SlideShare ist ein Scribd-Unternehmen logo

Как обезопасить PBN от взлома? Практические рекомендации

NaZapad
NaZapad

Спикер - Дмитрий Сандомирский (LinkBRO)

Marketing
1 von 18
Downloaden Sie, um offline zu lesen
Как обезопасить PBN от взлома? Практические рекомендации Дмитрий Сандомирский
Есть ли проблема?! Для кого актуально ? ● Если у вас больше 5 PBN ● Если у вас конкурентная тематика ● Если у PBN есть хорошие позиции ● Если у вас нет времени постоянно проверять ваши PBN
Кому будет интересна инфа? ● Кто имеет небольшие сетки до 300 сайтов ● Кто планирует делать PBN для себя ● Кто имеет свой сайт Не подойдет для компаний которые делают PBN на потоке! Они и так все знают ;)
Проблеми безопасности WP ? ● Темы ● Плагины ● Wordpress ● Веб мастер
Основные методы взлома ● XML RPC - возможность передавать данные, с HTTP выступающим в качестве транспорта и XML – для кодирования ● Брутфорс - подбор имени и пароля методом перебора ● Небезопасные темы и плагины ● Известные уязвимости в устаревшем ПО ● Уязвимости в ПО хостинга ● бэкдоры, фишинг, xss-атаки, sql-инъекции и тд
Отключаем XML RPC ● Wp-config.php add_filter('xmlrpc_enabled', '__return_false'); ● .htaccess <Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
Брутфорс - азы! ● Логин Плохой: admin, название сайта, тематика, имя, имя автора Хороший: слова без ассоциаций вместе с цифрами и символами Пример хорошого: bnB#BH324hJkj ● Пароль Плохой: password, название сайта, тематика, имя, просто текст или цифры, короткий Пример хорошого: bh*YF^VIV&^YVIY7v8uyv&Fv ● Не ставить один логин и пароль на разные сайты!
Программные методы ● Меняем урл админки ● Ставим капчу ● Двойная авторизация через .htpass ● Ограничение количество попиток входа плагином, например Login LockDown ● Подключаем cloudflare ● Убрать подсказку о неверном введение пароля function no_wordpress_errors(){ return 'Может хватит ломать админку?' ;} add_filter( 'login_errors' , 'no_wordpress_errors' );
Небезопасные темы и плагины ● Nulled themes ● Nulled plugins Риски 1. Бекдори 2. Явные линки и закодированные в Base64 Заключение: только проверенные источники!
Известные уязвимости в устаревшем ПО ● Wordpress версии ● Плагини и теми И как же с этим бороться?
Wordpress уязвимость в ее версии! 1. Версия указана в метатеге generator и в тегах <link> remove_action( 'wp_head', 'wp_generator' ); remove_action( 'wp_head', 'wlwmanifest_link' ); 2. в файле readme.html Удаляем или запрещаем доступ с помощью .htaccess 3. в файле ru_RU.po по адресу /wp-content/languages/ Запрещаем доступ с помощью .htaccess Всегда обновляемся до последней версии!
Старые версии плагинов и тем 1. Обновляем все! 2. Удаляем то что не используем Скрываем файлы тем и плагинов от индексации inurl:/wp-content/- раскроет данние о ваших плагинах и темах User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/ plugins/ Disallow: /wp-content/ themes/ Disallow: /?author=* Allow: / в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации
.htaccess - полезные функции 1. RewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR] - заблокирует ссылки, содержащие кодировку Base64 2. RewriteCond %{QUERY_STRING} (&lt;|%3C)([^s]*s)+cript.*(&gt;|%3E) [NC,OR] - Избавиться от ссылок, содержащих тег <script> 3. RewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2}) - противодействует скриптам, пытающимся установить глобальные переменные или изменить переменную _REQUEST через URL 4. RewriteCond %{query_string} concat.*( [NC,OR] RewriteCond %{query_string} union.*select.*( [NC,OR] RewriteCond %{query_string} union.*all.*select [NC] RewriteRule ^(.*)$ index.php [F,L] - Для противодействия SQL-инъекциям блокируем запросы к URL, содержащие определенные ключевые слова
.htaccess - полезные функции 5. SetEnvIf user-agent «Indy Library» stayout=1 SetEnvIf user-agent «libwww-perl» stayout=1 SetEnvIf user-agent «Wget» stayout=1 deny from env=stayout - блокирует определенные user-agent популярных хакерских програм 6. Options -Indexes - закрывает список файлов и папок 7. <files .htaccess> order allow,deny deny from all </files> - закрываем доступ к файлу htaccess. Таким же методом закрываем доступ к уязвимы файлам wp-config.php, содержит имя БД, имя пользователя, пароль и префикс таблиц; readme.html и ru_RU.po, которые содержат версию WordPress; install.php.
Разрешаем доступ для конкретных ip создаем файл .htaccess в папке wp-admin AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all allow from 178.178.178.178 # IP 1 allow from 248.248.248.248 # IP 2
Перенос сайта на html Подходит не всем, но достаточно эффективный метод защиты + Минимум кода, нечего ломать + Бистрие сайти + Меньше весят + Стабильная работа - Сложно следить - Сложно заливать новий контент - Много манипуляций для простановки простой ссылки, если переделываем WP сайты
Общие рекомендации 1. Не сохраняйте пароли в браузере 2. Не используйте гугл докс для паролей 3. Используйте хороший хостинг (в идеале хороший сервер + проксирование) 4. Если плохой хостинг, частично поможет cloudflare (осторожно футпринт)
Спасибо за внимание! Дмитрий Сандомирский facebook.com/dmytro.sandomirskyi

