1. Замените стандартный логин администратора
Ошибка: использовать логин admin или имя сайта.
Почему это проблема: ботам не нужно подбирать логин, они сразу подбирают пароль.
Как правильно: создайте нового пользователя с нестандартным логином и удалите старый.
2. Используйте сложный пароль
Ошибка: простые или повторяющиеся пароли.
Почему это проблема? слабые пароли легко подбираются даже без сложных атак.
Как правильно: используйте длинный пароль с буквами, цифрами и символами.
3. Измените URL страницы авторизации
Ошибка: оставлять стандартный /wp-login.php или /wp-admin.
Почему это проблема: эти URL известны всем ботам.
Как правильно: используйте плагины для изменения URL (например, WPS Hide Login).
4. Добавьте пароль или капчу на страницу входа
Ошибка: открытая страница авторизации.
Почему это проблема: бот может без ограничений отправлять запросы.
Как правильно: добавьте базовую авторизацию или CAPTCHA.
5. Установите CAPTCHA на форму входа
Ошибка: отсутствие проверки пользователя.
Почему это проблема? боты легко обходят простые формы входа.
Как правильно: установите Google reCAPTCHA через плагин.
6. Закройте доступ к xmlrpc.php
Ошибка: оставлять xmlrpc.php открытым.
Почему это проблема? из-за него часто выполняются атаки.
Как правильно: закройте доступ через .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
7. Обновите секретные ключи в wp-config.php
Ошибка: использовать стандартные ключи.
Почему это проблема: снижает безопасность сессий.
Как правильно: сгенерируйте новые ключи на официальном сервисе WordPress.
8. Установите firewall (Wordfence)
Ошибка: отсутствие базовой защиты.
Почему это проблема: сайт открыт для атак.
Как правильно: установите Wordfence и включите firewall и защиту входа.
9. Установите антивирус (Anti-Malware)
Ошибка: не проверять сайт на вирусы.
Почему это проблема? даже после взлома можно не заметить вредоносный код.
Как правильно: установите плагин Anti-Malware и регулярно сканируйте сайт.
10. Скройте логику ошибок авторизации
Ошибка: WordPress показывает, что самое неправильное — логин или пароль.
Почему это проблема? помогает атакующим.
Как правильно: скрывайте сообщения через functions.php:
add_filter('login_errors', function() {
return 'Ошибка авторизации';
});
11. Ограничьте количество попыток входа
Ошибка: неограниченное количество попыток авторизации.
Почему это проблема? бот может перебирать пароли без ограничений.
Как правильно: реализуйте блокировку после 5 попыток:
function limit_login_attempts($user, $username, $password) {
$key = 'login_attempts_' . $username;
$attempts = get_transient($key);
if ($attempts >=5) {
return new WP_Error('too_many_attempts', 'Попробуйте позже');
}
return $user;
}
add_filter('authenticate', 'limit_login_attempts', 30, 3);
function track_failed_login($username) {
$key = 'login_attempts_' . $username;
$attempts = get_transient($key);
set_transient($key, $attempts + 1, 60*60);
}
add_action('wp_login_failed', 'track_failed_login');
Как защитить WordPress сайт от взлома и не потерять доступ
Защита WordPress сайта – это не одно действие, а комплекс мероприятий. Даже базовые шаги могут значительно снизить риск взлома. Важно не оставлять стандартные настройки, контролировать доступ к админке и регулярно проверять сайт.
Если правильно настроить безопасность, простой сайт будет защищен от большинства автоматических атак и брутфорса.
Нужно настроить безопасность сайта? Обращайтесь — поможем защитить WordPress и закрыть все основные уязвимости, или разработать для вас сайт с нуля.
