По умолчанию Вордпресс нам предлагает создать пользователя admin для управления сайтом. Начиная с версии 3.0 WordPress дает возможность выбора логина администратора. Но все ли пользуются такой возможностью? В большинстве случаев эта возможность просто игнорируется и создается пользователь admin. А ведь это совсем небезопасно. Злоумышленику, если известен логин (я проводил эксперименты: примерно 85% народу на WP сидят именно под логином admin), остается простой перебор пароля/ мы получаем уравнение с одной неизвестной, а это, поверьте, не так сложно. Как же защитить вордпресс? Первое, что приходит на ум:
Создаем нового пользователя с правами администратора
Выходим из панели администрирования и заходим под новым аккаунтом.
Убеждаемся, что все опции администрирования доступны новому пользователю и удаляем пользователя admin. при удалении вас спросят связать все записи и ссылки с другим пользователем. Связать необходимо с только что созданным пользователем и подтвердить удаление.
Такие меры вам посоветуют на большинстве сайтов. Но достаточно ли этого?
Океюшки, теперь для входа в админку другой логин. Но радоваться рано. Большинство тем WordPress в постах выводят имя автора статьи. Это и есть логин автора. И в большинстве случаев автор сидит под администратором. И даже если владелец сайта разграничил полномочия участников — ничего хорошего если у злоумышленника есть возможность проникнуть в админку хоть с правами автора. Мы с вами пришли к тому, от чего пытались уйти.
Как быть? У меня пока нет готового рецепта. Если вам интересна тема — пишите в комментариях — обязательно найду решение.
Пока же советую ограничиться настройкой количества попыток авторизации (у меня — 3).
Да прибудет с вами сила и пусть ваш сайт будет неприступной крепостью.