Привет.
Могут ли по сайту найти админа?
Могут. Вопрос в том, кто будет искать.
Насколько реально получить из сайта на Вордпресс личную информацию админов?
Зависит от того, что за информация там хранится, а главное — для чего и зачем
*.
То есть, узнать из реальный IP и прочую подобную информацию.
Что за "прочая подобная информация"? Почта?
Учитывая сколько уязвимостей находится в плагинах и темах оформления WordPress, больше шансов на утечку с этой стороны. Опять же, где хранятся такие данные? В базе данных, что логично, — это раз. Значит, SQLi для тебя будут особенно болезненными. Часто встречаются такие уязвимости в плагинах? Весьма.
Два — логи всевозможных плагинов "защиты", и тут уже много нюансов, начиная от торчащих наружу логов, неправильного распределения прав в самом плагине, что может привести к раскрытию чувствительной информации, заканчивая более серьёзными уязвимостями. Тут, очевидно, проблемой становится сам плагин "защиты", добавляющий тебе рисков там, где, по идее, должен от них избавлять.
Третье — IP и почта отображаются на странице с комментариями в админпанели (и хранятся в отдельной таблице базы данных, что логично). Если комментарии не нужны на сайте, то имеет смысл их отключить глобально. Если нужны — убрать логирование IP и почты комментаторов.
Это самое базовое. Остальные нюансы зависят от используемых плагинов и от того, где что они добавляют/убирают/выводят/хранят.
* —
На сайте работает плагин Loginozer Pro с защитой от брутфорс-атак и прочими подобными настройками, если что
Это всё вообще ни о чём. Более того, такой класс плагинов чаще как раз помогает при атаке злоумышленникам, нежели наоборот. Что самое смешное, ведь именно этот плагин (как минимум) и хранит в себе то, утечку чего ты хочешь не допустить, и то, чего изначально в самом WordPress нет — подробных логов с IP/почтами/логинами и прочего. Не говоря о том, что защита от всяких брутфорсов в последнюю очередь должна решаться силами самой CMS.
Вообще, лучше вопрос ставить изначально иначе, более конкретно: от кого/чего хочешь защититься, какие риски? Ответив на эти вопросы, ты поймёшь что и как надо защищать.
Если речь про органы правопорядка, то уровень сайта — это сразу мимо. Такие вопросы "там" решаются на другом уровне by design.
