La modifica degli URL di amministrazione predefiniti è una misura di sicurezza efficace?

Ti proteggerà indiscutibilmente dagli attacchi automatici che si basano sulla posizione della directory wp-admin come parte della loro programmazione, che è non insignificante , dal momento che gli attacchi automatici costituiscono la stragrande maggioranza di wordpress compromessi. Puoi chiamarlo sicurezza attraverso l'oscurità , ma in realtà non stai sostituendo nessuno dei tuoi apparati di sicurezza con oscurità, lo stai promuovendo. Quindi un termine migliore sarebbe difesa in profondità .

Tieni presente che una strategia di gran lunga migliore consiste nel richiedere l'autenticazione HTTP per accedere alla directory wp-admin . Basta copiare un file .htaccess e .htpasswd lì e il gioco è fatto. Questo è ampiamente considerato e consigliato come una buona idea. In questo modo non solo tu devi accedere a wordpress per utilizzare le funzioni di amministrazione, ma anche devi fornire una password al server solo per permetterle di mostrare qualsiasi contenuto da quella directory. Questo ti protegge da tutti i tipi di autenticazione, evita le vulnerabilità se mai si presentano.

Guarda il resto della Hardening Wordpress documentazione per ulteriori "buone idee" simili.

L'URL non standard è simile all'utilizzo di una porta non standard (ad esempio, ponendo il tuo server SSH non sulla porta 22, ma su un'altra porta): essi possono aiutare contro gli attacchi automatici, non proprio per sicurezza reale, ma al fine di ridurre il rumore. Un URL "admin" standard genera centinaia di tentativi di connessione al giorno, generando tonnellate di log, impedendo così un rilevamento efficiente degli attacchi non , di cui dovresti preoccuparti.

Tuttavia, la modifica di un URL a un valore non standard e specifico del sito può comportare costi nascosti. Ad esempio, se c'è un pulsante "admin" nella pagina principale, quel pulsante dovrà essere regolato in modo da puntare all'URL dell'amministratore vero e proprio; hardcoding il valore del collegamento in un file HTML fornito con il software non funzionerà più. Tieni presente che questo URL non standard non sarà esattamente segreto se pubblicizzato tramite tale pulsante ...

Quindi, se puoi facilmente, con poco o nessun overhead, modificare l'URL "admin" su un valore non standard, quindi con tutti i mezzi, provaci. Semplicemente non credere che aumenti davvero la sicurezza. Il suo compito è di ridurre il rumore degli automi di attacco insensati (e che può promuovere un rilevamento degli attacchi più efficiente, che può indirettamente aiutare con la sicurezza).

Penso che cambiare le impostazioni predefinite per evitare semplici exploit 0day sia una strategia difensiva ampiamente sottovalutata. I malintenzionati hanno già utilizzato Google per sondare e creare database di sistemi esistenti e versioni di impronte digitali, e sono pruriti per il prossimo 0day da sfruttare rapidamente. Potrebbe essere anti-sociale, ma sarei felice di lasciare che i siti meno cauti prendano il peso della prima ondata di attacchi.

Secondo me, potrebbe essere una buona misura a seconda del tipo di utenti che dovranno accedere all'interfaccia di amministrazione. Se sono utenti che devono sapere senza pensare a dove si trova l'interfaccia di amministrazione, cambiarlo in una stringa difficile può portare a scrivere l'URL o le chiamate di supporto continue. Se sono esperti e poche persone potrebbe essere una buona misura di sicurezza aggiuntiva.

Guarda la domanda link . La mia raccomandazione è di cercare gli URL di amministrazione predefiniti quindi, se è stato modificato in una stringa casuale, sarà difficile per qualsiasi kiddie di script trovarlo.