Защита админки Wordpress от подбора паролей. Как защитить блог от взлома
Опубликовано: 13.10.2016
Прочел статью по безопасности на Хабре:
«Под прессом. Ломаем и защищаем WordPress своими руками»
http://habrahabr.ru/company/xakep/blog/259843/
Как восстановить пароль в админку сайта Wordpress
В статье советуют удалить администратора:
По дефлоту в WordPress каждому юзеру присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1. Перебирая числа, ты и определишь имена юзеров веб-сайта. Учетная запись админа admin, которая создается в процессе установки WordPress, идет под номером 1, потому в качестве защитной меры рекомендуется ее удалить.
Итак вот вопрос: и в чем все-таки заключается «защитная мера» в удалении администратора?
Отлично, допустим вы удалили учетную запись по имени «admin». Очевидно перед этим вы создадите второго юзера, которому также присваиваете все права на веб-сайте. Сейчас, я захожу на ваш веб-сайт по ссылке example.com/?author=2, example.com/?author=3 и т.д.. Другими словами выявляю всех юзеров веб-сайта (и администратора и редакторов). Сейчас мне ничего не мешает запустить подбор паролей по отысканным логинам. А могу заказать брут у экспертов, которые используют в этом не одну сотку машин. И что? Означает повторю собственный вопрос: в чем заключается «защитная мера» в удалении администратора?