Дмитрий Сандомирский #nazapad про то, как обезопасить PBN от взлома
Около 80% сайтов работают на WordPress, и около 80% из них уже взломаны. Если у вас 2 сайта, то какой-то из них по-любому имеет backdoor или shell для получения ссылок или других целей. Первые сайты, которые ломают, это те, у которых есть позиции.
Актуально для всех, у кого сетки сайтов, или кто планирует их делать.
Уязвимости в WordPress: темы, плагины, сам движок и вебмастер.
Основные способы взлома:
— XML RPC
— Брутфорс
— Небезопасные темы и плагины
— Известные уязвимости в устаревшем ПО
— Уязвимости ПО и хостинга
— Бэкдоры, фишинг, xss-атаки, sql-инъекции и пр.
1. Отключаем XML RPC в коде.
2. Делаем норм логин и надежный пароль. На разные сайты ставить разные связки логин-пароль.
3. Меняем урл админки, ставим капчу.
4. Делаем базовую аутентификацию (двойную авторизацию)
5. Ограничиваем плагином Login LockDown кол-во попыток входа
6. Подключаем CloudFlare
7. Убираем подсказку о неверном введении пароля.
8. Удаляем лишние файлы вордпресса, либо закрываем к ним доступ (через которые можно узнать версию вп)
9. В robots.txt не рекомендуется размещать ссылки на папки, созданные для хранения чувствительной инфы (особенно на админку).
10. Добавить в .htaccess несколько строк, которые заблокируют вредоносные ссылки или sql-уязвимости.
11. Не сохраняйте пароли в браузере. 😮
12. Используйте норм-хостинг. В идеале - хороший сервер + проксирование.
Самый норм. метод защитить сайт от взлома — перевести его в HTML. Правда возникнут сложности с обновлением.
!!! Голосуем за спикера в комментариях.
В конце дня сделаем рейтинг.
"+" в комментах, если доклад зашел.
"-" в комментах, если доклад не зашел.
Около 80% сайтов работают на WordPress, и около 80% из них уже взломаны. Если у вас 2 сайта, то какой-то из них по-любому имеет backdoor или shell для получения ссылок или других целей. Первые сайты, которые ломают, это те, у которых есть позиции.
Актуально для всех, у кого сетки сайтов, или кто планирует их делать.
Уязвимости в WordPress: темы, плагины, сам движок и вебмастер.
Основные способы взлома:
— XML RPC
— Брутфорс
— Небезопасные темы и плагины
— Известные уязвимости в устаревшем ПО
— Уязвимости ПО и хостинга
— Бэкдоры, фишинг, xss-атаки, sql-инъекции и пр.
1. Отключаем XML RPC в коде.
2. Делаем норм логин и надежный пароль. На разные сайты ставить разные связки логин-пароль.
3. Меняем урл админки, ставим капчу.
4. Делаем базовую аутентификацию (двойную авторизацию)
5. Ограничиваем плагином Login LockDown кол-во попыток входа
6. Подключаем CloudFlare
7. Убираем подсказку о неверном введении пароля.
8. Удаляем лишние файлы вордпресса, либо закрываем к ним доступ (через которые можно узнать версию вп)
9. В robots.txt не рекомендуется размещать ссылки на папки, созданные для хранения чувствительной инфы (особенно на админку).
10. Добавить в .htaccess несколько строк, которые заблокируют вредоносные ссылки или sql-уязвимости.
11. Не сохраняйте пароли в браузере. 😮
12. Используйте норм-хостинг. В идеале - хороший сервер + проксирование.
Самый норм. метод защитить сайт от взлома — перевести его в HTML. Правда возникнут сложности с обновлением.
!!! Голосуем за спикера в комментариях.
В конце дня сделаем рейтинг.
"+" в комментах, если доклад зашел.
"-" в комментах, если доклад не зашел.
