RE:[ALT]ER

Привет.

То есть тебе продают движок OC, который бесплатен по факту, без домена, но с какими-то настройками, я правильно понял?

Какие подводные камни и риски?

Самый большой риск - это твоё полное непонимание задачи, которую ты берёшься решать.

Могу ли купить у него этот сайт с движком, без контента, добавить свой контент и подключить к своему домену?

Можешь. Но:
0. Движок по своей сути распространяется бесплатно.
1. Контент ты заменишь на свой.
2. Домен подключишь свой.

За что ты собрался платить в итоге?

И сможет он потом этот же сайт продать кому-то ещё?

Если найдёт тех, кто готов платить за бесплатное, то да, сможет.

Есть мысль, что суть "покупки" сведётся к логину/паролю от админки сайта и от FTP в лучшем случае. Если я угадал, то лучше забудь об этой затее, зайди на фриланс, найми за пару килорублей новичка, который легко справится с установкой и первичной настройкой этой CMS на твоём хостинге.

Привет.

Могут ли по сайту найти админа?

Могут. Вопрос в том, кто будет искать.

Насколько реально получить из сайта на Вордпресс личную информацию админов?

Зависит от того, что за информация там хранится, а главное — для чего и зачем*.

То есть, узнать из реальный IP и прочую подобную информацию.

Что за "прочая подобная информация"? Почта?

Учитывая сколько уязвимостей находится в плагинах и темах оформления WordPress, больше шансов на утечку с этой стороны. Опять же, где хранятся такие данные? В базе данных, что логично, — это раз. Значит, SQLi для тебя будут особенно болезненными. Часто встречаются такие уязвимости в плагинах? Весьма.

Два — логи всевозможных плагинов "защиты", и тут уже много нюансов, начиная от торчащих наружу логов, неправильного распределения прав в самом плагине, что может привести к раскрытию чувствительной информации, заканчивая более серьёзными уязвимостями. Тут, очевидно, проблемой становится сам плагин "защиты", добавляющий тебе рисков там, где, по идее, должен от них избавлять.

Третье — IP и почта отображаются на странице с комментариями в админпанели (и хранятся в отдельной таблице базы данных, что логично). Если комментарии не нужны на сайте, то имеет смысл их отключить глобально. Если нужны — убрать логирование IP и почты комментаторов.

Это самое базовое. Остальные нюансы зависят от используемых плагинов и от того, где что они добавляют/убирают/выводят/хранят.

* —

На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что

Это всё вообще ни о чём. Более того, такой класс плагинов чаще как раз помогает при атаке злоумышленникам, нежели наоборот. Что самое смешное, ведь именно этот плагин (как минимум) и хранит в себе то, утечку чего ты хочешь не допустить, и то, чего изначально в самом WordPress нет — подробных логов с IP/почтами/логинами и прочего. Не говоря о том, что защита от всяких брутфорсов в последнюю очередь должна решаться силами самой CMS.

Вообще, лучше вопрос ставить изначально иначе, более конкретно: от кого/чего хочешь защититься, какие риски? Ответив на эти вопросы, ты поймёшь что и как надо защищать.

Если речь про органы правопорядка, то уровень сайта — это сразу мимо. Такие вопросы "там" решаются на другом уровне by design.

Привет.

Дополнительно к ответам выше:
0 - не забудь сайт проверить на наличие домена/IP в чёрных списках;
1 - если сайт на каком-то движке, то убедись, что движок обновлён до актуальной версии;
2 - если есть платные модули/плагины, что они куплены официально (не варез, не перепродажа);
3 - если нужны лиц. ключи/коды активации, то также запроси эти данные;
4 - если есть кастомная функциональность, то узнай, есть ли контакт разработчика.
5 - отдельно спроси про предоставляемые доступы к сайту, то есть что ты собираешься купить: доступ к сайту, или сайт целиком (файлы, дамп БД, домен). На этом пункте прогорают очень многие, покупающие вот так у "физических лиц" очень "продающие" сайты, а по факту на руках имеющие только доступ в админпанель сайта. Про домен также стоит узнать отдельно, потому что в идеале должна быть как минимум смена владельца доменного имени на тебя, по желанию - перенос домена к желаемому регистратору;
6 - история домена в целевых поисковых системах.

Желательно, чтобы ответы на вышеперечисленные вопросы продавцом были где-то зафиксированы, а не только на честном слове и с верой в светлое будущее.

Привет.

Bludit, WordPress, Drupal, ModX.