Recent am terminat un proiect important corporate bazat pe WordPress self-hosted. Unul din pasii de securitate ceruti in lista de deliverables a fost si modificarea userului default cu care se instaleaza WordPress, „admin”, pentru a preveni accesul neautorizat.
Cand instalezi WordPress, numele de utilizator default va fi „admin”, daca nu specifici alta denumire. Accesand contul tau de administrator WordPress, ai permisiuni complete si poti accesa toate directoarele si dashboard-ul, deci poti controla tot site-ul/blogul tau. Daca nu schimbi numele de utilizator generat la instalare de catre WordPress, hackerii pot intra cu usurinta in site. Astia lanseaza un atac brute force pe contul tau, folosind userul de administrator default („admin”) si mai trebuie doar sa ghiceasca parola, avand apoi acces nestingherit la site.
Ca sa fii sigur ca ai un username de administrator cat mai greu de „ginit”, alege un nume neobisnuit, de preferinta o combinatie de cifre si simboluri, ca de exemplu “gorlkg723-156”. Pentru a schimba numele de utilizator cu nivel de administrator in blogul tau WordPress urmeaza pasii urmatori:
- Login in WordPress admin panel folosing contul existent de administrator
- Selecteaza zona ”users” din dashboard, apoi click pe “Add New User”.
- Completeaza datele cerute si alege „administrator” din drop-down-ul de la ”Role”. Nu uita sa-ti pui o parola optima pentru web.
- Cand ai terminat click pe ”Add New User”.
- Log in folosind proaspatul username de administrator adaugat
- Mergi la zona de ”Users”
- Din in lista de useri bifeaza casuta de langa numele administratorului default (vechi) si din meniul de sus, alege „Delete”
- Pe urmatorul ecran vei fi intrebat ce sa faci cu articolele scrise de vechiul administrator. Alege optiunea “attribute all posts and links to:” si alege noul username adaugat. Cand esti gata, apasa pe “Confirm Deletion”.
- Asigura-te ca valoarea de la “display name” a userului admin e diferite de numele de utilizator, mai ales daca userul de admin psoteaza articole. Daca numele de utilizator este folosit si ca „display name” te intorci inapoi de unde ai plecat si hackerii au doar de gasit si parola, avand deja username-ul.
Intrebare: cati dintre voi aveti username la WordPress inca lasat pe „admin”?
Articol din categoria: Parenting
1 comentariu
Deşi pot spune că am învăţat aproape singur ce înseamnă utilizarea wordpress (nu, nu am devenit expert dar mă ocup de administrarea blogurilor altora), nu am avut nici măcar la primul blog username-ul default. Şi când mi s-a întâmplat să dau de bloguri care erau în situaţia asta, am recomandat cu tărie schimbarea user-ului fix prin metoda pe care ai descris-o.