Почему безопасность WordPress — это не опция, а необходимость
Согласно отчету Sucuri за 2023 год, более 90% всех взломанных сайтов на CMS работают на WordPress. При этом 61% из них содержали уязвимости, которые можно было предотвратить базовыми мерами безопасности. Эти цифры не оставляют сомнений: если ваш бизнес зависит от сайта, его защита должна быть приоритетом.
Я, Дмитрий Ковалёв, маркетинговый аналитик веб-студии FlowContent, собрал проверенные методы защиты WordPress, которые используют наши клиенты. В этой статье — пошаговая инструкция с фактами, цифрами и объективными сравнениями.
Шаг 1: Обновите всё, что можно обновить
Почему это важно
Исследование WPScan показало, что 86% уязвимостей WordPress связаны с устаревшими версиями ядра, плагинов или тем. Хакеры активно сканируют сайты на наличие известных уязвимостей — и находят их.
Что делать
- Обновите ядро WordPress. Включите автоматическое обновление для минорных версий (настройки → обновления).
- Обновите плагины и темы. Удаляйте неиспользуемые расширения — они увеличивают поверхность атаки.
- Проверьте совместимость. Перед обновлением сделайте резервную копию и протестируйте сайт на тестовом сервере.
| Версия WordPress | Доля уязвимых сайтов (по WPScan) |
|---|---|
| 5.0 и ниже | 72% |
| 5.1–5.8 | 45% |
| 5.9 и выше | 12% |
Шаг 2: Укрепите пароли и доступы
Проблема слабых паролей
По данным Verizon Data Breach Investigations Report, 81% взломов связаны с кражей или угадыванием паролей. При этом 23% пользователей WordPress используют пароли из топ-100 самых ненадежных (например, «123456» или «password»).
Как защититься
- Используйте генератор паролей. Например, встроенный в 1Password или LastPass. Пароль должен содержать не менее 12 символов, включая цифры, спецсимволы и заглавные буквы.
- Ограничьте попытки входа. Плагин Limit Login Attempts Reloaded блокирует IP после 3–5 неудачных попыток.
- Отключите редактирование файлов в админке. Добавьте в
wp-config.phpстроку:
define('DISALLOW_FILE_EDIT', true);
Шаг 3: Установите плагин безопасности
Сравнение популярных решений
Не все плагины безопасности одинаково эффективны. Вот объективное сравнение на основе тестов AV-TEST и отзывов пользователей:
| Плагин | Функционал | Скорость работы | Стоимость (год) |
|---|---|---|---|
| Wordfence | Файрвол, сканирование, защита от брутфорса | Средняя (замедляет сайт на 5–10%) | Бесплатно (премиум от $99) |
| Sucuri Security | Облачный файрвол, мониторинг, удаление вредоносного кода | Высокая (минимальное влияние) | От $199 |
| iThemes Security | Защита от брутфорса, двухфакторная аутентификация | Высокая | Бесплатно (премиум от $80) |
Рекомендации
- Для малого бизнеса: Wordfence (бесплатная версия покрывает базовые угрозы).
- Для корпоративных сайтов: Sucuri (облачный файрвол и профессиональная поддержка).
- Настройте плагин на автоматическое сканирование и уведомления о подозрительной активности.
Шаг 4: Настройте файрвол и защиту от DDoS
Почему это критично
В 2023 году количество DDoS-атак выросло на 150% (отчет Cloudflare). Хакеры используют ботнеты для перегрузки сервера, что приводит к простою сайта и потере клиентов.
Как защититься
- Используйте облачный файрвол. Сервисы Cloudflare или Sucuri фильтруют трафик до попадания на ваш сервер.
- Настройте WAF (Web Application Firewall). Блокирует SQL-инъекции, XSS и другие атаки.
- Ограничьте доступ по IP. Если у вас статический IP, разрешите доступ к админке только с него. Для этого добавьте в
.htaccess:
order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX
Шаг 5: Сделайте резервное копирование
Статистика потери данных
По данным Backblaze, 30% компаний теряют данные из-за взломов, а 60% из них закрываются в течение полугода. При этом только 35% владельцев сайтов делают регулярные бэкапы.
Как настроить бэкапы
- Используйте плагины. UpdraftPlus или BlogVault автоматически сохраняют копии на облачных сервисах (Google Drive, Dropbox).
- Следуйте правилу 3-2-1:
- 3 копии данных;
- 2 разных носителя;
- 1 копия вне офиса (например, на облачном сервере).
- Тестируйте восстановление. Регулярно проверяйте, что бэкапы работоспособны.
Шаг 6: Защитите файловую систему и базу данных
Типичные уязвимости
Хакеры часто эксплуатируют:
- Права доступа к файлам (например, 777 вместо 644).
- Стандартные префиксы таблиц базы данных (
wp_). - Открытые для записи каталоги (
/wp-content/uploads/).
Как исправить
- Настройте права доступа. Для файлов — 644, для каталогов — 755. Исключение:
wp-config.phpдолжен быть 400 или 440. - Измените префикс таблиц. Используйте плагин WP-DBManager или сделайте это вручную через
phpMyAdmin. - Запретите выполнение PHP в папке загрузок. Добавьте в
.htaccess:
php_flag engine off
Шаг 7: Мониторьте сайт и реагируйте на угрозы
Инструменты мониторинга
- Google Search Console — уведомляет о вредоносном коде и санкциях.
- Sucuri SiteCheck — бесплатный сканер уязвимостей.
- Wordfence Live Traffic — показывает попытки взлома в реальном времени.
Что делать при взломе
- Переведите сайт в режим обслуживания (
wp maintenance mode). - Восстановите сайт из последнего чистого бэкапа.
- Смените все пароли (хостинг, FTP, базу данных, админку).
- Просканируйте сайт на вредоносный код (плагины Wordfence или MalCare).
- Удалите все подозрительные файлы и пользователей.
- Обновите все компоненты WordPress.
- Сообщите об инциденте в Google через Search Console.
Заключение: безопасность — это процесс
Защита сайта на WordPress — не разовая акция, а непрерывный процесс. Вот ключевые выводы:
- Обновляйте WordPress, плагины и темы не реже раза в месяц.
- Используйте сложные пароли и двухфакторную аутентификацию.
- Установите плагин безопасности и настройте файрвол.
- Делайте резервные копии не реже раза в неделю.
- Мониторьте сайт на предмет подозрительной активности.
Следуя этой инструкции, вы снизите риск взлома на 90% и сэкономите тысячи рублей на восстановлении сайта. Если у вас нет времени или экспертизы, обратитесь к профессионалам — в FlowContent мы предоставляем услуги аудита безопасности и защиты сайтов.
Остались вопросы? Пишите в комментариях — я отвечу лично.
