Як захистити сайт на WordPress від зламу? Базовий гайд з безпеки

Чому WordPress зламують найчастіше

Більшість атак на WP — це не “цільовий злом”, а масові брутфорси та сканери вразливостей. Боти перевіряють тисячі сайтів на наявність типових проблем, а зловмисники заробляють на зараженні: редіректи на “казино”, прихована реклама, спам-сторінки, підміна файлів, викрадення даних.

Основні причини зламу сайту на WordPress

• Застаріле ядро WordPress, тема або плагіни без оновлень.
• Null-теми/плагіни (піратські збірки зі “вшитими” бекдорами).
• Слабкі паролі та логін “admin”.
• Відсутність 2FA і обмеження спроб входу (brute force).
• Неправильні права доступу на файли та папки.
• Немає бекапів або вони зберігаються на тому ж хостингу.
• Відсутній firewall та базовий захист адмінки.

10 кроків, як захистити WordPress від зламу

1) Оновлюйте WordPress, тему та плагіни

Оновлення — це не “косметика”, а закриття вразливостей. Увімкніть автооновлення для мінорних версій ядра, регулярно оновлюйте плагіни та тему. Важливо: видаляйте все, чим не користуєтесь — “зайвий” плагін = зайвий ризик.

• Приберіть неактивні плагіни та теми
• Не використовуйте рішення без підтримки/оновлень
• Оновлюйте PHP до актуальної версії на хостингу

2) Забудьте про “admin” і слабкі паролі

Ніколи не використовуйте логін admin. Створіть окремого адміністратора зі складним ім’ям користувача та надійним паролем (12–16+ символів, різні регістри, цифри, символи). Якщо на сайті є менеджери/контент-редактори — видавайте їм мінімальні ролі, а не “Адміністратор”.

3) Увімкніть 2FA та обмеження спроб входу

Двофакторна авторизація (2FA) суттєво зменшує ризик зламу навіть при витоку паролю. Також важливо обмежити кількість спроб входу та додати Captcha, щоб зупиняти брутфорс-ботів.

• 2FA через застосунок-аутентифікатор
• Ліміт спроб логіну + тимчасове блокування
• Captcha на форму входу (за потреби)

4) Захистіть wp-admin і сторінку входу

Як мінімум — змініть URL сторінки логіну (щоб відсіяти частину ботів) і закрийте адмінку для підозрілих IP. У бізнес-сайтах часто працює схема “адмінка доступна лише з певних IP” (актуально, якщо у вас статична IP-адреса або VPN).

5) Використовуйте SSL і примусовий HTTPS

HTTPS потрібен не лише для SEO, а й для безпеки: він шифрує передачу даних, включно з логінами/паролями. Після встановлення SSL увімкніть примусовий редірект на HTTPS і переконайтесь, що на сайті немає змішаного контенту (mixed content).

6) Поставте firewall і security-плагін

Найпростіший спосіб швидко посилити захист — встановити security-рішення з firewall, сканером та блокуванням підозрілої активності. Такі інструменти допомагають відсікати атаки, знаходити шкідливі файли та контролювати входи в адмінку.

• Firewall (WAF) для фільтрації запитів
• Сканер на malware та підозрілі зміни
• Логи входів, блокування IP, попередження

7) Налаштуйте правильні права доступу до файлів

Неправильні права можуть дозволити зловмиснику змінювати файли або “заливати” шкідливий код. Стандартна рекомендація: папки — 755, файли — 644. Також варто заборонити виконання PHP у папках завантажень (uploads), якщо це підтримує ваш сервер і це сумісно з плагінами.

8) Закрийте доступ до критичних файлів

Файли конфігурації не повинні бути доступні напряму. На Apache часто додають правила в .htaccess (для Nginx — аналогічно в конфігах). Ось приклад, як обмежити доступ до wp-config.php:

<files wp-config.php> order allow,deny deny from all </files> 

Також корисно вимкнути перегляд директорій:

Options -Indexes

9) Робіть резервні копії (backup) регулярно

Бекап — це ваша “страховка”. Навіть при сильному захисті 100% гарантії не існує. Важливо мати автоматичні резервні копії сайту і бази даних, а зберігати їх краще окремо від хостингу (хмара, інший сервер). Оптимально: щоденні/тижневі бекапи залежно від частоти оновлень.

• Автобекапи файлів + бази даних
• Зберігання копій поза хостингом
• Періодична перевірка відновлення (restore test)

10) Додайте моніторинг і регулярний аудит безпеки

Безпека WordPress — це процес. Моніторинг змін файлів, сповіщення про підозрілі входи, перевірка “сміттєвих” сторінок у пошуку, контроль редіректів — усе це допомагає зловити проблему на ранньому етапі. Регулярний технічний аудит (раз на 1–3 місяці) значно знижує ризики.

Ознаки, що сайт на WordPress можуть уже зламати

• Редіректи на сторонні сайти (казино, “аптеки”, спам).
• Поява невідомих сторінок/постів або користувачів-адміністраторів.
• Різке падіння позицій у Google або попередження в Search Console.
• Незрозумілі скрипти в шаблоні, підозрілі файли в /wp-content/.
• Сайт став повільним, з’явились спливаючі вікна/реклама.

Чек-лист: мінімальний набір захисту WordPress

• Оновлення ядра/плагінів/теми + видалення зайвого
• Сильні паролі, інший логін ніж admin, правильні ролі
• 2FA + ліміт спроб входу
• SSL + примусовий HTTPS
• Firewall/WAF + сканер безпеки
• Правильні права доступу + захист критичних файлів
• Автобекапи з зберіганням поза хостингом

Безпека WordPress — це система, а не “одна галочка”

Захист сайту на WordPress складається з дрібних, але важливих налаштувань: оновлення, доступи, firewall, бекапи, контроль адмінки та регулярний аудит. Якщо зробити це комплексно, ризик зламу падає в рази, а сайт працює стабільно та без неприємних сюрпризів.

Якщо хочете — можна підійти ще надійніше: провести аудит безпеки, закрити слабкі місця, налаштувати резервні копії та моніторинг, а також поставити захист від брутфорсу й шкідливих запитів. Тоді WordPress стане не “вразливою CMS”, а керованою та безпечною платформою для бізнесу.