Вообще не редкость наверное в CMS вход в админку только от конкретного юзера, т.е. в админку попасть

можно либо залогинившись от админа например и тогда появляется раздел админки, либо тоже самое

но с двумя паролями, первый на пользователя, второй на админку. Второй соответсвенно по секурней будет.

Второй момент - это путь до админки, т.е. как скрыть ее. Тут два возможных варианта решения мне видится,

суть в принципе одна, но реализация немного разная:

-- рандомное имя админки + проверка на юзера. /my_super_adminka8909898908.php и если пинг не от админа

редирект на index. Ну и желательно чтобы все редиректило на index, ну или куда хочешь, но на одну страницу.

-- тут тоже самое, только юзаем request_uri. Панель входа в админку появляется только при определенном пути,

например domain.com/admin_super_puper_2020/ - ну имя соответсвенно тож рандом. Можно открыть доступ(панель входа)

только при наличии нескольких определенных параметрах - domain.com/admin/param1/param2/

И в первом и во втором случае никаких ссылок, вкладочек, менюшек и тд на админку не ведет.

Сидеть угадывать admin.php administrator.php и тд можно очень долго.

Путь сохраняешь себе + два пароля. Дешево и сердито

Плюс привязка к ip, железу не спасут от атак типа csrf, csrf via xss.

А используя один из вариантов выше, такое сложнее провернуть.

Дополнительно отсутсвие пути к админке в бд, например прописана только в конфиге,

потенциальная скуля даст пассы(которые еще пробрутить нужно), но не даст пути к админке

если не можем читать через нее, уязвимости типа file read дадут path, но одного его мало ...

Если рандомное имя скрипта админки - то и читалка не поможет в доступе к админке.

Вобщем жизнь усложнит нормально я думаю.