Empfohlen

Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Битва за миллисекунды: практика ускорения веб сайтов
Битва за миллисекунды: практика ускорения веб сайтовБитва за миллисекунды: практика ускорения веб сайтов
Битва за миллисекунды: практика ускорения веб сайтовindex.art
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValElitesru
 
Internet Explorer 8
Internet Explorer 8Internet Explorer 8
Internet Explorer 8Транслируем.бел
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 

Empfohlen

Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Битва за миллисекунды: практика ускорения веб сайтов
Битва за миллисекунды: практика ускорения веб сайтовБитва за миллисекунды: практика ускорения веб сайтов
Битва за миллисекунды: практика ускорения веб сайтовindex.art
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValElitesru
 
Internet Explorer 8
Internet Explorer 8Internet Explorer 8
Internet Explorer 8Транслируем.бел
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...Alexey Kostin
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.Омские ИТ-субботники
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsLEDC 2016
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
«Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта» «Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта» Гузель Рахимова
 
обзор браузеров
обзор браузеровобзор браузеров
обзор браузеровАлександра Суша
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеровnatasha16makritskaya
 
эссе
эссеэссе
эссеDasha Vasilyeva
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Эссе по теме браузеры
Эссе по теме браузерыЭссе по теме браузеры
Эссе по теме браузерыMaxim Moroz
 
Bootstrap
BootstrapBootstrap
BootstrapTimofey Chukleev
 
Bootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPressBootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPressIgor Sazonov
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal ParanoiaInna Tuyeva
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal ParanoiaDrupal Camp Kyiv
 
Как быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressКак быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressvovasik
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакRuslan Sukhar
 

Weitere ähnliche Inhalte

Was ist angesagt?

Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...Alexey Kostin
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.Омские ИТ-субботники
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsLEDC 2016
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
«Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта» «Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта» Гузель Рахимова
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеровnatasha16makritskaya
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Эссе по теме браузеры
Эссе по теме браузерыЭссе по теме браузеры
Эссе по теме браузерыMaxim Moroz
 
Bootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPressBootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPressIgor Sazonov
 

Was ist angesagt? (20)

Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
 
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
Что, зачем и каким образом следует проверять и тестировать перед запуском сай...
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
 
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
2013-05-04 01 Ксения Дмитриева. HTML5, Взлом и защита.
 
