Jump to content

Уязвимость wordpress - имя админа (как решить?)


Recommended Posts

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

 

Default first WordPress username '...' is still used

 

Как решить эту проблему, правильным и разумным путем? 

Link to post
Share on other sites

Есть вопрос? Задай его профессиональным веб-мастерам, SEO и другим специалистам!

Защиту по ip сделать

А если он динамичный?

 

узнать логин админа, а потом и получить весь доступ к сайта

 

Ну узнали ваш логин и что дальше?

У меня например на всех сайтах логин админ. 

Link to post
Share on other sites

"В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта."

Ану расскажите нам про эту уязвимость.

Особено нравится часть "потом получить весь доступ к сайты"

Пароль то все равно подбирается, так что сложный пароль решение вашей проблемы.

Link to post
Share on other sites

Поведение Wordpress таково, то если в конец адреса страницы дописать параметры типа author=1(2,3,4,5), то отобразятся архивы пользователя с этим ID. Перебрав несколько вариантов можно определить логин админа, например на этом демосайте если открыть страницу https://livedemo.installatron.com/1445613914wordpress/?author=1 произойдет редирект на https://livedemo.installatron.com/1445613914wordpress/author/admin/. Таким образом простое переименование стандартной админской учетки не спасает. Решить проблему можно через .htaccess (сервер будет возвращать 403 Forbidden):

RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

Также в индекс поисковых систем могут как-то попасть ссылки на страницы архивов авторов (страницы http://example.org/author/user-name),можно запретить их индексацию в robots.txt, добавив строчку:

Disallow: /author/

Решение, конечно, больше для параноиков : ) Но знать об этом я считаю полезно.

Edited by robotstxt
Link to post
Share on other sites
  • VIP

 

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

 

Default first WordPress username '...' is still used

 

Как решить эту проблему, правильным и разумным путем? 

 

 

Покурите эту тему.  ;)

https://talk.pr-cy.ru/topic/18248-sovet-kak-legko-zaschitit-vhod-v-adminku-vp/

 

Уберите админку из зоны видимости вообще.  ;)  :)

Link to post
Share on other sites
  • Модератор

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

 

Default first WordPress username '...' is still used

 

Как решить эту проблему, правильным и разумным путем?

 

Прочитать правила форума и убрать красный цвет...

Link to post
Share on other sites

Спасибо всем за помощь. Способ от webostrov работает, буду его внедрять.

 

Вот ссылка на него ... https://talk.pr-cy.ru/topic/18248-sovet-kak-legko-zaschitit-vhod-v-adminku-vp/

уязвимость ток на вп? с дле нечего бояться?

Link to post
Share on other sites

Тоже мне уязвимость xD. Тут главное скрыть админку. У меня лично стоит ошибка 403 на админку. Зашел , сделал дела и снова закрыл. По логам постоянно долбят на вп-логин, но адрес другой ) и так же 403 дает, если не делаю ничего на сайте.

Link to post
Share on other sites

Тоже мне уязвимость xD. Тут главное скрыть админку. У меня лично стоит ошибка 403 на админку. Зашел , сделал дела и снова закрыл. По логам постоянно долбят на вп-логин, но адрес другой ) и так же 403 дает, если не делаю ничего на сайте.

Как реализовали?

Link to post
Share on other sites
  • VIP

Как реализовали?

 

А у меня стоит переброс с адреса админки на 403, а с 403 - переброс на 404. 

 

То есть если живой человек поинтересуется, увидит вместо админки текст типа:

 

"Опочки, а мы про такую страничку не слыхали. Вот беда! Попробуйте начать с главной или ввести запрос в поле поиска"  :D

 

https://talk.pr-cy.ru/topic/19757-uyazvimost-wordpress-imya-admina-kak-reshit/?p=239997

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...