АртемЪ: Спасибо, Артем! Получил дополнительный опыт от вас. Значит, если я поставлю на admin (с правами подписчика) пароль в 30 разношерстных символов, то могу спать спокойно! Вопрос с admin будет решен. Можно продолжать работать - настраивать другие меры безопасности.
АртемЪ: Подождите, но если я удалю пользователя "admin", то в админке будет выдать сообщения, что пользователь с таким именем не найден. А взломщик (не имею ввиду бота) перед тем как потратить ресурсы на брут, вначале обязательно проверит, существует ли вообще такой логин (имя) пользователя на сайте WP? А только потом запустит свой брут.
Алексей Николаев, спасибо, Алексей за ответ! Поделитесь ссылкой пожалуйста о том, как поставить блок в htaccess по htpasswd на адреса логина \ админки. Просто ,я еще не такой опытный и не совсем понимаю, какие команды надо прописывать в htaccess (а стандартные я уже прописал).
АртемЪ, спасибо за ответ. Но всё же ,вот вы пишите "...одно из действий которое затрудняет работу злоумышленнику...". Или я что-то не понимаю. Например, если выявлю на каком-либо сайте 5 логин пользователей и закажу брут у профессионалов. То та самая "трудность" будь совсем ничтожной, если направят на них ботнеты. Был один логин для цели, а стало чуть больше.
То, что вы говорите комплексно, это я всё стараюсь выполнять, т.е. плагины защиты, настройки доступа, права, пароли и т.д. Но этот вопрос с логином "admin" меня тоже волнует не меньше. Получается теперь два выхода:
1) Или создать 100 новых пользователей, 99 из которых будут иметь права обычного подписчика, а 1 будет иметь права админа (например, пользователь с индефикатором site.ru/?author=54)
2) Или оставить "живым" пользователя "admin", но ограничить его до прав подписчика, но с очень стойким паролем. Например вот такой 30-значный поставить: jdHUrR-!%y+G-RY3yXmG3?S4fu-2zd - и пусть себе ломают на здоровье. Даже если подберут пароль, то там только права подписчика будут.
Вот такие меры безопасности я еще понимаю, но вот просто удаление пользователя "admin" меня сильно смущает, что от этого какая-то польза есть для безопасности сайта.
Роман Краббз, про я тоже думал, но к сожалению, не смог найти материал по этой теме. Подскажите, пожалуйста, как можно защитить доступ от просмотра на страницы "author"?
Это можно сделать, но постоянно лезть в Filezilla не совсем удобно.
Здесь важно понять в чем заключается проблема, решить ее и спокойно себе работать через консоль WordPress. Уверен, что проблема решаема!
Roman:
"...htaccess в директории /wp-admin..." - это я понял. Значит создаю вручную и прописываю, упомянутые мною выше, три строки (разумеется с моим ip-адресом):
order deny, allow
allow from ip-adress
deny from all
Но по поводу дополнительно файла htaccess вы меня не совсем верно поняли. Я не про этот имел ввиду, который для админки. Дело в том, что после установки плагина появляется еще один файл htaccess, который даже не лежит в папке xampp, а находится рядом с ней на жестком диске компьютера.
Roman: Выполнил все рекомендации плагина уровней High Priority и Medium Priority.
Насколько сайт остается в опасности, если админ не выполнит рекомендации менее значительного уровня Low Priority и Completed?