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tipsКостянтин Чаус — Monitoring of huge Drupal site. Tools and tips
Костянтин Чаус — Monitoring of huge Drupal site. Tools and tips
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
 
«Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта» «Разработка и оптимизация высоконагруженного проекта»
«Разработка и оптимизация высоконагруженного проекта»
 
обзор браузеров
обзор браузеровобзор браузеров
обзор браузеров
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word press
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеров
 
эссе
эссеэссе
эссе
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
Эссе по теме браузеры
Эссе по теме браузерыЭссе по теме браузеры
Эссе по теме браузеры
 
Bootstrap
BootstrapBootstrap
Bootstrap
 
Bootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPressBootstrap 3. Адаптивная верстка для WordPress
Bootstrap 3. Адаптивная верстка для WordPress
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 

Ähnlich wie Как обезопасить PBN от взлома? Практические рекомендации

Как быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressКак быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressvovasik
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакRuslan Sukhar
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Egor Konovalov
 
Вёрстка WordPress тем - WP Kharkiv Meetup #1
Вёрстка WordPress тем - WP Kharkiv Meetup #1Вёрстка WordPress тем - WP Kharkiv Meetup #1
Вёрстка WordPress тем - WP Kharkiv Meetup #1dima_kuzovlev
 
СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"Technopark
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусовSkillFactory
 
Easy authcache 2 кэширование для pro. Родионов Игорь
Easy authcache 2 кэширование для pro. Родионов ИгорьEasy authcache 2 кэширование для pro. Родионов Игорь
Easy authcache 2 кэширование для pro. Родионов ИгорьPVasili
 
Client Side Autotesting Flash
Client Side Autotesting FlashClient Side Autotesting Flash
Client Side Autotesting Flashguestb0af15
 
Easy authcache 2 кеширование для pro родионов игорь
Easy authcache 2 кеширование для pro родионов игорьEasy authcache 2 кеширование для pro родионов игорь
Easy authcache 2 кеширование для pro родионов игорьdrupalconf
 
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. ТрофименкоКэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко2ГИС Технологии
 
Perl Debugger и mod_perl
Perl Debugger и mod_perlPerl Debugger и mod_perl
Perl Debugger и mod_perlИван mrRico
 
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...Viktor Likin
 

Ähnlich wie Как обезопасить PBN от взлома? Практические рекомендации (20)

Как быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressКак быть с большими сайтами на Word press
Как быть с большими сайтами на Word press
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атак
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
 
176023
176023176023
176023
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 
Вёрстка WordPress тем - WP Kharkiv Meetup #1
Вёрстка WordPress тем - WP Kharkiv Meetup #1Вёрстка WordPress тем - WP Kharkiv Meetup #1
Вёрстка WordPress тем - WP Kharkiv Meetup #1
 
2 занятие
2 занятие2 занятие
2 занятие
 
СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
PHP
PHPPHP
PHP
 
Easy authcache 2 кэширование для pro. Родионов Игорь
Easy authcache 2 кэширование для pro. Родионов ИгорьEasy authcache 2 кэширование для pro. Родионов Игорь
Easy authcache 2 кэширование для pro. Родионов Игорь
 
Client Side Autotesting Flash
Client Side Autotesting FlashClient Side Autotesting Flash
Client Side Autotesting Flash
 
Easy authcache 2 кеширование для pro родионов игорь
Easy authcache 2 кеширование для pro родионов игорьEasy authcache 2 кеширование для pro родионов игорь
Easy authcache 2 кеширование для pro родионов игорь
 
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. ТрофименкоКэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко
Кэш виджетов Yii в Redis. Отдача напрямую через Nginx. Трофименко
 
Perl Debugger и mod_perl
Perl Debugger и mod_perlPerl Debugger и mod_perl
Perl Debugger и mod_perl
 
Faq2 online-business-master
Faq2 online-business-masterFaq2 online-business-master
Faq2 online-business-master
 
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...
DrupalCamp Kyiv 2011. Views - стандарт вывода списка данных. Расширение Views...
 

