Зачем удалять админа Wordpress?

Question

[Максим Ветров]

Прочитал статью по безопасности на Хабре:
"Под прессом. Ломаем и защищаем Wordpress своими руками"
habrahabr.ru/company/xakep/blog/259843

В статье рекомендуют удалить админа:

По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1. Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

Так вот вопрос: и в чем же заключается "защитная мера" в удалении админа?

Хорошо, допустим вы удалили учетную запись по имени "admin". Разумеется перед этим вы создадите второго пользователя, которому также присваиваете все права на сайте. Теперь, я захожу на ваш сайт по ссылке example.com/?author=2, example.com/?author=3 и так далее. То есть выявляю всех пользователей сайта (и админа и редакторов). Теперь мне ничего не мешает запустить подбор паролей по найденным логинам. А могу заказать брут у профессионалов, которые задействуют в этом не одну сотню машин. И что? Значит повторю свой вопрос: в чем заключается "защитная мера" в удалении админа?

Answer 1

[Mr Crabbz]

Теперь, я захожу на ваш сайт по ссылке example.com/?author=2, example.com/?author=3 и так далее.

Если человек запарился над удалением админа, то неужели он оставит те самые страницы "author" ?
Ставим на них защиту от просмотра - и пусть брутят на здоровье)

Comments

[Максим Ветров]

Роман Краббз, про я тоже думал, но к сожалению, не смог найти материал по этой теме. Подскажите, пожалуйста, как можно защитить доступ от просмотра на страницы "author"?

[Mr Crabbz]

Максим Ветров: Открываем wordpress-codex, ищем template hierarchy. Смотрим темплейт для страниц авторов (author.php). Открываем его, подчищаем. Оставляем в нём жесткий редирект куда угодно (например, на главную). Проще простого.

Answer 2

[АртемЪ]

Защитная мера заключается в том что злоумышленник не будет знать какая именно учетка имеет админские права.
Просто сравните - подбирать пароль от одного аккаунта, который заведомо админский, или пытаться взломать все аккаунты не зная где повезет, и какой из них окажется админским.

Разумеется эта мера не обеспечивает абсолютной защиты, это всего лишь одно из действий которое затрудняет работу злоумышленнику, а следовательно повышает безопасность.

Защита это всегда комплекс мер. И какое то одно действие не дает защиты, защиту дает именно сочетание этих действий.

Comments

[Максим Ветров]

АртемЪ, спасибо за ответ. Но всё же ,вот вы пишите "...одно из действий которое затрудняет работу злоумышленнику...". Или я что-то не понимаю. Например, если выявлю на каком-либо сайте 5 логин пользователей и закажу брут у профессионалов. То та самая "трудность" будь совсем ничтожной, если направят на них ботнеты. Был один логин для цели, а стало чуть больше.

То, что вы говорите комплексно, это я всё стараюсь выполнять, т.е. плагины защиты, настройки доступа, права, пароли и т.д. Но этот вопрос с логином "admin" меня тоже волнует не меньше. Получается теперь два выхода:

1) Или создать 100 новых пользователей, 99 из которых будут иметь права обычного подписчика, а 1 будет иметь права админа (например, пользователь с индефикатором site.ru/?author=54)

2) Или оставить "живым" пользователя "admin", но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd - и пусть себе ломают на здоровье. Даже если подберут пароль, то там только права подписчика будут.

Вот такие меры безопасности я еще понимаю, но вот просто удаление пользователя "admin" меня сильно смущает, что от этого какая-то польза есть для безопасности сайта.

[АртемЪ]

Максим Ветров: Суть в том что абсолютных мер защиты не существует.
Нет такого действия сделав которое вы бы полностью защитили сайт.
Все действия лишь повышают сложность взлома вообще, или закрывают некоторые векторы атаки.
Т.е задача защиты сайта не состоит в том чтобы его невозможно было взломать - ибо это недостижимо.
Задача защиты состоит в том чтобы сделать взлом нерентабельным.

