Задать вопрос
@Rezonatorrr

Могут ли по сайту найти админа?

Насколько реально получить из сайта на Вордпресс личную информацию админов? То есть, узнать из реальный IP и прочую подобную информацию. На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что
  • Вопрос задан
  • 300 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 3
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Доменное имя у сайта есть? Договор на аренду этого домена кто-то оформлял? И зачем нам IP, если можно получить данные владельца домена, а он уже сам всё расскажет.
Ответ написан
Mike_Ro
@Mike_Ro Куратор тега WordPress
Python, JS, WordPress, SEO, Bots, Adversting
Насколько реально получить из сайта на Вордпресс личную информацию админов?

Зависит от того, кто будет искать. Если хулиганы, то лишь через перебор доступов или дырку в плагине, а вот если органы, то здесь другой риторический вопрос...
Ответ написан
r3n0
@r3n0
// _ AppSec // Bug Bounty / Legal Hacking
Привет.

Могут ли по сайту найти админа?

Могут. Вопрос в том, кто будет искать.

Насколько реально получить из сайта на Вордпресс личную информацию админов?

Зависит от того, что за информация там хранится, а главное — для чего и зачем*.

То есть, узнать из реальный IP и прочую подобную информацию.

Что за "прочая подобная информация"? Почта?

Учитывая сколько уязвимостей находится в плагинах и темах оформления WordPress, больше шансов на утечку с этой стороны. Опять же, где хранятся такие данные? В базе данных, что логично, — это раз. Значит, SQLi для тебя будут особенно болезненными. Часто встречаются такие уязвимости в плагинах? Весьма.

Два — логи всевозможных плагинов "защиты", и тут уже много нюансов, начиная от торчащих наружу логов, неправильного распределения прав в самом плагине, что может привести к раскрытию чувствительной информации, заканчивая более серьёзными уязвимостями. Тут, очевидно, проблемой становится сам плагин "защиты", добавляющий тебе рисков там, где, по идее, должен от них избавлять.

Третье — IP и почта отображаются на странице с комментариями в админпанели (и хранятся в отдельной таблице базы данных, что логично). Если комментарии не нужны на сайте, то имеет смысл их отключить глобально. Если нужны — убрать логирование IP и почты комментаторов.

Это самое базовое. Остальные нюансы зависят от используемых плагинов и от того, где что они добавляют/убирают/выводят/хранят.

*
На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что

Это всё вообще ни о чём. Более того, такой класс плагинов чаще как раз помогает при атаке злоумышленникам, нежели наоборот. Что самое смешное, ведь именно этот плагин (как минимум) и хранит в себе то, утечку чего ты хочешь не допустить, и то, чего изначально в самом WordPress нет — подробных логов с IP/почтами/логинами и прочего. Не говоря о том, что защита от всяких брутфорсов в последнюю очередь должна решаться силами самой CMS.

Вообще, лучше вопрос ставить изначально иначе, более конкретно: от кого/чего хочешь защититься, какие риски? Ответив на эти вопросы, ты поймёшь что и как надо защищать.

Если речь про органы правопорядка, то уровень сайта — это сразу мимо. Такие вопросы "там" решаются на другом уровне by design.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы