maxveter
@maxveter
Работаю в WordPress

Зачем удалять админа Wordpress?

Прочитал статью по безопасности на Хабре:
"Под прессом. Ломаем и защищаем Wordpress своими руками"
habrahabr.ru/company/xakep/blog/259843

В статье рекомендуют удалить админа:
По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1. Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.


Так вот вопрос: и в чем же заключается "защитная мера" в удалении админа?

Хорошо, допустим вы удалили учетную запись по имени "admin". Разумеется перед этим вы создадите второго пользователя, которому также присваиваете все права на сайте. Теперь, я захожу на ваш сайт по ссылке example.com/?author=2, example.com/?author=3 и так далее. То есть выявляю всех пользователей сайта (и админа и редакторов). Теперь мне ничего не мешает запустить подбор паролей по найденным логинам. А могу заказать брут у профессионалов, которые задействуют в этом не одну сотню машин. И что? Значит повторю свой вопрос: в чем заключается "защитная мера" в удалении админа?
  • Вопрос задан
  • 1289 просмотров
Пригласить эксперта
Ответы на вопрос 3
Punkie
@Punkie
Теперь, я захожу на ваш сайт по ссылке example.com/?author=2, example.com/?author=3 и так далее.


Если человек запарился над удалением админа, то неужели он оставит те самые страницы "author" ?
Ставим на них защиту от просмотра - и пусть брутят на здоровье)
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Защитная мера заключается в том что злоумышленник не будет знать какая именно учетка имеет админские права.
Просто сравните - подбирать пароль от одного аккаунта, который заведомо админский, или пытаться взломать все аккаунты не зная где повезет, и какой из них окажется админским.

Разумеется эта мера не обеспечивает абсолютной защиты, это всего лишь одно из действий которое затрудняет работу злоумышленнику, а следовательно повышает безопасность.

Защита это всегда комплекс мер. И какое то одно действие не дает защиты, защиту дает именно сочетание этих действий.
Ответ написан
По моему мнению это бессмысленно и напоминает скорее костыль, нежели работающую защитную меру. Из того же разряда - назвать директорию с админкой не /admin, а /adminpanel. Борьба с последствиями, т.е. со слабой защитой самого ядра системы, а не усиление защиты этого самого ядра.

Если в системе есть защита от брутфорса и DDOS (или блок в htaccess по htpasswd на адреса логина \ админки) и администратор использует хорошие пароли (а не свою дату рождения, к примеру), никакие учетки ни менять, ни удалять не имеет смысла.

WP хороший движок, и для него есть очень годные плагины, которые, к примеру, блокируют учетку на полчаса после 5ти попыток логина. Да и обновления безопасности для WP выходят весьма часто.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы