Краткое изложение доклада

Для кого актуальна проблема взломов:

• Если у вас больше 5 PBN;
• Если у вас конкурентная тематика;
• Если у PBN есть хорошие позиции;
• Если у вас нет времени постоянно проверять ваши PBN.

Взлом сайта – это обыденность.

Проблемы безопасности WordPress

• темы;
• плагины;
• WordPress;
• веб-мастер.

Основные методы взлома:

• XML RPC – возможность передавать данные с HTTP, выступающим в качестве транспорта и XML – для кодирования;
• Брутфорс – подбор имени и пароля методом перебора;
• Небезопасные темы и плагины;
• Известные уязвимости в устаревшем ПО;
• Уязвимости в ПО хостинга;
• Бэкдоры, фишинг, xss-атаки, sql-инъекции и т.д.

Как защититься?

• Отключаем XML RPC. 
• Сделать хороший логин и пароль. Не ставить один логин и пароль на разные сайты. Хороший пароль – от 14 символов.

Как защититься от брутфорса программными методами:

• меняем урл админки;
• ставим капчу;
• двойная авторизация через .htpass;
• ограничение количество попыток входа плагином, например, Login LockDown;
• подключаем cloudflare;
• убрать подсказку о неверном введении пароля.

Небезопасные темы и плагины

• nulled themes;
• nulled plugins.

Риски:

1. Бекдоры;
2. Явные линки и закодированные в Base64.

Вывод: только проверенные источники! Если тема платная – никогда не качать ее бесплатно.

Проверенные источники:

• сам WordPress;
• другие сайты, которые продают платные темы.

Проблема с известными уязвимостями в устаревшем ПО делится на два момента:

• WordPress версии;
• Плагины и темы.

Как бороться?

Уязвимость WordPress в том, что он показывает свою версию. В каждой новой версии хакеры ищут уязвимости. Чтобы обезопасить свой сайт, нужно скрыть версию WordPress:

• в метатеге generator и в тегах <link>.
• в файле readme.html
• в файле ru_RU.po по адресу /wp-content/languages/.

Всегда обновляйтесь до последней версии!

Старые версии плагинов и тем:

• Обновляем все!
• Удаляем то, что не используем. Скрываем файлы тем и плагинов от индексации.

В файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения важных файлов.

.htaccess – самый полезный файл для защиты от взлома. Правильно составленный .htaccess – это 60% хорошей защиты.

Еще один способ защитить свой сайт – разрешить доступ для конкретных IP.

Простой метод защитить сайт – перенести его на html. Подходит не всем, но метод достаточно эффективный.

Плюсы:

• минимум кода, нечего ломать;
• быстрые сайты;
• меньше весят;
• стабильная работа.

Минусы:

• сложно следить;
• сложно заливать новый контент;
• много манипуляций для простановки простой ссылки, если переделываем WP сайты.

Общие рекомендации по безопасности:

• Не сохраняйте пароли в браузере.
• Не используйте гугл-доки для паролей.
• Используйте хороший хостинг (в идеале – хороший сервер + проксирование).
• Если плохой хостинг, частично поможет cloudflare (осторожно: футпринт).