To be admin, or not to be admin (на WordPress сайта)

Покрай изготвянето на лекцията за сигурност в WordPress и разни дребни хакове за стягането на същата тая сигурност се сетих отново за нечий съвет да не пазим потребителя admin, пък да го преименуваме или директно изтрием, за сметка на администратор с друго име.

То всичко е много хубаво, обаче когато някой целенасочено се опитва да ти счупи сайта по елементарен начин може да разбере дали даден потребител съществува или не. Когато се пробва в wp-login.php да влезе с несъществуващ потребител, формулярът остава празен след презареждане на страницата, пък ако само паролата е сбъркана, името на потребителя остава. Съответно тази същата проверка може много лесно да се имплементира за всеки бот, опитващ се да нахълта brute force през портата на admin потребителя. И ако такъв не съществува, да се огледа сред авторите на страници, публикации и коментари, за да си намери правилния човек/потребител за продължаване на хамалските действия.

Хубаво де, аз пък правя друго. Оставям си admin-а да съществува на воля. Само му подстригвам крилцата. Мъничко. Да речем до ниво subscriber. Ta по този начин зложелателят ще губи време, ресурси, а защо не и нерви, за да нахлуе в хралупката на нашия пенсиониран admin, който вече не държи никакви отговорности, а притежава приказна 18-символна парола с латиница, кирилица, главни и малки букви, числа и поне 5 специални символа. Администраторът си има своя наследник, който обаче не пише нищо никъде (това го правят редакторите) и всички живеят щастливи и доволни.

Освен непослушните дечица с лошите скриптове.