Защита Вордпресс: Уберите пользователя admin

Ноя 11 2017 Published by under WordPress, Безопасность

Защита Вордпресс: Уберите пользователя admin

По умолчанию Вордпресс нам предлагает создать пользователя admin для управления сайтом. Начиная с версии 3.0 WordPress дает возможность выбора логина администратора. Но все ли пользуются такой возможностью? В большинстве случаев эта возможность просто игнорируется и создается пользователь admin. А ведь это совсем небезопасно. Злоумышленику, если известен логин (я проводил эксперименты: примерно 85% народу на WP сидят именно под логином admin), остается простой перебор пароля/ мы получаем уравнение с одной неизвестной, а это, поверьте, не так сложно. Как же защитить вордпресс? Первое, что  приходит на ум:

Создаем нового пользователя  с правами администратора

Выходим из панели администрирования и заходим под новым аккаунтом.

Убеждаемся, что все опции администрирования доступны новому пользователю и удаляем пользователя admin. при удалении вас спросят связать все записи и ссылки с другим пользователем. Связать необходимо с только что созданным пользователем и подтвердить удаление.

Такие меры вам посоветуют на большинстве сайтов. Но достаточно ли этого?

Океюшки, теперь для входа в админку другой логин. Но радоваться рано. Большинство тем WordPress в постах выводят имя автора статьи. Это и есть логин автора. И в большинстве случаев автор сидит под администратором. И даже если владелец сайта разграничил полномочия участников — ничего хорошего если у злоумышленника есть возможность проникнуть в админку хоть с правами автора. Мы с вами пришли к тому, от чего пытались уйти.

Защита Вордпресс: Уберите пользователя admin

Как быть? У меня пока нет готового рецепта. Если вам интересна тема — пишите в комментариях — обязательно найду решение.

Пока же советую ограничиться настройкой количества попыток авторизации (у меня — 3).

Да прибудет с вами сила и пусть ваш сайт будет неприступной крепостью.

2 комментария

  • Дмитрий:

    Никогда не придавал этому вопросу значения, просто создавая очередной сайт на автомате оставлял admin и все. Мне кажется, если захотят сломать, то способ найдут. По поводу 3-х попыток, на мой взгляд, единственно правильное решение. Также пользуюсь таким плагином, как WPS Hide Login

    • igor:

      «Мне кажется, если захотят сломать, то способ найдут» — тут вы не правы. Чтобы убежать от медведя не надо бежать быстрее медведя. Надо бежать быстрее среднеей скорости убегающих. Хакер редко охотится на конкретный сайт. ломает то, что легко ломается

Добавить комментарий

63 - столько SQL запросов к базе.
0,366626 - за столько сгенерировалась страница.
Политика конфиденциальности
Правила пользования сайтом