Дмитро Сандомирський

Для кого актуальна проблема зломів:

• Якщо у вас більше 5 PBN;
• Якщо у вас конкурентна тематика;
• Якщо у PBN є хороші позиції;
• Якщо у вас немає часу постійно перевіряти ваші PBN.

Злом сайту – це буденність.

Проблеми безпеки WordPress

• теми;
• плагіни;
• WordPress;
• веб-майстер.

Основні методи злому:

• XML RPC – можливість передавати дані з HTTP, що виступає як транспорт, і XML – для кодування;
• Брутфорс – підбір імені та пароля методом перебору;
• Небезпечні теми і плагіни;
• Відомі вразливості в застарілому ПЗ;
• Уразливості в ПЗ хостингу;
• Бекдори, фішинг, xss-атаки, sql-ін’єкції тощо.

Як захиститися?

• Відключаємо XML RPC.
• Зробити хороший логін і пароль. Не ставити один логін і пароль на різні сайти. Хороший пароль – від 14 символів.

Як захиститися від брутфорса програмними методами:

• змінюємо урл адмінки;
• ставимо капчу;
• подвійна авторизація через .htpass;
• обмеження кількості спроб входу плагіном, наприклад, Login LockDown;
• підключаємо cloudflare;
• прибрати підказку про неправильне введення пароля.

Небезпечні теми та плагіни

• nulled themes;
• nulled plugins.

Ризики:

• Бекдори;
• Явні лінки і закодовані в Base64.

Висновок: тільки перевірені джерела! Якщо тема платна – ніколи не качати її безкоштовно.

Перевірені джерела:

• сам WordPress;
• інші сайти, які продають платні теми.

Проблема з відомими вразливостями в застарілому ПЗ ділиться на два моменти:

• WordPress версії;
• Плагіни та теми.

Як боротися?

Уразливість WordPress у тому, що він показує свою версію. У кожній новій версії хакери шукають уразливості. Щоб убезпечити свій сайт, потрібно приховати версію WordPress:

• у метатезі generator і в тегах <link>.
• у файлі readme.html
• у файлі ru_RU.po за адресою /wp-content/languages/.

Завжди оновлюйтеся до останньої версії!

Старі версії плагінів і тем:

Оновлюємо все!
Видаляємо те, що не використовуємо. Приховуємо файли тем і плагінів від індексації.

У файлі robots.txt не рекомендується розміщувати посилання на директорії, які були створені спеціально для зберігання важливих файлів.

.htaccess – найкорисніший файл для захисту від злому. Правильно складений .htaccess – це 60% хорошого захисту.

Ще один спосіб захистити свій сайт – дозволити доступ для конкретних IP.

Простий метод захистити сайт – перенести його на html. Підходить не всім, але метод досить ефективний.

Плюси:

• мінімум коду, нічого ламати;
• швидкі сайти;
• менше важать;
• стабільна робота.

Мінуси:

• складно стежити;
• складно заливати новий контент;
• багато маніпуляцій для проставляння простого посилання, якщо переробляємо WP сайти.

Загальні рекомендації з безпеки:

• Не зберігайте паролі в браузері.
• Не використовуйте гугл-доки для паролів.
• Використовуйте хороший хостинг (в ідеалі – хороший сервер + проксування).
• Якщо поганий хостинг, частково допоможе cloudflare (обережно: футпринт).