Если веб-сайт требует входа в систему как для обычных действий, так и для администраторов, например. форум, я бы использовал отдельные логины, которые используют одну и ту же базу данных пользователей. Это гарантирует, что XSRF и воровство сеансов не позволят злоумышленнику получить доступ к административным областям.
Кроме того, если раздел администратора находится в отдельном подкаталоге, закрепив, что один с проверкой подлинности на веб-сервере (в .htaccess в Apache, например) может быть хорошей идеей, - то кому-то нужно как этот пароль и пароль пользователя.
Замедление админ-маршрута не дает почти никакого выигрыша в защите - если кто-то знает действительные данные для входа в систему, он, скорее всего, также сможет узнать путь к админ-инструменту, так как он либо фишировал его, либо заманил вас в журнал или получил его через социальную инженерию (что вероятно, также откроет путь). Но даже без скрытого пути вам не нужна ссылка на него; просто введите его вручную для доступа к областям администрирования.
Защита от грубой силы, такая как блокировка IP-адреса пользователя после 3 неудачных логинов или необходимость CAPTCHA после неудачного входа (не для первого входа в систему, поскольку это очень раздражает для законных пользователей) также может быть полезна.
Но в целом, если ваш сайт не содержит конфиденциальную информацию и т.д., безопасный пароль и никаких отверстий безопасности не должно быть достаточно в большинстве случаев.
Когда вы говорите «не видно пользователям», вы имеете в виду, что на вашем сайте нет метки привязки? – Alex