Один из советов безопасности, который часто всплывает в сети, заключается в том, чтобы немедленно удалить пользователя с ником admin после установки и создать нового пользователя, с которым будет связана роль администратора. Я ждал, что команда разработчиков WordPress наконец-то решит данную проблему, чтобы во время установки WordPress пользователи могли выбирать свой собственный юзернейм и задавать сложный пароль, при этом им бы не пришлось возвращаться и удалять базовый аккаунт администратора.
Что я открыл для себя во время моей WordPress-встречи
Во время посещения местной WP-встречи один из присутствующих новичков WordPress предложил интересную идею, связанную с удалением администраторского аккаунта, создаваемого в процессе установки, и последующего создания нового аккаунта с привязкой к нему администраторской роли. Хакеры часто пробуют перебирать пароли для логина admin. Я отметил, что было бы замечательно, если бы в WordPress ввели такую возможность, чтобы пользователи могли менять логин администратора в процессе инсталляции, а не потом, когда сборка уже запущена.
Оказывается, сделать это можно
В процессе установки новой сборки WordPress 3.7 я обнаружил, что пользователи могут менять стандартное имя администратора Admin на любое другое. Это был первый раз, когда я занимался установкой WordPress по прошествии длительного времени, поэтому я и не знал, что такое изменение уже было введено. Такое не пришло мне в голову, потому что пользователи до сих пор делятся советами по поводу того, как изменить имя администратора. Комбинация проверки сложности пароля и возможности менять стандартный логин администратора в процессе установки WordPress сохраняет пользователя от совершения действий, которые проповедовались в течение многих лет. Как оказалось, пользователи могли менять стандартное имя пользователя еще в более ранних версиях системы. Основываясь на исследованиях, которые я провел, такая возможность существовала уже в версии WordPress 3.0.
Почему же мы тогда до сих пор молимся на этот совет безопасности?
Почему же тогда, если учесть, что данная возможность имеется, так много сборок, в которых admin является стандартным именем пользователя? Почему мы продолжаем проповедовать указанный совет безопасности по непосредственному удалению администратора с ником admin и заменой его на что-то другое? Одно из предложений, которое поступило на моей локальной встрече, было следующим: нужно убрать автоматическое заполнение этого имени, и тем самым подтолкнуть пользователей к вводу своих собственных уникальных юзернеймов. Мне показалось, что это предложение достаточно хорошее. Когда мы попытались установить новый WordPress 3.6.1, логин admin уже стоял в поле с юзернеймом. Мне кажется, что внесение такого простого изменения сделало бы WordPress-сборки более безопасными.
Источник: wptavern.com
Я как раз на днях устанавливал WordPress 3.7. Вы говорите «В процессе установки новой сборки WordPress 3.7 я обнаружил, что пользователи могут менять стандартное имя администратора Admin на любое другое». Так вот, я заметил новшество — поле ввода логина пользователя, и нигде не было вбито стандартное «Admin». То есть в 3.7 есть возможность сразу указать желаемое имя, а не изменить желаемое имя с admin, на что-либо другое, как говорите Вы. Хотя может быть я был не достаточно внимателен и не заметил заранее вбитое «admin».
Да, все верно, в комментариях оригинала блога уже указали, что в WP 3.7 это изменено. Хорошее замечание.