Могут ли по сайту найти админа?

Question

[Rezonatorrr]

Насколько реально получить из сайта на Вордпресс личную информацию админов? То есть, узнать из реальный IP и прочую подобную информацию. На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что

Answer 1

[Rsa97]

Доменное имя у сайта есть? Договор на аренду этого домена кто-то оформлял? И зачем нам IP, если можно получить данные владельца домена, а он уже сам всё расскажет.

Comments

[Refguser]

Российский хостинг уже тоже после идентификации.

[Rezonatorrr]

Данные владельца домена скрыты хостером за отдельную плату

[Rsa97]

Refguser, Хостинг ещё как-то можно замаскировать через тот же cloudflare, например.

[Rezonatorrr]

Rsa97, да, сайт подключён к Cloudflare в режиме Full (Strict)

[Rsa97]

Rezonatorrr, Это они от простых граждан скрыты. А по запросу органов всё выложат.

[Rezonatorrr]

Rsa97, а если без запроса органов?

[szQocks]

Rezonatorrr, обычно на сайтах есть страница с контактами или политика конфиденциальности где есть данные организации, и по этим данным можно узнать кто владелец.

[Rezonatorrr]

szQocks, там нет таких данных, там только email

[Владислав Лысков]

Rezonatorrr, кароч, если надо - найдут, если не найдут - значит не надо было

[Ziptar]

Rezonatorrr, а если без запроса органов, то вопрос в степени параноидальности того админа, и степени того, насколько кто-то хочет до него добраться. Даже по емейлу можно человека найти, если человек его оставляет где ни попадя.

[Rezonatorrr]

Ziptar, а если email использовался только для данного сайта и не оставлялся где ни попадя?

[CityCat4]

Rezonatorrr, Тогда перестань нам дурить голову. "Те-кому-положено-все-знать" найдут тебя с сайтом, без сайта, с почтой, без почты... А прочие - вряд ли, хотя это будет зависеть от того, насколько ты противозаконным будешь заниматься...

[Refguser]

Rezonatorrr, во первых я не про вхуиз, а про идентификацию.
Во вторых вхуиз скрывается бесплатно во многих случаях.

Rsa97, эта маскировка только от детей. И как ты сам справедливо говоришь - по запросу органов всё будет.

[Василий Банников]

Rezonatorrr, смотря от кого скрываетесь. Если домен в зоне ru, то от государства уже не скроетесь

Answer 2

[Михаил Р.]

Насколько реально получить из сайта на Вордпресс личную информацию админов?

Зависит от того, кто будет искать. Если хулиганы, то лишь через перебор доступов или дырку в плагине, а вот если органы, то здесь другой риторический вопрос...

Comments

[Rezonatorrr]

А если органы, но не той страны, в которой хостится сайт?

[Михаил Р.]

Rezonatorrr, вариантов множество, от блокировки сайта в местных поисковиках, до задержания Вас в другом месте, все зависит от желания.

[Василий Банников]

Rezonatorrr, а если органы не той страны, то тогда зависит от того что ты наделал. В случае тяжких преступлений вполне могут через интерпол выяснить.

Answer 3

[R3n0]

Привет.

Могут ли по сайту найти админа?

Могут. Вопрос в том, кто будет искать.

Насколько реально получить из сайта на Вордпресс личную информацию админов?

Зависит от того, что за информация там хранится, а главное — для чего и зачем*.

То есть, узнать из реальный IP и прочую подобную информацию.

Что за "прочая подобная информация"? Почта?

Учитывая сколько уязвимостей находится в плагинах и темах оформления WordPress, больше шансов на утечку с этой стороны. Опять же, где хранятся такие данные? В базе данных, что логично, — это раз. Значит, SQLi для тебя будут особенно болезненными. Часто встречаются такие уязвимости в плагинах? Весьма.

Два — логи всевозможных плагинов "защиты", и тут уже много нюансов, начиная от торчащих наружу логов, неправильного распределения прав в самом плагине, что может привести к раскрытию чувствительной информации, заканчивая более серьёзными уязвимостями. Тут, очевидно, проблемой становится сам плагин "защиты", добавляющий тебе рисков там, где, по идее, должен от них избавлять.

Третье — IP и почта отображаются на странице с комментариями в админпанели (и хранятся в отдельной таблице базы данных, что логично). Если комментарии не нужны на сайте, то имеет смысл их отключить глобально. Если нужны — убрать логирование IP и почты комментаторов.

Это самое базовое. Остальные нюансы зависят от используемых плагинов и от того, где что они добавляют/убирают/выводят/хранят.

* —

На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что

Это всё вообще ни о чём. Более того, такой класс плагинов чаще как раз помогает при атаке злоумышленникам, нежели наоборот. Что самое смешное, ведь именно этот плагин (как минимум) и хранит в себе то, утечку чего ты хочешь не допустить, и то, чего изначально в самом WordPress нет — подробных логов с IP/почтами/логинами и прочего. Не говоря о том, что защита от всяких брутфорсов в последнюю очередь должна решаться силами самой CMS.

Вообще, лучше вопрос ставить изначально иначе, более конкретно: от кого/чего хочешь защититься, какие риски? Ответив на эти вопросы, ты поймёшь что и как надо защищать.

Если речь про органы правопорядка, то уровень сайта — это сразу мимо. Такие вопросы "там" решаются на другом уровне by design.