WordPressを考えてみてください。WordPressは、すべての管理機能を/wp-admin/
ディレクトリに格納しています。したがって、その管理URLはすべて/wp-admin/
で始まります。各インストールで管理フォルダーとURLに一意の名前を使用する方がはるかに安全かどうか疑問に思っています。たとえば、特定のインストールの管理フォルダーは/8404f25a73ec25d1/
のようになります。
最初に頭に浮かぶのは、これはあいまいさによるセキュリティだということです。ただし、これは自動化されたスクリプトに対する効果的な防御の最前線になる可能性があるようです。名前が十分にランダムで長さが長い場合、攻撃者が管理フォルダの名前を推測することはできません。また、新たに発見された管理者側に対するセキュリティホールに対するゼロデイ攻撃では、これが唯一の防御策となる可能性があります。
WordPress=のような既製のWebアプリケーションは、デフォルトの管理URLを変更する方法を提供する必要がありますか?
明確にするために、これが他のセキュリティ対策に取って代わるべきだとは思っていません。追加のセキュリティ(もしあれば)が努力に値するかどうかだけ疑問に思っています。
自動化された攻撃は、自動化された攻撃を構成するため、プログラミングの一部としてwp-adminディレクトリの場所(重要ではない)に依存する自動化された攻撃から疑いなくあなたを保護します。大半のwordpress妥協。あなたはそれをセキュリティオブスキュリティを介して呼び出すことができますが、実際には置換のセキュリティ装置をあいまいにしておらず、それを増大させています。したがって、より適切な用語は多層防御です。
はるかに優れた戦略は、wp-admin
ディレクトリにアクセスするためにHTTP認証を要求することです。そこに.htaccessファイルと.htpasswdファイルを配置するだけで完了です。これは広く考えられ、優れたアイデアとして推奨されています。この方法では、wordpressにログインするだけでなく管理機能を使用するには、またはサーバーにパスワードを入力して、そのディレクトリのコンテンツを表示できるようにする必要があります。これにより、あらゆる種類の認証バイパスの脆弱性が発生した場合に、それらが保護されます。
より類似した「良いアイデア」については、残りの Hardening Wordpress のドキュメントを参照してください。
非標準のURLは、非標準のポートを使用するのと似ています(たとえば、SSHサーバーをポート22ではなく他のポートに配置します):自動化された攻撃に対する may 実際のセキュリティのためですが、ノイズを減らすためです。標準の「admin」URLは1日に数百の接続試行を取得し、大量のログを生成するため、 non 自動化された攻撃を効率的に検出できなくなります。
ただし、URLを非標準のサイト固有の値に変更すると、隠れたコストが発生する可能性があります。たとえば、メインページに「管理」ボタンがある場合、そのボタンは実際の管理URLを指すように調整する必要があります。ソフトウェアで提供されるHTMLファイルのリンク値をハードコーディングすると、機能しなくなります。この非標準のURLは、そのようなボタンで宣伝されている場合、正確に secret ではないことに注意してください...
したがって、オーバーヘッドがほとんどまたはまったくない状態で簡単にできる場合は、「admin」URLを非標準の値に変更してから、ぜひそれを試してください。それが本当にセキュリティを向上させるとは信じないでください。その仕事は、無知な攻撃オートマトンからのノイズを減らすことです(そして that は、より効率的な攻撃検出を促進することができ、間接的にセキュリティに役立ちます)。
単純なゼロデイ攻撃を回避するためにデフォルトを変更することは、非常に過小評価されている防御戦略だと思います。悪者はすでにGoogleを使用して既存のシステムとバージョンフィンガープリントのデータベースを調査および構築しており、すぐに悪用するために次の0dayを待ち望んでいます。それは反社会的かもしれませんが、あまり慎重ではないサイトに攻撃の最初の波の矢面に立たせていただければ幸いです。
私の意見では、管理インターフェースにアクセスする必要のあるユーザーのタイプによっては、これは適切な手段になる可能性があります。ユーザーが管理インターフェイスの場所を意識せずに知る必要がある場合は、難しい文字列に変更すると、URLが書き留められたり、サポートが継続的に呼び出されたりする可能性があります。彼らが熟練していて、人が少ない場合、それは良い追加のセキュリティ対策になるでしょう。
質問 https://security.stackexchange.com/questions/41282/what-can-i-do-with-an-admin-password-and-email をご覧ください。デフォルトの管理URLを探すことをお勧めします。ランダムな文字列に変更されていると、スクリプトの子供がそれを見つけるのが難しくなります。