Чому безпека WordPress є критично важливою?
WordPress працює на 43 % усіх сайтів в інтернеті. Саме тому він є однією з найчастіших цілей для хакерів. Хороша новина: 95 % атак можна попередити базовими заходами безпеки ще на старті проєкту.
1. Оберіть якісний хостинг
Спільний хостинг за 50 Kč на місяць означає спільні ризики. Ми рекомендуємо managed WordPress hosting (Raidboxes, Kinsta, WP Engine) або VPS із власною конфігурацією. Firewall на рівні сервера зупиняє більшість атак ще до того, як вони дійдуть до WordPress.
2. Надійні паролі та 2FA
Найчастіший вектор атаки — слабкі паролі. Правила:
- Пароль адміністратора має містити мінімум 16 символів і бути створений генератором
- Окремі унікальні паролі для FTP, бази даних і хостинг-панелі
- 2FA для всіх admin-акаунтів (Wordfence, WP 2FA)
- Змініть стандартне ім’я користувача «admin» на унікальне
3. Оновлення — це основа
90 % зламаних сайтів використовували застарілий WordPress, плагін або тему. Налаштуйте автоматичні оновлення для minor-версій і безпекових патчів. Major-оновлення тестуйте на staging-середовищі.
Менше плагінів — менша площа для атаки. Кожен плагін є потенційною вразливістю. Видаліть усе, чим не користуєтесь.
4. Плагін безпеки
Встановіть хоча б один: Wordfence (firewall + malware scanner), Sucuri (cloud WAF) або iThemes Security (hardening). Активуйте обмеження спроб входу, блокування IP та виявлення змін у файлах.
5. Резервні копії — ваша страховка
Бекап, якого у вас немає, вас не врятує. Налаштуйте щоденні автоматичні резервні копії через UpdraftPlus або серверний cron. Зберігайте бекапи поза сервером (Google Drive, S3). Перевіряйте відновлення з резервної копії хоча б раз на квартал.
6. WordPress hardening
- Забороніть редагування файлів з admin-панелі:
define('DISALLOW_FILE_EDIT', true); - Змініть префікс бази даних зі стандартного
wp_ - Приховайте версію WordPress в HTML
- Вимкніть XML-RPC, якщо ви ним не користуєтесь
- Налаштуйте правильні права доступу до файлів (644 для файлів, 755 для директорій)
- Додайте security headers через .htaccess
7. SSL-сертифікат
У 2026 році це вже базовий стандарт, але ми досі зустрічаємо корпоративні сайти без HTTPS. Let’s Encrypt є безкоштовним. Увімкніть примусовий HTTPS redirect і HSTS header.
Висновок
Безпека WordPress не є одноразовим завданням — це постійний процес. Але ці 7 кроків на старті захистять вас від 95 % атак. Потрібна допомога із захистом сайту? Напишіть нам.
