С момента своего появления в 2003 году WordPress остается одной из самых популярных систем управления сайтами. Однако именно эта популярность делает её главной мишенью для злоумышленников. Хакеры используют разные методы: от XSS-атак и SQL-инъекций до обычного перебора паролей.
Специалисты по безопасности и разработчики CMS постоянно совершенствуют защиту. Но многое зависит и от самого владельца сайта. Вот основные шаги, которые помогут сделать ваш ресурс менее уязвимым.
1. Настройка прав на сервере
Критически важные файлы вроде wp-config.php и .htaccess должны иметь минимально возможные права доступа (например, 600). Это не позволит посторонним читать или изменять их.
2. Актуальная версия PHP
Убедитесь, что на хостинге используется свежая и поддерживаемая версия PHP (на момент написания оригинала — 8.0). Устаревшее ПО — всегда дыра в защите.
3. Отключение редактирования файлов через админку
Вставьте в wp-config.php строку:
define( ‘DISALLOW_FILE_EDIT’, true );
После этого злоумышленник, даже получив доступ к аккаунту администратора, не сможет через панель управления внедрить вредоносный код в ваши темы или плагины — пункты «Редактор» исчезнут из меню.
4. Постоянное обновление плагинов и тем
Следите за новостями в сообществе WordPress. Если в каком-то плагине нашли уязвимость, обновите его немедленно. Также удаляйте всё неиспользуемое — чем меньше кода, тем меньше потенциальных проблем.
5. Только проверенные источники
Скачивайте темы и плагины исключительно из официального репозитория WordPress. Все файлы там проходят проверку на вирусы и вредоносный код.
6. Нестандартный префикс баз данных
При установке CMS смените стандартный префикс таблиц wp_ на что-то своё. Это затруднит автоматическим атакам и вредоносным программам доступ к базе данных.
7. Отказ от логина admin и сложные пароли
Никогда не оставляйте стандартную учётную запись «admin». Придумайте уникальное имя. Используйте длинные и сложные пароли с разными символами.
8. Отключение лишних функций
Регистрация: Если сайт не предполагает регистрации пользователей, отключите её в настройках (Настройки → Общие → снять флаг «Любой может зарегистрироваться»).
Комментарии: Глобально отключить их можно в разделе Настройки → Обсуждение, убрав галочку с пункта «Разрешить людям оставлять комментарии к новым статьям».
9. Настройка robots.txt
Этот файл указывает поисковым роботам (например, от Google), какие части сайта не нужно индексировать. Используйте его, чтобы закрыть служебные папки и файлы.
10. Защита от подбора паролей (brute-force)
Ограничьте количество попыток входа в систему. Это можно сделать с помощью специальных плагинов (например, WP Limit Login Attempts). Также хороший метод — двухфакторная аутентификация через Google Authenticator (потребуется установить соответствующий плагин и приложение на телефон).
11. Контроль доступа к wp-admin и wp-login.php
Закройте вход в админку для подозрительных IP-адресов, используйте дополнительные окна аутентификации или двухфакторку.
12. Регулярные бекапы
Даже идеальная защита может дать сбой. Всегда храните свежие резервные копии сайта — это спасёт вас в экстренной ситуации.
13. Скрытие версии WordPress
Не давайте хакерам лишней информации:
Закройте файл readme.html через .htaccess.
Используйте плагин Sucuri или добавьте в functions.php код, убирающий версию из генератора.
Удалите версию WP из CSS/JS файлов.
14. Запрет выполнения PHP в каталогах загрузок
В папку /wp-content/uploads/ поместите файл .htaccess с содержимым:
<Files *.php> deny from all </Files>
Это не позволит запускать скрипты, если кто-то загрузит их через медиафайлы.
15. Отключение неиспользуемых API
REST API: если не нужен, отключите через плагин.
XML-RPC: при неиспользовании отключите, добавив нужный код (удаление методов pingback.ping) в файлы темы или через .htaccess, закрыв доступ к xmlrpc.php.
16. Установка SSL-сертификата
Это обязательно для современного сайта. SSL шифрует данные между сервером и посетителем. Лучше настраивать его вручную, следуя инструкциям, а не полагаться на плагины.
Главный вывод
Безопасность — не разовое действие, а постоянный процесс. Ни один сайт не застрахован от атак, но выполнение этих рекомендаций сделает ваш ресурс крепким орешком для большинства злоумышленников. Не пренебрегайте резервным копированием и следите за новыми советами по защите.