Кто не пользуется атрибутом target с тегом <a? Разве тот, кто совсем не знает html. А кто помнит о том, что со страницы, куда пользователь перешел по такой ссылке, есть обратный доступ к ссылающейся странице (то есть той, где размещена ссылка) через объект window.opener?
Можно сколько угодно заниматься защитой сайта на уровне CMS, веб-сервера или операционной системы, но все это будет напрасно, если у вас уведут домен. Заберут. Совсем, полностью. Перенесут на другой экаунт у регистратора, сменят хостинг. Как правило, для этого достаточно украсть у вас почтовый ящик, указанный в Whois.
Для получения денег с недавних пор вполне подходит и счет в Paypal.