Удаление админа приносит следующую пользу-
1)При большом количестве пользователей злоумышленнику придется потратить намного больше времени на взлом. Поэтому повышается защищенность. Чем больше пользователей тем сильней эффект.
2)Как правило сайта на известных движках ломают не персонально, а пачками. Как правило взлом одного блога не стоит ручного труда профессионала. Поэтому ломают их натравливают бота на множество сайтов и ждут когда какой нибудь да сломается.
Боты как правило действуют по стандартной схеме, и используют стандартные уязвимости.
Поэтому если бот и будет брутить пароль, то он будет брутить пароль админа, которого вы удалили.
В результате это действие отсекает кучу автоматических атак.

[Максим Ветров]

АртемЪ: Подождите, но если я удалю пользователя "admin", то в админке будет выдать сообщения, что пользователь с таким именем не найден. А взломщик (не имею ввиду бота) перед тем как потратить ресурсы на брут, вначале обязательно проверит, существует ли вообще такой логин (имя) пользователя на сайте WP? А только потом запустит свой брут.

[АртемЪ]

Максим Ветров: Проверит, не найдет и что он будет ломать?

И еще - вы постоянно говорите про брутофорс, а брутофорс к веб ресурсам практически не применяется.
Брутофорс это перебор всех возможных комбинаций.
Судите сами -даже при пароле в 6знаков количество вариантов около миллиарда.
Если вы локально бурутите хэш, то можно спокойно проверять по несколько десятков, а то и сотен миллионов вариантов в секунду и такой пароль можно сломать за несколько минут.

А вот если вы будете брутить пароль веб ресурса - у вас вряд ли получится проверять более сотни вариантов в секунду, что увеличивает время брута в миллиона раз, т.е это уже будут годы, а не минуты.

Поэтому на веб ресурсах брутофорс не применяют, применяют словарную атаку - перебор наиболее часто используемых паролей, в комбинации с логином admin.

[Максим Ветров]

АртемЪ: Спасибо, Артем! Получил дополнительный опыт от вас. Значит, если я поставлю на admin (с правами подписчика) пароль в 30 разношерстных символов, то могу спать спокойно! Вопрос с admin будет решен. Можно продолжать работать - настраивать другие меры безопасности.

Answer 3

[Алексей Николаев]

По моему мнению это бессмысленно и напоминает скорее костыль, нежели работающую защитную меру. Из того же разряда - назвать директорию с админкой не /admin, а /adminpanel. Борьба с последствиями, т.е. со слабой защитой самого ядра системы, а не усиление защиты этого самого ядра.

Если в системе есть защита от брутфорса и DDOS (или блок в htaccess по htpasswd на адреса логина \ админки) и администратор использует хорошие пароли (а не свою дату рождения, к примеру), никакие учетки ни менять, ни удалять не имеет смысла.

WP хороший движок, и для него есть очень годные плагины, которые, к примеру, блокируют учетку на полчаса после 5ти попыток логина. Да и обновления безопасности для WP выходят весьма часто.

Comments

[Максим Ветров]

Алексей Николаев, спасибо, Алексей за ответ! Поделитесь ссылкой пожалуйста о том, как поставить блок в htaccess по htpasswd на адреса логина \ админки. Просто ,я еще не такой опытный и не совсем понимаю, какие команды надо прописывать в htaccess (а стандартные я уже прописал).

[Алексей Николаев]

Максим Ветров: в папку wp-admin кладете .htaccess вроде этого:

AuthType Basic
AuthName "Development Zone"
AuthUserFile /home/path/to/yoursite.ru/htpasswd #тут адрес до файла с паролями
Require valid-user

Для адреса входа (/wp-login) несколько сложнее, вот есть работающий пример для подобных ссылок. Заменяете на нужную и все.

[Алексей Николаев]

Максим Ветров: а в .httpaswd просто пара вида логин:пароль