Краткое изложение доклада
Для кого актуальна проблема взломов:
- Если у вас больше 5 PBN;
- Если у вас конкурентная тематика;
- Если у PBN есть хорошие позиции;
- Если у вас нет времени постоянно проверять ваши PBN.
Взлом сайта – это обыденность.
Проблемы безопасности WordPress
- темы;
- плагины;
- WordPress;
- веб-мастер.
Основные методы взлома:
- XML RPC – возможность передавать данные с HTTP, выступающим в качестве транспорта и XML – для кодирования;
- Брутфорс – подбор имени и пароля методом перебора;
- Небезопасные темы и плагины;
- Известные уязвимости в устаревшем ПО;
- Уязвимости в ПО хостинга;
- Бэкдоры, фишинг, xss-атаки, sql-инъекции и т.д.
Как защититься?
- Отключаем XML RPC.
- Сделать хороший логин и пароль. Не ставить один логин и пароль на разные сайты. Хороший пароль – от 14 символов.
Как защититься от брутфорса программными методами:
- меняем урл админки;
- ставим капчу;
- двойная авторизация через .htpass;
- ограничение количество попыток входа плагином, например, Login LockDown;
- подключаем cloudflare;
- убрать подсказку о неверном введении пароля.
Небезопасные темы и плагины
- nulled themes;
- nulled plugins.
Риски:
- Бекдоры;
- Явные линки и закодированные в Base64.
Вывод: только проверенные источники! Если тема платная – никогда не качать ее бесплатно.
Проверенные источники:
- сам WordPress;
- другие сайты, которые продают платные темы.
Проблема с известными уязвимостями в устаревшем ПО делится на два момента:
- WordPress версии;
- Плагины и темы.
Как бороться?
Уязвимость WordPress в том, что он показывает свою версию. В каждой новой версии хакеры ищут уязвимости. Чтобы обезопасить свой сайт, нужно скрыть версию WordPress:
- в метатеге generator и в тегах <link>.
- в файле readme.html
- в файле ru_RU.po по адресу /wp-content/languages/.
Всегда обновляйтесь до последней версии!
Старые версии плагинов и тем:
- Обновляем все!
- Удаляем то, что не используем. Скрываем файлы тем и плагинов от индексации.
В файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения важных файлов.
.htaccess – самый полезный файл для защиты от взлома. Правильно составленный .htaccess – это 60% хорошей защиты.
Еще один способ защитить свой сайт – разрешить доступ для конкретных IP.
Простой метод защитить сайт – перенести его на html. Подходит не всем, но метод достаточно эффективный.
Плюсы:
- минимум кода, нечего ломать;
- быстрые сайты;
- меньше весят;
- стабильная работа.
Минусы:
- сложно следить;
- сложно заливать новый контент;
- много манипуляций для простановки простой ссылки, если переделываем WP сайты.
Общие рекомендации по безопасности:
- Не сохраняйте пароли в браузере.
- Не используйте гугл-доки для паролей.
- Используйте хороший хостинг (в идеале – хороший сервер + проксирование).
- Если плохой хостинг, частично поможет cloudflare (осторожно: футпринт).