FlowContent

Войти

Как защитить сайт на WordPress от хакеров: основные меры безопасности

Почему безопасность WordPress — это вопрос бизнеса, а не только IT

Согласно отчету Sucuri за 2023 год, более 90% всех взломанных CMS-сайтов работают на WordPress. При этом 61% владельцев бизнеса узнают о компрометации только после того, как клиенты сообщают о проблемах или поисковые системы помечают сайт как опасный. Средний ущерб от взлома для малого бизнеса составляет $25 000, а для среднего — до $180 000 (данные IBM Security).

Для руководителей отделов маркетинга и владельцев бизнеса безопасность сайта — это не техническая задача, а стратегический риск. Потеря репутации, утечка данных клиентов, простой в работе и штрафы за нарушение GDPR или других регуляций могут перечеркнуть годы развития. В этой статье мы разберем, как защитить WordPress-сайт без глубоких технических знаний, опираясь на данные и проверенные практики.

Основные угрозы для сайтов на WordPress

Прежде чем переходить к защите, важно понять, от чего именно нужно обороняться. Вот ключевые векторы атак:

  • Уязвимости плагинов и тем. 52% взломов происходят из-за устаревших расширений (отчет Wordfence, 2023). Например, в 2022 году уязвимость в плагине Elementor (установлен на 5+ млн сайтов) позволила хакерам внедрять вредоносный код на страницы.
  • Brute-force атаки. Ежедневно WordPress-сайты подвергаются миллионам попыток подбора паролей. Средний бот совершает 100–200 запросов в минуту.
  • SQL-инъекции. 30% всех уязвимостей WordPress связаны с небезопасными запросами к базе данных (данные OWASP).
  • Фишинг и социальная инженерия. 85% кибератак начинаются с человеческого фактора (отчет Verizon DBIR). Например, взлом через поддельное письмо от «технической поддержки хостинга».
  • Уязвимости ядра WordPress. Хотя ядро обновляется регулярно, 15% сайтов используют версии старше 1 года (данные WordPress.org).

Пошаговый план защиты WordPress-сайта

1. Обновляйте всё: ядро, плагины, темы

Обновления — это не рекомендация, а необходимость. Вот почему:

  • В 2023 году 43% взломанных сайтов использовали версии WordPress старше 2 лет.
  • Плагины с уязвимостями обновляются в среднем через 7 дней после обнаружения проблемы, но 30% владельцев игнорируют уведомления.
  • Пример: уязвимость в плагине WP Statistics (установлен на 600 000 сайтов) позволяла хакерам получать доступ к базе данных. Обновление закрыло брешь за 3 дня, но тысячи сайтов были взломаны до этого.

Что делать:

  • Включите автоматическое обновление ядра WordPress (в файле wp-config.php добавьте строку define(‘WP_AUTO_UPDATE_CORE’, true);).
  • Настройте уведомления об обновлениях плагинов и тем (используйте плагин Easy Updates Manager).
  • Удаляйте неиспользуемые плагины и темы — каждый лишний компонент увеличивает поверхность атаки.

2. Укрепляйте пароли и доступы

Слабые пароли — причина 20% взломов (данные Wordfence). Вот статистика:

Тип пароля Время взлома (brute-force)
123456 Мгновенно
qwerty Мгновенно
Имя_компании123 2 часа
Случайный пароль из 12 символов (aB3$kL9!pQ2@) 300 лет

Что делать:

  • Используйте генераторы паролей (например, 1Password или Bitwarden).
  • Включите двухфакторную аутентификацию (плагины Wordfence или Google Authenticator). Это снижает риск взлома на 99%.
  • Ограничьте количество попыток входа (плагин Limit Login Attempts Reloaded).
  • Создайте отдельных пользователей с минимальными правами (например, редактор вместо администратора).

3. Защитите файл wp-config.php и базу данных

Файл wp-config.php содержит критические данные: пароли к базе, ключи безопасности и настройки. Если хакер получит к нему доступ, он сможет полностью контролировать сайт.

Что делать:

  • Переместите файл wp-config.php на уровень выше корневой директории сайта (WordPress автоматически его найдет).
  • Добавьте в файл .htaccess правила для блокировки доступа: 
    <files wp-config.php>
order allow,deny
deny from all
</files>
  • Измените префикс таблиц базы данных с wp_ на случайный (например, x7f_). Это защитит от SQL-инъекций.
  • Создайте отдельного пользователя базы данных с ограниченными правами (только SELECT, INSERT, UPDATE, DELETE).

4. Установите плагины безопасности

Плагины безопасности не панацея, но они значительно усложняют жизнь хакерам. Вот сравнение популярных решений:

Плагин Функции Стоимость (год) Эффективность
Wordfence Файрвол, сканирование на вирусы, мониторинг активности, двухфакторная аутентификация Бесплатно (премиум от $99) 92% обнаружения угроз (данные AV-TEST)
Sucuri Security Файрвол на уровне DNS, защита от DDoS, сканирование на вредоносный код От $199 95% обнаружения угроз
iThemes Security Защита от brute-force, скрытие админки, резервное копирование От $80 88% обнаружения угроз
MalCare Автоматическое удаление вредоносного кода, защита от ботов От $99 90% обнаружения угроз

Рекомендации:

  • Для малого бизнеса достаточно бесплатной версии Wordfence + Limit Login Attempts.
  • Для интернет-магазинов или сайтов с конфиденциальными данными выбирайте Sucuri или премиум-версию Wordfence.
  • Настройте уведомления о подозрительной активности (например, изменение файлов или попытки входа).

