Манипуляции с логином администратора в комментариях

Помните статью, в которой мы редактировали сообщения об ошибках на странице входа в админку? Для того, чтобы недоброжелатели на усекли наш настоящий логин.

Сегодня же мы представим себя в шкуре тех самых недоброжелателей, которым позарез понадобился логин администратора в WordPress. Возможно у нас уже даже появилось несколько догадок посчет этого и мы хотим убедиться в своей правоте на странице /wp-admin путём подстановки в форму входа.

В итоге натыкаемся на хрень:

ошибка при подборе на английском

Успокаивает лишь то, что админка не залочена по IP и автор либо лентяй, либо нуб. Не замечаете ничего подозрительного?

Да ведь сам движок на русском, а ошибка на английском, это значит, что владелец сайта просто скопировал готовый хук с какого-то зарубежного блога как есть и сидит довольный, чувствуя себя в безопасности.

И где же можно выудить логин? В комментах уж.

Нужно найти комментарии, оставленные администратором. В основном это определяется по контексту, хотя зачастую они бывают выделены при помощи CSS-стилей.

Итак, нашли. Где может быть логин — либо прямо в имени, либо в CSS-классе.

логин админа в css-классе

Отлично, администраторский юзернейм у нас в руках! (в примере это boss5)

А теперь защищаем свой собственный сайт:

Скрываем логин в имени комментирующего

Тут два простейших способа, первый — через админку. Заходим в «Ваш профиль», вписываем имя и фамилию (естественно никто вас не заставляет указывать настоящие) и меняем отображение — подробнее на скрине:

меню профиль пользователя WordPress

Второй способ — вставляем этот код в functions.php:

function hide_login_in_name($author){
	if(strstr($author,"boss5")) {
		// меняем boss5 на свой логин
		return "Миша";
	}
	// т.е. вместо логина будет отображаться например ваше имя
	return $author;
}
 
add_filter('get_comment_author', 'hide_login_in_name');

Избавляемся от логина в CSS-классе

Код вставляем туде же.

function hide_login_in_css_class( $classes ) {
	foreach( $classes as $key => $class ) {
		if(strstr($class, "comment-author-boss5")) {
		// меняем boss5 на свой логин
			$classes[$key] = 'comment-author-admin';
			// новый css класс в комментах администратора
		}
	}
	return $classes;
}
 
add_filter('comment_class', 'hide_login_in_css_class');

Почему я выбрал класс «comment-author-admin»? А пускай злоумышленники думают, будто бы у нас на блоге используется логин администратора по умолчанию.

Хочу обратить внимание на отдельный случай.

Допустим, у меня крупный портал, на котором зарегистрированы тысячи пользователей. Не хотелось бы палить их юзернеймы в коде, верно? В таком случае лучше избавиться от CSS-класса вообще! Для этого код:

function remove_css_class( $classes ) {
	foreach( $classes as $key => $class ) {
		if(strstr($class, "comment-author-")) {
			unset( $classes[$key] );
		}
	}
	return $classes;
}
add_filter('comment_class', 'remove_css_class');
Миша Рудрастых Разработчик WordPress WooCommerce

Миша Рудрастых

Впервые познакомился с WordPress в 2009 году, и после двух лет мучений с Joomla и самописными движками это был просто бальзам на душу. С 2014 года меня можно встретить на WordCamp — официальной конфе по WP в Москве, иногда там выступаю. Также в настоящее время веду курсы по WordPress в Epic Skills в Питере.

Смотрите также