Mehr von NaZapad

Как перевести любой контент (статью, интерфейс, приложение) на любой язык
Как перевести любой контент (статью, интерфейс, приложение) на любой языкКак перевести любой контент (статью, интерфейс, приложение) на любой язык
Как перевести любой контент (статью, интерфейс, приложение) на любой языкNaZapad
 
Как продать сайт, который не продается за х33!
Как продать сайт, который не продается за х33!Как продать сайт, который не продается за х33!
Как продать сайт, который не продается за х33!NaZapad
 
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?NaZapad
 
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...NaZapad
 
Продвижение сайтов в IT нише. Открытый кейс
Продвижение сайтов в IT нише. Открытый кейсПродвижение сайтов в IT нише. Открытый кейс
Продвижение сайтов в IT нише. Открытый кейсNaZapad
 
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...NaZapad
 
Управление репутацией в интернете
Управление репутацией в интернетеУправление репутацией в интернете
Управление репутацией в интернетеNaZapad
 
Как выжать максимум от SEO для аутсорсинговых и SaaS компаний
Как выжать максимум от SEO для аутсорсинговых и SaaS компанийКак выжать максимум от SEO для аутсорсинговых и SaaS компаний
Как выжать максимум от SEO для аутсорсинговых и SaaS компанийNaZapad
 
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.NaZapad
 
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делать
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делатьОчистка ссылочного профиля от токсичных ссылок. Как их определять и что делать
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делатьNaZapad
 
Классифайд в Африке
Классифайд в АфрикеКлассифайд в Африке
Классифайд в АфрикеNaZapad
 
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиара
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиараПубликации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиара
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиараNaZapad
 
Практический кейс: Вывод в топ без нарушения правил FDA
Практический кейс: Вывод в топ без нарушения правил FDAПрактический кейс: Вывод в топ без нарушения правил FDA
Практический кейс: Вывод в топ без нарушения правил FDANaZapad
 
Law Firm SEO: Exposing the Google Algorithm
Law Firm SEO: Exposing the Google AlgorithmLaw Firm SEO: Exposing the Google Algorithm
Law Firm SEO: Exposing the Google AlgorithmNaZapad
 
SEO аналитика на максималках
SEO аналитика на максималкахSEO аналитика на максималках
SEO аналитика на максималкахNaZapad
 
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтов
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтовМониторинг PBN - как делать аудит, когда у вас 1000+ сайтов
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтовNaZapad
 
PROS and CONS of using ccTLD domains for PBN
PROS and CONS of using ccTLD domains for PBNPROS and CONS of using ccTLD domains for PBN
PROS and CONS of using ccTLD domains for PBNNaZapad
 
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановкиКухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановкиNaZapad
 
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.NaZapad
 
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТ
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТ
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТNaZapad
 

Mehr von NaZapad (20)

Как перевести любой контент (статью, интерфейс, приложение) на любой язык
Как перевести любой контент (статью, интерфейс, приложение) на любой языкКак перевести любой контент (статью, интерфейс, приложение) на любой язык
Как перевести любой контент (статью, интерфейс, приложение) на любой язык
 
Как продать сайт, который не продается за х33!
Как продать сайт, который не продается за х33!Как продать сайт, который не продается за х33!
Как продать сайт, который не продается за х33!
 
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?
Обратные ссылки или внутренняя оптимизация: какому потоку отдать приоритет?
 
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...
Как эффективно управлять линкбилдингом: развитие команды, контроль подрядчико...
 
Продвижение сайтов в IT нише. Открытый кейс
Продвижение сайтов в IT нише. Открытый кейсПродвижение сайтов в IT нише. Открытый кейс
Продвижение сайтов в IT нише. Открытый кейс
 
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...
Альтернативные источники получения SEO трафика. Кейс: получаем лиды в EdTech ...
 
