Почему безопасность WordPress критически важна?
WordPress работает на 43 % всех сайтов в интернете. Поэтому он является одной из самых частых целей для хакеров. Хорошая новость: 95 % атак можно предотвратить базовыми мерами безопасности ещё на старте проекта.
1. Выберите качественный хостинг
Общий хостинг за 50 Kč в месяц означает общие риски. Мы рекомендуем managed WordPress hosting (Raidboxes, Kinsta, WP Engine) или VPS с собственной конфигурацией. Firewall на уровне сервера останавливает большинство атак ещё до того, как они доходят до WordPress.
2. Надёжные пароли и 2FA
Самый частый вектор атаки — слабые пароли. Правила:
- Пароль администратора минимум 16 символов, создан генератором
- Отдельные уникальные пароли для FTP, базы данных и хостинг-панели
- 2FA для всех admin-аккаунтов (Wordfence, WP 2FA)
- Замените стандартное имя пользователя «admin» на уникальное
3. Обновления — это основа
90 % взломанных сайтов использовали устаревший WordPress, плагин или тему. Настройте автоматические обновления для minor-версий и патчей безопасности. Major-обновления тестируйте на staging-среде.
Меньше плагинов — меньшая поверхность для атаки. Каждый плагин является потенциальной уязвимостью. Удалите всё, чем не пользуетесь.
4. Плагин безопасности
Установите хотя бы один: Wordfence (firewall + malware scanner), Sucuri (cloud WAF) или iThemes Security (hardening). Активируйте ограничение попыток входа, блокировку IP и обнаружение изменений в файлах.
5. Резервные копии — ваша страховка
Бекап, которого у вас нет, вас не спасёт. Настройте ежедневные автоматические резервные копии через UpdraftPlus или серверный cron. Храните бекапы вне сервера (Google Drive, S3). Проверяйте восстановление из резервной копии хотя бы раз в квартал.
6. WordPress hardening
- Запретите редактирование файлов из admin-панели:
define('DISALLOW_FILE_EDIT', true); - Измените префикс базы данных со стандартного
wp_ - Скройте версию WordPress в HTML
- Отключите XML-RPC, если вы им не пользуетесь
- Настройте правильные права доступа к файлам (644 для файлов, 755 для директорий)
- Добавьте security headers через .htaccess
7. SSL-сертификат
В 2026 году это уже базовый стандарт, но мы всё ещё встречаем корпоративные сайты без HTTPS. Let’s Encrypt является бесплатным. Включите принудительный HTTPS redirect и HSTS header.
Вывод
Безопасность WordPress не является одноразовой задачей — это постоянный процесс. Но эти 7 шагов на старте защитят вас от 95 % атак. Нужна помощь с защитой сайта? Напишите нам.
