Jak zjistit, jací uživatelé jsou na webu s WordPressem a jak se před tím chránit
Obsah
Ve WordPressu je vše postavené na uživatelských účtech. Každý autor, editor nebo administrátor má vlastní profil, ale ne všichni uživatelé jsou veřejně viditelní. Někdy se tak může hodit vědět, kdo má přístup do redakce – a naopak, jak zabránit tomu, aby někdo zvenčí takové informace zjistil. Pojďme si vysvětlit, co se dá zjistit z veřejného webu a co zůstává skryté.
Co se dá zjistit o uživatelích WordPressu zvenčí
Ve výchozím nastavení WordPress zobrazuje jen ty uživatele, kteří mají publikovaný obsah – například články nebo příspěvky. Tito uživatelé se objevují v URL adresách typu /author/uživatelské-jméno/ nebo v RSS kanálech, kde bývá uvedeno jméno autora.
Starší instalace WordPressu umožňují zjistit přihlašovací jména i pomocí parametrů ?author=1, ?author=2 a podobně. Pokud web není správně zabezpečený, prohlížeč tě automaticky přesměruje na skutečnou adresu profilu – například /author/admin/. Takto se dají dohledat veřejně viditelní autoři článků.
WordPress REST API a seznam uživatelů
Dalším způsobem, jak se na některých webech dají zobrazit uživatelské účty, je rozhraní REST API. Pokud není chráněné, bývá dostupné na adrese:
https://domena.cz/wp-json/wp/v2/users
Tato adresa může zobrazit seznam uživatelů, kteří publikovali alespoň jeden článek. Pokud nikdo z uživatelů žádný obsah nevydal, API zůstane prázdné nebo vrátí chybu. Moderní bezpečnostní pluginy navíc REST API přístup k uživatelům automaticky blokují.
Co zjistit nelze
Informace o uživatelích, kteří nemají žádný veřejný obsah – například interní editoři, přispěvatelé nebo administrátoři – nejsou přístupné. Tyto údaje (včetně e-mailů, hesel nebo rolí) jsou uložené v databázi a vidí je jen přihlášení správci.
Jak zabránit zveřejnění uživatelských jmen
Pokud spravuješ WordPress web a chceš zamezit tomu, aby někdo mohl dohledat tvé uživatele, můžeš použít několik jednoduchých opatření. Nejdůležitější je blokovat přístup přes ?author= a omezit REST API. Stačí vložit následující kód do souboru functions.php své šablony (ideálně child theme):
// Zákaz enumerace autorů
if (!is_admin()) {
add_action('init', function() {
if (isset($_GET['author'])) {
wp_redirect(home_url());
exit;
}
});
}
// Blokace REST API přístupu k uživatelům
add_filter('rest_endpoints', function ($endpoints) {
unset($endpoints['/wp/v2/users']);
unset($endpoints['/wp/v2/users/(?P<id>[\\d]+)']);
return $endpoints;
});
Tento jednoduchý kód zabrání vyhledávání uživatelů podle ID i zobrazení jejich seznamu přes API. Pokud používáš bezpečnostní plugin (např. Wordfence, iThemes Security nebo All In One WP Security), lze tyto funkce zapnout i jedním přepínačem v administraci.
Jak ověřit, jestli je web chráněný
Stačí zkusit otevřít ve svém prohlížeči adresu /wp-json/wp/v2/users. Pokud se zobrazí hláška „You are not allowed to list users“ nebo chyba 401, je vše v pořádku. Když se zobrazí seznam autorů s uživatelskými jmény, znamená to, že REST API je veřejné a měl bys ho omezit.
Závěr
Veřejně přístupné informace o uživatelích WordPressu jsou omezené a většinou zobrazují jen ty, kdo něco publikovali. Správně nastavený web by měl skrývat ostatní účty a nedovolovat přístup přes REST API. Pokud si nejsi jistý, jak je na tom tvůj web, proveď krátký test nebo přidej do šablony bezpečnostní kód – ochráníš tak své uživatele i redakční tým před zbytečným zveřejněním údajů.
Poslední aktualizace článku proběhla 16.10.2025.
OBJEDNAT SEO OPTIMALIZACI
Tomáš Rohlena
Tomáš Rohlena je zkušený specialista na SEO, vývoj webových stránek, portálů a digitálních aplikací, který propojuje technologické know-how s hlubokým porozuměním online marketingu a provozu webových projektů. Díky mnohaletým zkušenostem dokáže nejen optimalizovat weby pro maximální viditelnost ve vyhledávačích, ale také navrhovat efektivní strategie pro zlepšení konverzí a dlouhodobé udržitelnosti online projektů.
