← Wszystkie porady

Przewidywalny login konta administratora

Co to oznacza

Jeśli jedno z kont administratora na Twojej stronie używa łatwego do odgadnięcia loginu — takiego jak admin, administrator, root, test, guest, user lub wordpress — Twoja strona jest znacznie bardziej narażona na atak. Są to domyślne i najczęściej wykorzystywane loginy w atakach brute-force.

Jakie jest ryzyko

  • Połowa roboty zrobiona za atakującego — atak brute-force wymaga odgadnięcia dwóch rzeczy: loginu i hasła. Przewidywalny login eliminuje połowę problemu — zostaje tylko hasło.
  • Priorytet w atakach automatycznych — boty testują admin jako pierwszy login. Jeśli istnieje — próbują tysięcy haseł z baz wycieków (credential stuffing).
  • Wyższe obciążenie serwera — potwierdzony login zachęca atakującego do intensywniejszych prób łamania hasła, co generuje ruch i obciąża serwer.
  • Brak ochrony przez „security through obscurity" — to nie jest jedyna warstwa ochrony, ale zmiana loginu na unikatowy eliminuje ~95% automatycznych prób logowania.

Jak to naprawić

WordPress nie pozwala zmienić loginu z poziomu panelu. Dostępne metody:

  1. Utwórz nowe konto administratora z unikatowym loginem → przenieś treści → usuń stare konto:
    • Użytkownicy → Dodaj nowego → rola: Administrator
    • Zaloguj się na nowe konto
    • Usuń stare konto admin, przypisując treści do nowego
  2. Zmień bezpośrednio w bazie danych: 
    UPDATE wp_users SET user_login = 'nowy_login' WHERE user_login = 'admin';
  3. Używaj unikatowych loginów — najlepiej niepowiązanych z imieniem, nazwą firmy ani adresem e-mail.
  4. Włącz dwuskładnikowe uwierzytelnianie (2FA) — nawet gdyby ktoś odgadł login i hasło, bez drugiego składnika nie zaloguje się.