1) куки в httponly

2) Делаешь админа простым юзером. Даже если произойдет кража сессии, кук

атакующий с этим сможет сделать почти столько же, сколько просто зарегавшись

на сайте, кроме обмана юзеров от имени админа. Путь к админке он не знает, и если

то так и не узнает.

3) Выставляем две куки, первую для юзеров

cms_user=bwhfywugfsnbvhd

Вторую cms_admin=asfdegfrsgrshgrth для доступа в админку

Читай сообщения от юзера, пиши - атакующий получит куки юзера с ником админ.

Зашел в админку, сделал свои дела, вышел.

И этого будет достаточно, просто тут надо обратить внимание не на то, к чему ее привязать,

как спрятать и тд - а на поиск багов. Привяжи к железу, ip, спрячь ее - stored xss в имени пользователя

например работающая из админки - и не важно к чему что привязано и как спрятано.