1. Замініть стандартний логін адміністратора
Помилка: використовувати логін admin або ім’я сайту.
Чому це проблема: ботам не потрібно підбирати логін, вони одразу підбирають пароль.
Як правильно: створіть нового користувача з нестандартним логіном і видаліть старий.
2. Використовуйте складний пароль
Помилка: прості або повторювані паролі.
Чому це проблема: слабкі паролі легко підбираються навіть без складних атак.
Як правильно: використовуйте довгий пароль з буквами, цифрами і символами.
3. Змініть URL сторінки авторизації
Помилка: залишати стандартний /wp-login.php або /wp-admin.
Чому це проблема: ці URL відомі всім ботам.
Як правильно: використовуйте плагіни для зміни URL (наприклад WPS Hide Login).
4. Додайте пароль або капчу на сторінку входу
Помилка: відкрита сторінка авторизації.
Чому це проблема: бот може без обмежень надсилати запити.
Як правильно: додайте базову авторизацію або CAPTCHA.
5. Встановіть CAPTCHA на форму входу
Помилка: відсутність перевірки користувача.
Чому це проблема: боти легко обходять прості форми входу.
Як правильно: встановіть Google reCAPTCHA через плагін.
6. Закрийте доступ до xmlrpc.php
Помилка: залишати xmlrpc.php відкритим.
Чому це проблема: через нього часто виконуються атаки.
Як правильно: закрийте доступ через .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
7. Оновіть секретні ключі в wp-config.php
Помилка: використовувати стандартні ключі.
Чому це проблема: знижує безпеку сесій.
Як правильно: згенеруйте нові ключі на офіційному сервісі WordPress.
8. Встановіть firewall (Wordfence)
Помилка: відсутність базового захисту.
Чому це проблема: сайт відкритий для атак.
Як правильно: встановіть Wordfence і увімкніть firewall та захист входу.
9. Встановіть антивірус (Anti-Malware)
Помилка: не перевіряти сайт на віруси.
Чому це проблема: навіть після злому можна не помітити шкідливий код.
Як правильно: встановіть плагін Anti-Malware і регулярно скануйте сайт.
10. Приховайте логіку помилок авторизації
Помилка: WordPress показує, що саме неправильне — логін чи пароль.
Чому це проблема: це допомагає атакуючим.
Як правильно: приховайте повідомлення через functions.php:
add_filter('login_errors', function() {
return 'Помилка авторизації';
});
11. Обмежте кількість спроб входу
Помилка: необмежена кількість спроб авторизації.
Чому це проблема: бот може перебирати паролі без обмежень.
Як правильно: реалізуйте блокування після 5 спроб:
function limit_login_attempts($user, $username, $password) {
$key = 'login_attempts_' . $username;
$attempts = get_transient($key);
if ($attempts >= 5) {
return new WP_Error('too_many_attempts', 'Спробуйте пізніше');
}
return $user;
}
add_filter('authenticate', 'limit_login_attempts', 30, 3);
function track_failed_login($username) {
$key = 'login_attempts_' . $username;
$attempts = get_transient($key);
set_transient($key, $attempts + 1, 60 * 60);
}
add_action('wp_login_failed', 'track_failed_login');
Як захистити WordPress сайт від злому і не втратити доступ
Захист WordPress сайту — це не одна дія, а комплекс заходів. Навіть базові кроки можуть значно знизити ризик злому. Важливо не залишати стандартні налаштування, контролювати доступ до адмінки і регулярно перевіряти сайт.
Якщо правильно налаштувати безпеку, навіть простий сайт буде захищений від більшості автоматичних атак і брутфорсу.
Потрібно налаштувати безпеку сайту? Звертайтесь — допоможемо захистити WordPress і закрити всі основні вразливості, або розробити для вас сайт з нуля.
