Уязвимость wordpress - имя админа (как решить?)

rosadonna · October 23, 2015

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

Default first WordPress username '...' is still used

Как решить эту проблему, правильным и разумным путем?

seechoice · October 23, 2015

Защиту по ip сделать

federal24 · October 23, 2015

Защиту по ip сделать

А если он динамичный?

узнать логин админа, а потом и получить весь доступ к сайта

Ну узнали ваш логин и что дальше?

У меня например на всех сайтах логин админ.

seechoice · October 23, 2015

У кого динамика, купите статику)

Если даже знают ваш логин, установите плагин защиты подбора пароля

Protected wp-login

TBicTep · October 23, 2015

"В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта."

Ану расскажите нам про эту уязвимость.

Особено нравится часть "потом получить весь доступ к сайты"

Пароль то все равно подбирается, так что сложный пароль решение вашей проблемы.

robotstxt · October 23, 2015

Поведение Wordpress таково, то если в конец адреса страницы дописать параметры типа author=1(2,3,4,5), то отобразятся архивы пользователя с этим ID. Перебрав несколько вариантов можно определить логин админа, например на этом демосайте если открыть страницу https://livedemo.installatron.com/1445613914wordpress/?author=1 произойдет редирект на https://livedemo.installatron.com/1445613914wordpress/author/admin/. Таким образом простое переименование стандартной админской учетки не спасает. Решить проблему можно через .htaccess (сервер будет возвращать 403 Forbidden):

RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

Также в индекс поисковых систем могут как-то попасть ссылки на страницы архивов авторов (страницы http://example.org/author/user-name),можно запретить их индексацию в robots.txt, добавив строчку:

Disallow: /author/

Решение, конечно, больше для параноиков : ) Но знать об этом я считаю полезно.

Edited October 23, 2015 by robotstxt

noni71rus · October 23, 2015

А если он динамичный

Введите диапазон айпи

webostrov · October 23, 2015

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

Default first WordPress username '...' is still used

Как решить эту проблему, правильным и разумным путем?

Покурите эту тему.

https://talk.pr-cy.ru/topic/18248-sovet-kak-legko-zaschitit-vhod-v-adminku-vp/

Уберите админку из зоны видимости вообще.

Воланд · October 23, 2015

Писал уже в другой теме, и решил создать отдельную, может так найдутся знающие люди.

В общем есть такая уязвимость в wordpress что можно узнать логин админа, а потом и получить весь доступ к сайта.

Default first WordPress username '...' is still used

Как решить эту проблему, правильным и разумным путем?

Прочитать правила форума и убрать красный цвет...

node.js · October 23, 2015

htaccess и htpasswd вам в помощь

http://www.softtime.ru/info/apache.php?id_article=27

rosadonna · October 23, 2015

Спасибо всем за помощь. Способ от webostrov работает, буду его внедрять.

Вот ссылка на него ... https://talk.pr-cy.ru/topic/18248-sovet-kak-legko-zaschitit-vhod-v-adminku-vp/

federal24 · October 23, 2015

Спасибо всем за помощь. Способ от webostrov работает, буду его внедрять.

Вот ссылка на него ... https://talk.pr-cy.ru/topic/18248-sovet-kak-legko-zaschitit-vhod-v-adminku-vp/

уязвимость ток на вп? с дле нечего бояться?

Griffin · October 23, 2015

Измените адрес входа а админку + сложный пароль. И забудьте про брутфорс

rosadonna · October 23, 2015

уязвимость ток на вп? с дле нечего бояться?

У дле свои заморочки, я давно уже с ними не работал.

federal24 · October 23, 2015

У дле свои заморочки, я давно уже с ними не работал.

А зря, они по вам скучают...

silence1988 · October 23, 2015

Тоже мне уязвимость xD. Тут главное скрыть админку. У меня лично стоит ошибка 403 на админку. Зашел , сделал дела и снова закрыл. По логам постоянно долбят на вп-логин, но адрес другой ) и так же 403 дает, если не делаю ничего на сайте.

viktorvoevodin · October 23, 2015

Php my admin таблица users меняй логин admin на свой. Метод по изменению wp-login оже работает, есть даже плагины на эту тему

federal24 · October 23, 2015

Тоже мне уязвимость xD. Тут главное скрыть админку. У меня лично стоит ошибка 403 на админку. Зашел , сделал дела и снова закрыл. По логам постоянно долбят на вп-логин, но адрес другой ) и так же 403 дает, если не делаю ничего на сайте.

Как реализовали?

webostrov · October 24, 2015

Как реализовали?

А у меня стоит переброс с адреса админки на 403, а с 403 - переброс на 404.

То есть если живой человек поинтересуется, увидит вместо админки текст типа:

"Опочки, а мы про такую страничку не слыхали. Вот беда! Попробуйте начать с главной или ввести запрос в поле поиска"

https://talk.pr-cy.ru/topic/19757-uyazvimost-wordpress-imya-admina-kak-reshit/?p=239997

kuzovbmw · October 24, 2015

У меня коды стоят на вордпрессе, помимо логина и пароля ещё и код нужно вводить,

Уязвимость wordpress - имя админа (как решить?)

Recommended Posts

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Please sign in to comment

Recently Browsing 0 members