Osim dugačke lozinke s brojkama, slovima i posebnim znakovima bitno je da i korisničko ime ima svoju kompleksnost. Najčešće kada instaliramo neku web aplikaciju poput Joomle ili WordPressa po defaultu je kreirano i korisničko ime “admin” ili “administrator”.
Netko zlonamjeran to će pokušati iskoristiti. Jedino što treba pogoditi je vaša lozinka i eto problema. Zašto mu malo ne bismo otežali posao? 🙂
Najčešće kod instalacije i ne obraćamo pažnju na taj detalj što je poprilično loša ideja. Ukoliko ste pronašli neko svoje korisničko ime koje nije kvalitetno ili je neko od ovih gore navedenih preporučam vam da ga izmijenite. Ja ću navesti primjer kako ga promijeniti u Joomli ili u WordPressu. Ukoliko imate neku drugu aplikaciju vjerujem da ćete vrlo brzo na Googleu naći rješenje i za to. Kod ove dvije aplikacije promjena se vrši jednostavnim SQL upitom u bazi.
Joomla
Iako Joomla nudi mogućnost jednostavne promjene korisničkog imena i lozinke kroz administrativno sučelje, ako iz nekog razloga ne možete do njega podatke je lako promijeniti direkno u SQL bazi.
Pronađite u svom kontrolnom panelu ikonicu za phpMyAdmin i pokrenite ga. U phpMyAdminu odaberite odgovarajuću bazu podataka iz padajućeg izbornika na lijevoj strani. Potom u gornjoj traci odaberite karticu SQL te u polje za unos upišite ovaj SQL upit:
UPDATE ‘jos_users’ SET ‘username’ = MD5( ‘novi_username’ ) WHERE ‘jos_users’.’username’ = “admin”;
Umjesto ‘novi_username’ upišite stvarno novo korisničko ime koje želite, te kliknite na “Kreni” (eng. “Go”).
Isto tako dobro dođe znati promijeniti lozinku kroz SQL upit, npr. kad je zaboravite.
UPDATE ‘jos_users’ SET ‘password’ = MD5( ‘nova_lozinka’ ) WHERE ‘jos_users’.’username’= “vaš_username”;
Pod ‘nova_lozinka’ navedite vašu novu lozinku koju želite, a pod “vaš_username” navedite vaše korisničko ime.
WordPress
Kod WordPressa se ne može mijenjati korisničko ime kroz administratorsko sučelje, ali se također stvar može riješiti kroz SQL upit u phpMyAdminu. Isto kao i kod Joomle, potrebno je pronaći WordPress bazu te na SQL kartici upisati ovaj SQL upit:
UPDATE wp_users SET user_login=’novi_username’ WHERE user_login=’admin’;
Pod ‘novi_username’ upišite vaše novo korisničko ime.
Za početak, ovo je mali ali vrijedan i jednostavan korak za povećanje sigurnosti vaše web stranice. Zašto ga ne napraviti?
Zar nije password u bazi zaštićen enkripcijom ?
Da, zaštićena je enkripcijom, no ova promjena korisničkog imena za razliku od defaultnog je malo veći nivo zaštite za zlobnike koji pokušavaju pogoditi vašu lozinku i korisničko ime.
Još možeš WP zaštititi na više načina:
1) promijeniš wp-admin u neko ime koje haker neće pogoditi
2) staviš htpasswd
3) redovito update raditi
4) zaštitiš foldere od otvaranja (hint: /wp-content/themes/*, wp-content/plugins/*)
5) makneš iz meta generatora verziju wordpressa, ovo bitno olakšava hakeru posao.
Neke od ovih tipova se mogu iskombinirati, sve ovisi o tome što je pod haubom.
Naravno, i na još mnogo drugih načina koji ne stanu u jedan blog post. No, za početak je dobro krenuti od ovoga, malo googlati pojmove koje si i sam napisao i stvari će biti puno bolje. 😉
Inače, za sve koje zanima daljnji security tuning baš za WordPress preporučam odličan članak kolege Darka Mareša iz Infiniusa:
http://www.infinius.hr/blog/wordpress-savjeti-sigurnost-plugin/