YachtRus.ru — самый главный сайт о Яхтах в России
YachtRus.ru — самый главный сайт о Яхтах в России

тест

тест

🟡 СРЕДНИЕ (качество кода и WordPress-практики)

  • 8. Внутренние ссылки в меню — относительные пути без https Ссылки вида /modelnye-ryady/ без домена — это норм, но стоит убедиться что они не мешают canonical URL.

9. Нет rel="noopener noreferrer" на внешних ссылках В контенте есть ссылки на внешние сайты (facebook.com, официальные сайты компаний) — без этого атрибута они могут использоваться для атак типа window.opener.

10. Дублирующиеся посты о яхт-клубах Видно два поста о «Пирогово» — /yacht-club-pirogovo/ и /pirogovo-yacht-club/. Это дубликаты контента — минус для SEO (Google штрафует за дублирование).

11. Старый контент с датами 2015, 2018 на главной На главной странице вперемешку идут посты 2015 года и посты 2026 года. Без явного указания дат публикации или фильтрации это ухудшает восприятие сайта.

⚪ РЕКОМЕНДАЦИИ (дополнительно)

12. Проверить, закрыт ли wp-login.php от перебора (brute force) Стандартный путь к логину — первая цель для ботов. Нужен либо fail2ban, либо плагин защиты типа Wordfence/Limit Login Attempts.

13. Проверить, отключён ли xmlrpc.php Если не используется — должен быть закрыт в .htaccess, так как часто используется для атак.

14. Проверить REST API /wp-json/wp/v2/users Если открыт — отдаёт список всех логинов авторов. Это облегчает brute force атаки на wp-login.

🔴 КРИТИЧЕСКИЕ (безопасность)

1. Нестандартный путь wp-content раскрыт в исходнике Папка переименована в arfa-fad-dea3 — это хорошо. Но путь полностью виден в URL всех картинок:

/arfa-fad-dea3/themes/yacht_theme/img/slogan.svg
/arfa-fad-dea3/uploads/...

Злоумышленник легко находит реальный путь к теме и загрузкам. Смысл переименования частично теряется — нужно дополнительно закрыть листинг директорий в .htaccess.

2. Название темы видно в исходнике /arfa-fad-dea3/themes/yacht_theme/ — имя темы yacht_theme публично. По нему можно найти уязвимости, если тема нестандартная или скачанная.

3. Mixed Content (HTTP + HTTPS на одном сайте) Часть картинок грузится по http://, а не https://:

http://yachtrus.ru/arfa-fad-dea3/uploads/2022/02/...
https://yachtrus.ru/arfa-fad-dea3/uploads/2018/06/...

Браузеры блокируют такой контент, а HTTPS-защита обнуляется. Это касается всех старых постов — вероятно, при переезде на HTTPS не была запущена замена URL в базе данных.

ываыва

ываы

ваывфа

ываыва