• Прочитал статью по безопасности на Хабре:
    «Под прессом. Ломаем и защищаем WordPress своими руками»
    http://habrahabr.ru/company/xakep/blog/259843/

    В статье рекомендуют удалить админа:

    По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1. Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

    Так вот вопрос: и в чем же заключается «защитная мера» в удалении админа?

    Хорошо, допустим вы удалили учетную запись по имени «admin». Разумеется перед этим вы создадите второго пользователя, которому также присваиваете все права на сайте. Теперь, я захожу на ваш сайт по ссылке example.com/?author=2, example.com/?author=3 и так далее. То есть выявляю всех пользователей сайта (и админа и редакторов). Теперь мне ничего не мешает запустить подбор паролей по найденным логинам. А могу заказать брут у профессионалов, которые задействуют в этом не одну сотню машин. И что? Значит повторю свой вопрос: в чем заключается «защитная мера» в удалении админа?

Просмотр 14 ответов — с 1 по 14 (всего 14)
  • Модератор Yui

    (@fierevere)

    永子

    1. на хабре очень многое пишут ради кармы…

    2. отметьте, надо зайти на сайт чтобы посмотреть какие логины пробовать, большинство атак в дикой природе осуществляются ботами, они не то что не проверяют заход на сайт, они могут не проверять доступность wp-login.php
    мне даже друпал долбили попытками входа в вордпресс

    3. пароль все равно надо ставить хороший, при возможности — рассмотреть 2 факторную авторизацию, есть плагины для нее

    4. брут/взлом/ddos под заказ это отдельный вопрос, тут все сложнее , в отличие от «диких» атак, когда ботнеты просто тыкаются везде подряд на авось

    Вот у вас такой большой стаж работы в WordPress и не только, но хочу с вами поспорить насчет ваших слов:

    надо зайти на сайт чтобы посмотреть какие логины пробовать

    Вот, например, возьмем абсолютно любой сайт на вордпрессе (на бум). Например, берем сайт http://www.novostiit.net.

    Теперь я делаю ручной перебор прямых ссылок на возможные идентификаторы, причем не заходя на сайт, и вот что в итоге получаю:

    http://www.novostiit.net/?author=1
    http://www.novostiit.net/author/admin

    http://www.novostiit.net/?author=4
    http://www.novostiit.net/author/valeriy

    http://www.novostiit.net/?author=8
    http://www.novostiit.net/author/danya

    http://www.novostiit.net/?author=9
    http://www.novostiit.net/author/vitaliy

    http://www.novostiit.net/?author=10
    http://www.novostiit.net/author/artem

    http://www.novostiit.net/?author=11
    http://www.novostiit.net/author/slava

    http://www.novostiit.net/?author=2, 3, 5, 6, 7
    -пользователи удалены, но раньше были под этими индентификаторами

    http://www.novostiit.net/?author=12 и выше
    — уже не создавались, не существует

    ВЫВОД: Теперь для условного перебора у меня есть пять логинов (имен) пользователей: valeriy, danya, vitaliy, artem и slava. И причем скорее всего они все редакторы, т.к. от их имени добавлено много записей. А вы говорите, что вначале надо зайти на сайт, чтобы узнать эти логины. Тот же трюк я проделал и с другими сайтами на вордпрессе. Так что теперь? Правильно ли я написал, или что-то опять не понял?

    P.S. Кстати, «admin» — это всего лишь ник, т.к. в панели входа нет пользователя с таким логином (именем)!

    Кстати, «admin» — это всего лишь ник,

    Советую такое же попробовать проделать с сайтом mif.cc.

    Параллельно всё же присоединяюсь к Yui.

    1. Удаляем админа — по причине возможности подбора пароля к нему, как к юзеру «по умолчанию»
    2. Двухфакторная авторизация (по принципу google auth или логина через соц.сети
    3. Firewall — для блокировки по ip при попытке полезть, куда низзя (buletproof или itheme secure)
    4. Смена адреса страницы входа — чтоб отсеять ботов, которые пытаются взломать wp-admin
    5. Админку привязываем к ip-шнику, чтобы была доп.проверка после ввода пароля.
    6. Отключаем страницы авторов (если это не критично)
    7. Вырубаем версию wordpress и сопутствующую инфу

    Как бы, вопрос скорее не в том, чтобы сменить админа. Но, с этого, пожалуй, всё и начинается.