5. Настройте резервное копирование

Даже при идеальной защите риск взлома остается. Резервные копии — ваша страховка. Вот ключевые факты:

  • 60% владельцев сайтов не делают резервные копии регулярно (опрос CodeGuard).
  • Среднее время восстановления сайта из резервной копии — 2–4 часа, без нее — 2–5 дней.
  • У 30% компаний, столкнувшихся с потерей данных, бизнес не восстановился (данные National Archives & Records Administration).

Что делать:

  • Используйте плагины для автоматического резервного копирования: UpdraftPlus (бесплатно), BlogVault (от $89/год) или Jetpack Backup (от $9/мес).
  • Храните копии в нескольких местах: на сервере, в облаке (Google Drive, Dropbox) и на локальном компьютере.
  • Настройте расписание: для активных сайтов — ежедневные копии, для статичных — еженедельные.
  • Проверяйте восстановление из резервной копии хотя бы раз в 3 месяца.

6. Защитите сервер и хостинг

Даже самый защищенный сайт уязвим, если сервер настроен неправильно. Вот критические меры:

  • Выбирайте надежного хостинг-провайдера. Дешевые тарифы часто означают общие серверы с уязвимыми соседями. Примеры надежных хостингов: Kinsta, WP Engine, SiteGround.
  • Используйте SSL-сертификат. Сайты без HTTPS блокируются браузерами, а данные передаются в открытом виде. Бесплатные сертификаты можно получить через Let’s Encrypt.
  • Отключите выполнение PHP в директории /wp-content/uploads/. Добавьте в .htaccess: 
    <Files *.php>
deny from all
</Files>
  • Ограничьте доступ к файлам. Установите права 644 для файлов и 755 для директорий.
  • Используйте файрвол на уровне сервера. Например, Cloudflare или Sucuri блокируют атаки до того, как они достигнут сайта.

7. Мониторинг и реагирование на инциденты

Защита — это не разовая настройка, а непрерывный процесс. Вот как организовать мониторинг:

  • Настройте уведомления. Плагины безопасности (Wordfence, Sucuri) могут отправлять письма при подозрительной активности.
  • Проверяйте логи сервера. Файлы access.log и error.log содержат информацию о попытках взлома.
  • Используйте Google Search Console. Инструмент показывает проблемы безопасности, обнаруженные Google (например, вредоносный код).
  • Проводите аудит безопасности. Раз в полгода проверяйте сайт с помощью инструментов WPScan или VirusTotal.

Что делать, если сайт уже взломан

Если вы обнаружили взлом, действуйте по плану:

  1. Переведите сайт в режим обслуживания. Используйте плагин Maintenance или добавьте в .htaccess: 
    RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^123.456.789.000
RewriteRule ^(.*)$ /maintenance.html [R=307,L]
  2. Восстановите сайт из резервной копии. Если копии нет, обратитесь к хостинг-провайдеру — у них могут быть свои бэкапы.
  3. Просканируйте сайт на вредоносный код. Используйте Wordfence, Sucuri или MalCare.
  4. Смените все пароли: от хостинга, базы данных, FTP, WordPress.
  5. Обновите все компоненты: ядро, плагины, темы.
  6. Проверьте пользователей. Удалите подозрительные аккаунты и смените роли.
  7. Сообщите клиентам. Если были утечки данных, уведомите пользователей в соответствии с GDPR или другими регуляциями.

Заключение: безопасность как инвестиция, а не расход

Защита WordPress-сайта — это не техническая задача, а бизнес-решение. Вот ключевые выводы:

  • Обновления, сильные пароли и двухфакторная аутентификация снижают риск взлома на 80%.
  • Плагины безопасности и файрволы блокируют до 95% автоматических атак.
  • Резервные копии сокращают время восстановления с дней до часов.
  • Средняя стоимость защиты сайта (плагины, хостинг, сертификаты) — $200–500 в год, что в 50 раз меньше среднего ущерба от взлома.

Начните с малого: обновите сайт, установите плагин безопасности и настройте резервное копирование. Это займет не более 2 часов, но защитит ваш бизнес от критических рисков.

Если у вас нет времени или экспертизы, обратитесь к профессионалам. В веб-студии FlowContent мы проводим аудит безопасности сайтов и внедряем комплексные меры защиты. Свяжитесь с нами, чтобы получить бесплатную консультацию.

Просмотров: 5

от автора

Дмитрий Ковалёв

Senior Technical Architect, экс-руководитель отдела веб-разработки международного digital-хаба JH Group. Специализируюсь на высоконагруженных системах, архитектуре WordPress и тонкой серверной оптимизации.
написал в