Knowledge Base

Открытые административные панели

Чем опасны открытые admin-панели

Категория: Web App Security · Риск: high

Чем опасны открытые admin-панели

Они:

• подвергаются брутфорс-атакам 24/7
• содержат критические функции (смена паролей, загрузка файлов)
• могут иметь уязвимости в самом приложении панели

Защита по IP в Nginx

location /wp-admin/ {
    allow 203.0.113.5;    # ваш офисный IP
    allow 10.0.0.0/8;     # VPN/internal
    deny all;
}

location /phpmyadmin/ {
    allow 127.0.0.1;
    deny all;
}

Дополнительная HTTP Basic Auth

location /admin/ {
    auth_basic "Admin Area";
    auth_basic_user_file /etc/nginx/.htpasswd;
}

# Создать .htpasswd
htpasswd -c /etc/nginx/.htpasswd adminuser

Перенести за VPN

Лучший вариант: закрыть admin-панель для публичного интерфейса, открыть только в Tailscale/WireGuard-сети.

location /admin/ {
    allow 100.64.0.0/10;  # Tailscale диапазон
    deny all;
}