У меня был клиент. Назовём его условно — небольшой интернет-магазин, оборот небольшой, но стабильный. Владелец гордился тем, что его админка лежит по нестандартному адресу: не /admin, а что-то вроде /megakorporatsiya-panel2019. «Хакеры не найдут», — говорил он с улыбкой.

Через три месяца его сайт попал в список взломанных ресурсов. С базой клиентов. Сплагиатили.

Почему это убеждение вредно

Идея «спрятать — значит защитить» опирается на ложное допущение: что злоумышленник не знает о вашем существовании. В реальности боты сканируют интернет круглосуточно. Они не подбирают пароль к /admin — они сканируют все известные пути к панелям управления и реагируют на любой ответ, который выглядит как форма входа.

Нестандартный адрес — это замок на двери, но дверь сделана из картона. Замок замедляет, но не останавливает.

Что происходит на самом деле

Когда вы прячете админку по секретному пути, вы создаёте несколько проблем:

  • Ложное чувство безопасности — вы уверены, что защищены, и поэтому не замечаете реальных уязвимостей: слабых паролей, отсутствия двухфакторной аутентификации, открытых API-ключей в коде.
  • Технический долг — нестандартный путь нужно поддерживать, документировать, передавать новым сотрудникам. Это стоит времени и денег.
  • Уязвимость к утечкам — если кто-то внутри компании случайно упомянет этот путь в переписке, в резюме, в коммите — ваш секрет перестаёт быть секретом мгновенно.

Что делать вместо этого

Настоящая защита веб-приложения строится на другом фундаменте:

Авторизация и аутентификация. Сложные уникальные пароли, двухфакторная аутентификация, лимиты на количество попыток входа, блокировка после подозрительной активности.

Принцип минимальных привилегий. Каждый пользователь системы видит только то, что ему реально нужно. Админ — администрирует. Менеджер — управляет заказами. Бухгалтер — работает со счетами.

Регулярные аудиты. Не тогда, когда «что-то показалось странным», а по расписанию. Поиск уязвимостей в открытых библиотеках, проверка зависимостей, ревью логов доступа.

Мониторинг. Если кто-то пытается подобрать пароль — вы должны об этом узнать. Не после утечки, а во время попытки.

Итог

Нестандартный путь к админке — это не защита. Это успокоение. Разница принципиальная: защита работает, даже когда о ней узнают. Успокоение рассыпается в момент, когда злоумышленник просто использует сканер.

Клиент с того магазина в итоге потерял не только данные — он потерял доверие клиентов. Восстанавливал репутацию полгода.