    стати, «admin» — эт

    Защищаться можно и нужно разными способами.

    Модератор Yui

    (@fierevere)

    永子

    что-то я не поняла о чем поспорить собрались.

    Вы зашли на сайт, еще и вручную что-то перебирали,
    да даже если это скриптом сделать, все равно большинство ботов — тупят дико, если они даже для друпала ухитряются делать POST на wp-login.php , которого там отродясь не было

    еще раз сделаю акцент:

    пожалуйста различайте направленную атаку и случайную

    в первом случае цель — ваш сайт
    во втором — вы не приоритетны как цель, ведется перебор ограниченых методов атаки, если они не проходят — атакующие уходят искать счастья в другое место.

    второе происходит гораздо чаще.
    что касается первого — тут хакер может терпеливо ждать возможности, и если повезет, то 0day уязвимость им будет использована раньше чем вы ее закроете

    Модератор Yui

    (@fierevere)

    永子

    добавлю еще пунктик к списку Никиты

    * ограничивать число попыток перебора от одного источника,
    особо упрямых банить в автоматическом режиме ( limit login attempts плагин например )

    т.к. запросов от источника может идти достаточно много,
    то ограничивать и число запросов от источника, с целью ограничения нагрузки на процессор

    Вы не правильно меня поняли в моем вопросе изначально, совсем не идет речь о какой-то «дикой атаке» со стороны тупых ботов. Здесь речь идет о возможном целенаправленном заказе у хакера (ламмера, шмакера — как вам угодно). То есть если какой-либо сайт на WP закажут, то возьмутся за это профи. А ботнеты свои будут использовать для брута целенаправленно по выявленному списку логинов (имен) пользователей.

    Удаляем админа — по причине возможности подбора пароля к нему, как к юзеру «по умолчанию»

    А не лучше оставить «живым» пользователя «admin», но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd — и пусть себе ломают на здоровье. Даже если подберут пароль, то там только права подписчика будут.

    А вот насчет того, чтобы «повысить безопасность» засчет удаления логина «admin» — что от этого толку, если могут подобрать по именам других пользователей WP, выявленных по идентификаторам.

    * ограничивать число попыток

    Этим в идеале занимается Firewall.

    Модератор Yui

    (@fierevere)

    永子

    фаерволлы тоже могут быть различные,
    iptables -m string —algo bm например
    или limit_req_zone nginx’a / mod_evasive апача (?)
    или на уровне PHP отсекать если ранее перечисленное недоступно

    совсем не идет речь о какой-то «дикой атаке» со стороны тупых ботов. Здесь речь идет о возможном целенаправленном заказе у хакера

    Максим, статьи на хабре пишутся под карму, речи о том, что переименование админа вам чем-то поможет при «заказе» нет, ни там, ни тут ) Просто там в статье навалено все подряд и в кучу, но это уже проблема ее автора, что нет акцентов между «дикой» и прицельной атакой.

    WordPress платформа массовая и ломают ее часто, соответственно,
    и очень часто по банальным причинам глупости или соответствущего отношения администратора-владельца
    «Да кому мой сайт сдался.. qwerty123 достаточно!»
    (а уж насколько легко пользоваться социальными данными… я лучше промолчу)

    А вот сдался сайт.. очень много автоматических взломов, в том числе и элементарным подобром пароля (даже не беря в расчет социальные данные, которые могут быть известны знакомым или просто тем кто посмотрел профили человека в соцсети)

    Никита, попробовал поковыряться на сайте mif.cc, но так и не смог найти идентификаторов авторов сайта.

    Зато я сумел попасть на страницу входа (авторизации), хотя при этом она была закрыта через wp-admin и wp-login.php. А вы сможете открыть ее? Или угадать, как я ее открыл?

    Также узнал версию WP 4.3.1, используют тему truenews, название плагинов и т.д.

    А вы сможете открыть ее?

    Занимаюcь сейчас его оптимизацией. Хотелось бы в личке списаться по этому поводу.

    А вы сможете открыть ее?

    Классно, спасибо за выявленную проблему.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    А не лучше оставить «живым» пользователя «admin», но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd — и пусть себе ломают на здоровье.

    Такой пароль стоит сделать для всех пользователей, не только для администратора.

Просмотр 14 ответов — с 1 по 14 (всего 14)
  • Тема «Зачем удалять админа WordPress?» закрыта для новых ответов.