Управление репутацией в интернете
Управление репутацией в интернетеУправление репутацией в интернете
Управление репутацией в интернете
 
Как выжать максимум от SEO для аутсорсинговых и SaaS компаний
Как выжать максимум от SEO для аутсорсинговых и SaaS компанийКак выжать максимум от SEO для аутсорсинговых и SaaS компаний
Как выжать максимум от SEO для аутсорсинговых и SaaS компаний
 
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.
Affiliate SEO: Что (не) нужно делать при продвижении ревью сайтов.
 
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делать
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делатьОчистка ссылочного профиля от токсичных ссылок. Как их определять и что делать
Очистка ссылочного профиля от токсичных ссылок. Как их определять и что делать
 
Классифайд в Африке
Классифайд в АфрикеКлассифайд в Африке
Классифайд в Африке
 
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиара
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиараПубликации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиара
Публикации в СМИ не только ради ссылок: неочевидные выгоды хорошего пиара
 
Практический кейс: Вывод в топ без нарушения правил FDA
Практический кейс: Вывод в топ без нарушения правил FDAПрактический кейс: Вывод в топ без нарушения правил FDA
Практический кейс: Вывод в топ без нарушения правил FDA
 
Law Firm SEO: Exposing the Google Algorithm
Law Firm SEO: Exposing the Google AlgorithmLaw Firm SEO: Exposing the Google Algorithm
Law Firm SEO: Exposing the Google Algorithm
 
SEO аналитика на максималках
SEO аналитика на максималкахSEO аналитика на максималках
SEO аналитика на максималках
 
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтов
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтовМониторинг PBN - как делать аудит, когда у вас 1000+ сайтов
Мониторинг PBN - как делать аудит, когда у вас 1000+ сайтов
 
PROS and CONS of using ccTLD domains for PBN
PROS and CONS of using ccTLD domains for PBNPROS and CONS of using ccTLD domains for PBN
PROS and CONS of using ccTLD domains for PBN
 
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановкиКухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
Кухня создания PBN: От поиска доменов, сетапа сайтов, до тестов и простановки
 
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.
Масштабируемое Affiliate SEO. Как создавать и продавать сайты на потоке.
 
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТ
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТ
ЗАПУСТИТЬ ПРОЕКТ ПОД БУРЖ И НЕ СЛИТЬ БЮДЖЕТ
 

