60% взломанных сайтов — WordPress. Хакеры автоматизировали атаки. Ваш сайт — цель для ботнетов и спама. Защититесь.
Базовые меры (обязательно)
1. Обновляйте всё
- WordPress → всегда последняя версия
- Плагины → обновлять сразу
- Тема → обновлять или сменить
2. Сложный пароль админа
- Минимум 16 символов
- Заглавные + строчные + цифры + спецсимволы
- Менять каждые 3 месяца
3. SSL сертификат
Бесплатный Let's Encrypt:
- Шифрование данных
- Доверие пользователей
- SEO-бонус (HTTPS)
Усиленная защита
4. Измените URL входа
По умолчанию /wp-admin — всем известно. Измените:
- Плагин: WPS Hide Login
- Новый URL: /secret-login
5. Ограничьте попытки входа
Брутфорс-атаки — 1000 попыток в секунду:
- Плагин: Limit Login Attempts
- Блокировка после 3 неудач
- Блокировка IP на 24 часа
6. Двухфакторная аутентификация
Даже если украдут пароль:
- Google Authenticator
- SMS код
- Резервные коды
7. Отключите XML-RPC
Уязвимый протокол используется для:
- Jetpack аутентификация
- pingback атаки
add_filter('xmlrpc_enabled', '__return_false');
add_filter('enable_xmlrpc_multicall', '__return_false');8. Скройте версию WordPress
remove_action('wp_generator', 'wp_generator');
remove_action('wp_head', 'wp_generator');9. Права на файлы
- wp-config.php — 400 (только чтение)
- wp-content — 755 (папки)
- wp-content/uploads — 755
Мониторинг
10. Сканер на малвар
- Wordfence — сканер + firewall
- Malcare — облачный сканер
- Sucuri — премиум
11. Логины на email
Вместо логина — email:
- Сложнее подобрать
- Легче запомнить
- Плагин: No Login by Email
Резервное копирование
12. Автоматические бэкапы
- Ежедневно (VersionPress)
- Хранить 30 дней
- В облаке (Google Drive, S3)
13. Протокол восстановления
- Скачать бэкап
- Восстановить файлы
- Восстановить базу
- Проверить доступы
После взлома восстановление занимает 2-7 дней. Профилактика — 30 минут. Выберите.
Чеклист в one-line
- Обновления
- Сложный пароль
- SSL
- WPS Hide Login
- Limit Login
- 2FA
- Wordfence
- Бэкапы