NaZapad 15

практическая онлайн конференция

10 часов

полезной информации

img

Как обезопасить PBN от взлома? Практические рекомендации

Дмитрий Сандомирский LinkBRO

Краткое изложение доклада

Для кого актуальна проблема взломов:

  • Если у вас больше 5 PBN;
  • Если у вас конкурентная тематика;
  • Если у PBN есть хорошие позиции;
  • Если у вас нет времени постоянно проверять ваши PBN.

Взлом сайта – это обыденность.

Проблемы безопасности WordPress

  • темы;
  • плагины;
  • WordPress;
  • веб-мастер.

Основные методы взлома:

  • XML RPC – возможность передавать данные с HTTP, выступающим в качестве транспорта и XML – для кодирования;
  • Брутфорс – подбор имени и пароля методом перебора;
  • Небезопасные темы и плагины;
  • Известные уязвимости в устаревшем ПО;
  • Уязвимости в ПО хостинга;
  • Бэкдоры, фишинг, xss-атаки, sql-инъекции и т.д.

Как защититься?

  • Отключаем XML RPC. 
  • Сделать хороший логин и пароль. Не ставить один логин и пароль на разные сайты. Хороший пароль – от 14 символов.

Как защититься от брутфорса программными методами:

  • меняем урл админки;
  • ставим капчу;
  • двойная авторизация через .htpass;
  • ограничение количество попыток входа плагином, например, Login LockDown;
  • подключаем cloudflare;
  • убрать подсказку о неверном введении пароля.

Небезопасные темы и плагины

  • nulled themes;
  • nulled plugins.

Риски:

  1. Бекдоры;
  2. Явные линки и закодированные в Base64.

Вывод: только проверенные источники! Если тема платная – никогда не качать ее бесплатно.

Проверенные источники:

  • сам WordPress;
  • другие сайты, которые продают платные темы.

Проблема с известными уязвимостями в устаревшем ПО делится на два момента:

  • WordPress версии;
  • Плагины и темы.

Как бороться?

Уязвимость WordPress в том, что он показывает свою версию. В каждой новой версии хакеры ищут уязвимости. Чтобы обезопасить свой сайт, нужно скрыть версию WordPress:

  • в метатеге generator и в тегах <link>.
  • в файле readme.html
  • в файле ru_RU.po по адресу /wp-content/languages/.

Всегда обновляйтесь до последней версии!

Старые версии плагинов и тем:

  • Обновляем все!
  • Удаляем то, что не используем. Скрываем файлы тем и плагинов от индексации.

В файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения важных файлов.

.htaccess – самый полезный файл для защиты от взлома. Правильно составленный .htaccess – это 60% хорошей защиты.

Еще один способ защитить свой сайт – разрешить доступ для конкретных IP.

Простой метод защитить сайт – перенести его на html. Подходит не всем, но метод достаточно эффективный.

Плюсы:

  • минимум кода, нечего ломать;
  • быстрые сайты;
  • меньше весят;
  • стабильная работа.

Минусы:

  • сложно следить;
  • сложно заливать новый контент;
  • много манипуляций для простановки простой ссылки, если переделываем WP сайты.

Общие рекомендации по безопасности:

  • Не сохраняйте пароли в браузере.
  • Не используйте гугл-доки для паролей.
  • Используйте хороший хостинг (в идеале – хороший сервер + проксирование).
  • Если плохой хостинг, частично поможет cloudflare (осторожно: футпринт).