Как обезопасить PBN от взлома? Практические рекомендации

  • 1. Как обезопасить PBN от взлома? Практические рекомендации Дмитрий Сандомирский
  • 2. Есть ли проблема?! Для кого актуально ? ● Если у вас больше 5 PBN ● Если у вас конкурентная тематика ● Если у PBN есть хорошие позиции ● Если у вас нет времени постоянно проверять ваши PBN
  • 3. Кому будет интересна инфа? ● Кто имеет небольшие сетки до 300 сайтов ● Кто планирует делать PBN для себя ● Кто имеет свой сайт Не подойдет для компаний которые делают PBN на потоке! Они и так все знают ;)
  • 4. Проблеми безопасности WP ? ● Темы ● Плагины ● Wordpress ● Веб мастер
  • 5. Основные методы взлома ● XML RPC - возможность передавать данные, с HTTP выступающим в качестве транспорта и XML – для кодирования ● Брутфорс - подбор имени и пароля методом перебора ● Небезопасные темы и плагины ● Известные уязвимости в устаревшем ПО ● Уязвимости в ПО хостинга ● бэкдоры, фишинг, xss-атаки, sql-инъекции и тд
  • 6. Отключаем XML RPC ● Wp-config.php add_filter('xmlrpc_enabled', '__return_false'); ● .htaccess <Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
  • 7. Брутфорс - азы! ● Логин Плохой: admin, название сайта, тематика, имя, имя автора Хороший: слова без ассоциаций вместе с цифрами и символами Пример хорошого: bnB#BH324hJkj ● Пароль Плохой: password, название сайта, тематика, имя, просто текст или цифры, короткий Пример хорошого: bh*YF^VIV&^YVIY7v8uyv&Fv ● Не ставить один логин и пароль на разные сайты!
  • 8. Программные методы ● Меняем урл админки ● Ставим капчу ● Двойная авторизация через .htpass ● Ограничение количество попиток входа плагином, например Login LockDown ● Подключаем cloudflare ● Убрать подсказку о неверном введение пароля function no_wordpress_errors(){ return 'Может хватит ломать админку?' ;} add_filter( 'login_errors' , 'no_wordpress_errors' );
  • 9. Небезопасные темы и плагины ● Nulled themes ● Nulled plugins Риски 1. Бекдори 2. Явные линки и закодированные в Base64 Заключение: только проверенные источники!
  • 10. Известные уязвимости в устаревшем ПО ● Wordpress версии ● Плагини и теми И как же с этим бороться?
  • 11. Wordpress уязвимость в ее версии! 1. Версия указана в метатеге generator и в тегах <link> remove_action( 'wp_head', 'wp_generator' ); remove_action( 'wp_head', 'wlwmanifest_link' ); 2. в файле readme.html Удаляем или запрещаем доступ с помощью .htaccess 3. в файле ru_RU.po по адресу /wp-content/languages/ Запрещаем доступ с помощью .htaccess Всегда обновляемся до последней версии!
  • 12. Старые версии плагинов и тем 1. Обновляем все! 2. Удаляем то что не используем Скрываем файлы тем и плагинов от индексации inurl:/wp-content/- раскроет данние о ваших плагинах и темах User-Agent: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/ plugins/ Disallow: /wp-content/ themes/ Disallow: /?author=* Allow: / в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации
  • 13. .htaccess - полезные функции 1. RewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR] - заблокирует ссылки, содержащие кодировку Base64 2. RewriteCond %{QUERY_STRING} (&lt;|%3C)([^s]*s)+cript.*(&gt;|%3E) [NC,OR] - Избавиться от ссылок, содержащих тег <script> 3. RewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2}) - противодействует скриптам, пытающимся установить глобальные переменные или изменить переменную _REQUEST через URL 4. RewriteCond %{query_string} concat.*( [NC,OR] RewriteCond %{query_string} union.*select.*( [NC,OR] RewriteCond %{query_string} union.*all.*select [NC] RewriteRule ^(.*)$ index.php [F,L] - Для противодействия SQL-инъекциям блокируем запросы к URL, содержащие определенные ключевые слова
  • 14. .htaccess - полезные функции 5. SetEnvIf user-agent «Indy Library» stayout=1 SetEnvIf user-agent «libwww-perl» stayout=1 SetEnvIf user-agent «Wget» stayout=1 deny from env=stayout - блокирует определенные user-agent популярных хакерских програм 6. Options -Indexes - закрывает список файлов и папок 7. <files .htaccess> order allow,deny deny from all </files> - закрываем доступ к файлу htaccess. Таким же методом закрываем доступ к уязвимы файлам wp-config.php, содержит имя БД, имя пользователя, пароль и префикс таблиц; readme.html и ru_RU.po, которые содержат версию WordPress; install.php.
  • 15. Разрешаем доступ для конкретных ip создаем файл .htaccess в папке wp-admin AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny,allow deny from all allow from 178.178.178.178 # IP 1 allow from 248.248.248.248 # IP 2
  • 16. Перенос сайта на html Подходит не всем, но достаточно эффективный метод защиты + Минимум кода, нечего ломать + Бистрие сайти + Меньше весят + Стабильная работа - Сложно следить - Сложно заливать новий контент - Много манипуляций для простановки простой ссылки, если переделываем WP сайты
  • 17. Общие рекомендации 1. Не сохраняйте пароли в браузере 2. Не используйте гугл докс для паролей 3. Используйте хороший хостинг (в идеале хороший сервер + проксирование) 4. Если плохой хостинг, частично поможет cloudflare (осторожно футпринт)
  • 18. Спасибо за внимание! Дмитрий Сандомирский facebook.com/dmytro.sandomirskyi