Как защитить сайт на WordPress от взлома? Базовый гайд по безопасности

Почему WordPress взламывают чаще всего

Большинство атак на WP – это не «целевой взлом», а массовые брутфорсы и сканеры уязвимостей. Боты проверяют тысячи сайтов на наличие типовых проблем, а злоумышленники зарабатывают на заражении: редиректы на казино, скрытая реклама, спам-страницы, подмена файлов, угон данных.

Основные причины взлома сайта на WordPress

• Устаревшее ядро ​​WordPress, тема или плагины без обновлений.
• Null-темы/плагины (пиратские сборки со «вшитыми» бэкдорами).
• Слабые пароли и логин “admin”.
• Отсутствие 2FA и ограничение попыток входа (brute force).
• Неверные права доступа на файлы и папки.
• Нет бекапов или они хранятся на том же хостинге.
• Отсутствует firewall и базовая защита админки.

10 шагов по защите WordPress от взлома

1) Обновляйте WordPress, тему и плагины

Обновление – это не «косметика», а закрытие уязвимостей. Включите автообновление минорных версий ядра, регулярно обновляйте плагины и тему. Важно: удаляйте все, чем не пользуетесь – лишний плагин = лишний риск.

• Уберите неактивные плагины и темы
• Не используйте решения без поддержки/обновлений
• Обновляйте PHP до актуальной версии на хостинге

2) Забудьте о “admin” и слабых паролях

Никогда не используйте логин admin. Создайте отдельного администратора со сложным именем пользователя и надежным паролем (12–16+ символов, разные регистры, цифры, символы). Если на сайте есть менеджеры/контент-редакторы – выдавайте им минимальные роли, а не «Администратор».

3) Включите 2FA и ограничение попыток входа

Двухфакторная авторизация (2FA) существенно уменьшает риск взлома даже при утечке пароля. Также важно ограничить количество попыток входа и добавить Captcha, чтобы останавливать брутфорс-боты.

• 2FA через приложение-аутентификатор
• Лимит попыток логина + временная блокировка
• Captcha на форму входа (при необходимости)

4) Защитите wp-admin и страницу входа

Как минимум – измените URL страницы логина (чтобы отсеять часть ботов) и закройте админку для подозрительных IP. В бизнес-сайтах часто работает схема «админка доступна только с определенных IP» (актуально, если у вас статический IP-адрес или VPN).

5) Используйте SSL и принудительный HTTPS

HTTPS требуется не только для SEO, но и для безопасности: он шифрует передачу данных, включая логины/пароли. После установки SSL включите принудительный редирект на HTTPS и убедитесь, что на сайте нет смешанного контента (mixed content).

6) Поставьте firewall и security-плагин

Самый простой способ быстро усилить защиту – установить security-решения с firewall, сканером и блокировкой подозрительной активности. Такие инструменты помогают отсекать атаки, находить вредоносные файлы и контролировать входы в админку.

• Firewall (WAF) для фильтрации запросов
• Сканер на malware и подозрительные изменения
• Логи входов, блокировка IP, предупреждение

7) Настройте правильные права доступа к файлам

Неправильные права могут позволить злоумышленнику изменять файлы или заливать вредоносный код. Стандартная рекомендация: папки – 755, файлы – 644. Также следует запретить выполнение PHP в папках загрузок (uploads), если это поддерживает ваш сервер и это совместимо с плагинами.

8) Закройте доступ к критическим файлам

Файлы конфигурации не должны быть доступны напрямую. На Apache часто добавляют правила в .htaccess (для Nginx – аналогично в конфигах). Вот пример, как ограничить доступ к wp-config.php:

<files wp-config.php> order allow,deny deny from all </files> 

Также полезно отключить просмотр директорий:

Options -Indexes

9) Делайте резервные копии (backup) регулярно

Бекап – это ваша «страховка». Даже при сильной защите 100% гарантии не существует. Важно иметь автоматические резервные копии сайта и базы данных, а сохранять их лучше отдельно от хостинга (облако, другой сервер). Оптимально: ежедневные/недельные бекапы в зависимости от частоты обновлений.

• Автобекапы файлов + базы данных
• Хранение копий вне хостинга
• Периодическая проверка восстановления (restore test)

10) Добавьте мониторинг и регулярный аудит безопасности

Безопасность WordPress – это процесс. Мониторинг изменений файлов, уведомление о подозрительных входах, проверка «мусорных» страниц в поиске, контроль редиректоров — все это помогает поймать проблему на раннем этапе. Регулярный технический аудит (раз в 1–3 месяца) значительно снижает риски.

Признаки, что веб-сайт на WordPress может уже сломаться

• Редиректы на сторонние сайты (казино, аптеки, спам).
• Появление неизвестных страниц/постов или пользователей-администраторов.
• Резкое падение позиций в Google или предупреждение в Search Console.
• Непонятные скрипты в шаблоне, подозрительные файлы в /wp-content/.
• Сайт стал медленным, появились всплывающие окна/реклама.

Чек-лист: минимальный набор защиты WordPress

• Обновление ядра/плагинов/темы + удаление лишнего
• Сильные пароли, другой логин, чем admin, правильные роли
• 2FA + предел попыток входа
• SSL + принудительный HTTPS
• Firewall/WAF + сканер безопасности
• Правильные права доступа + защита критических файлов
• Автобекапы с хранением вне хостинга

Безопасность WordPress — это система, а не «одна галочка»

Защита сайта WordPress состоит из мелких, но важных настроек: обновления, доступы, firewall, бекапы, контроль админки и регулярный аудит. Если сделать это комплексно, риск взлома падает в разы, а сайт работает стабильно и без неприятных сюрпризов.

Если хотите, можно подойти еще надежнее: провести аудит безопасности, закрыть слабые места, настроить резервные копии и мониторинг, а также поставить защиту от брутфорса и вредных запросов. Тогда WordPress станет не уязвимой CMS, а управляемой и безопасной платформой для бизнеса.