Отключение нумерации пользователей
function my_redirect_username(){
	if (is_author()){
		wp_redirect( home_url() ); exit;
	}
}
add_action('template_redirect', 'my_redirect_username');

Сохраняем внесенные изменения.

Метки: Wordpress, Безопасность.