WordPress platforma pri prijavi v “backend” oz. administrativni del izpiše sporočilo ob morebitni napaki. Slednje pa se lahko uporabi tudi za vdor v vaše spletno mesto.
WordPress je najbolj razširjen sistem za izdelavo spletnih strani. Njegovi vsestranskosti ni para, zato ima tudi prevladajoči status med sistemi za urejanje vsebin. Posledično je tudi najbolj na udaru hekerjev.
Glavna stran za administratorje, t. i. “login forma” je vstopna stran, kjer uporabnik vnese svoje uporabniško ime in geslo. Ob morebitni napaki pa dobi sporočilo, ki mu pomaga razvozlati, kje je bila napaka. Problem pa je, da dajejo takšne informacije namige hekerjem, da lažje udrejo v vaše spletno mesto.
Primer sporočil:
- napačno geslo: The password you entered for the username TEST is incorrect. Lost your password?
- napačen uporabnik: The username TEST is not registered on this site. If you are unsure of your username, try your email address instead.
Onemogočanje sporočil za prijavo je preprost način za izboljšanje varnosti vašega spletnega mesta. Ker je izpostavljenih manj podrobnosti, bodo hekerji težje uganili vaše uporabniško ime ali geslo za prijavo. Za ugašanje sporočil lahko uporabimo tudi kakšen WordPress plugi ali pa to vgradimo v samo temo s pomočjo funkcije, ki jo damo v function.php.
Kako ugasnemo sporočila s pomočjo function.php
function no_wp_errors(){
return 'Napaka!';
}
add_filter( 'login_errors', 'no_wp_errors' );
Kako lahko hekerji vdrejo v vaš WordPress?
V zgoraj omenjeni metodi gre za osnovno testiranje, kjer heker ugiba uporabniško ime, ki je pogosto “admin” ali pa ime lastnika oz. urednikov. Geslo lahko ugani ročno ali s pomočjo skript. Ali pa ga dobi iz kakšne ukradene baze, kjer so vaši podatki. To velja za primere ko uporabljate enako geslo za vse storitve.
Vedno ustrezno zaščitite svoje “login” podatke in poskrbite za zadnje verzij vtičnikov in WordPress sistema.