¿Cambiar las URL de administrador predeterminadas es una medida de seguridad efectiva?

Navega tus respuestas
4

Considere WordPress, que alberga todas sus funciones de administración en el directorio /wp-admin/ . En consecuencia, todas las URL de administración comienzan con /wp-admin/ . Me pregunto si sería mucho más seguro que cada instalación use un nombre único para la carpeta de administración y las URL. Por ejemplo, la carpeta de administración para una instalación en particular podría ser /8404f25a73ec25d1/ .

Lo primero que viene a la mente es que esto es seguridad a través de la oscuridad. Sin embargo, esto parece que podría ser una primera línea de defensa efectiva contra los scripts automatizados. Si el nombre era lo suficientemente aleatorio y lo suficientemente largo, no hay forma de que un atacante pueda adivinar el nombre de la carpeta de administración. Además, en un ataque de día cero contra un nuevo agujero de seguridad contra el lado del administrador, esta podría ser la única defensa.

¿Deberían las aplicaciones web disponibles como WordPress proporcionar una manera de cambiar las URL de administrador predeterminadas?

Para ser claros, no creo que esto deba reemplazar ninguna otra medida de seguridad; Solo me pregunto si la seguridad adicional (si alguna) valdrá la pena.

    
pregunta poke 27.08.2013 - 05:52
fuente

4 respuestas

5

Sin lugar a dudas, lo protegerá de los ataques automatizados que dependen de la ubicación del directorio wp-admin como parte de su programación, lo cual no es insignificante, ya que los ataques automatizados constituyen la gran mayoría de wordpress. compromisos Puede llamarlo seguridad a través de la oscuridad , pero en realidad no está reemplazando ninguno de sus aparatos de seguridad por la oscuridad, lo está arruinando. Por lo tanto, un término mejor sería defensa en profundidad .

Tenga en cuenta que una estrategia mucho mejor es requerir la autenticación HTTP para acceder al directorio wp-admin . Simplemente presione un archivo .htaccess y un archivo .htpasswd allí y listo. Esto es ampliamente considerado y recomendado como una buena idea. De esa manera no solo lo hace tiene que iniciar sesión en wordpress para usar las funciones de administración, pero también debe proporcionar una contraseña al servidor solo para permitir que muestre cualquier contenido de ese directorio. Eso lo protege contra todo tipo de vulnerabilidades de omisión de autenticación si alguna vez surgen.

Consulte el resto de la documentación de Hardening Wordpress para obtener más "buenas ideas" similares.

    
respondido por el tylerl 27.08.2013 - 19:09
fuente
3

La URL no estándar es similar a usar un puerto no estándar (por ejemplo, colocar su servidor SSH no en el puerto 22, sino en otro puerto): pueden ayudar contra ataques automatizados, no realmente Para la seguridad real, pero con el fin de reducir el ruido. Una URL "admin" estándar obtendrá cientos de intentos de conexión por día, generando toneladas de registros, lo que evitará una detección eficiente de ataques automatizados non , del tipo del que debería preocuparse.

Sin embargo, cambiar una URL a un valor no estándar y específico del sitio puede tener costos ocultos. Por ejemplo, si hay un botón "admin" en la página principal, ese botón deberá ajustarse para que apunte a la URL del administrador real; codificar el valor del enlace en un archivo HTML provisto con el software ya no funcionará. Tenga en cuenta que esta URL no estándar no será exactamente secreta si se anuncia mediante este botón ...

Entonces, si puede fácilmente, con poca o ninguna sobrecarga, cambiar la URL "admin" a algún valor no estándar, entonces, por todos los medios, hágalo. Simplemente no creas que realmente aumenta la seguridad. Su trabajo es reducir el ruido de los autómatas de ataque sin sentido (y que puede promover una detección de ataques más eficiente, lo que puede ayudar indirectamente con su seguridad).

    
respondido por el Thomas Pornin 27.08.2013 - 19:18
fuente
1

Creo que cambiar los valores predeterminados para evitar explotaciones simples de 0 días es una estrategia defensiva muy subestimada. Los chicos malos ya han utilizado Google para inspeccionar y crear bases de datos de sistemas existentes y huellas digitales de la versión, y están ansiosos por explotar rápidamente el próximo día. Puede ser antisocial, pero me complacería dejar que los sitios menos cautelosos se lleven la peor parte de la primera ola de ataques.

    
respondido por el John Deters 27.08.2013 - 18:57
fuente
0

En mi opinión, podría ser una buena medida dependiendo del tipo de usuarios que necesitarán acceder a la interfaz de administración. Si son usuarios que necesitan saber sin pensar dónde está la interfaz de administración, cambiarla a una cadena difícil puede llevar a escribir la URL o llamadas de soporte continuo. Si son expertos y pocas personas, podría ser una buena medida de seguridad adicional.

Solo mire la pregunta enlace . Mi recomendación es buscar las URL de administración predeterminadas, por lo que si se ha cambiado a una cadena aleatoria, será difícil para cualquier script encontrarlo.

    
respondido por el kinunt 27.08.2013 - 11:36
fuente

Lea otras preguntas en las etiquetas

¿Puedo proteger correctamente los archivos 7z protegidos con contraseña? ¿Es necesario probar todos los parámetros de entrada de una aplicación web al probar su seguridad?