WordPress — самая популярная CMS в мире, и одновременно — самая атакуемая. На WordPress-сайты ежедневно совершаются миллионы попыток брутфорса, sql-инъекций, обхода авторизации. Большинство атак автоматические — боты сканируют интернет в поисках сайтов с дефолтными настройками.

Хорошая новость: большинство типовых атак отсекаются базовыми мерами защиты, которые настраиваются за час. В статье — 8 проверенных шагов, которые превратят дефолтный WordPress в защищённый сайт.

Зачем защищать WordPress

Что бывает, если сайт взломали:

  • Дефейс — главная страница заменяется на фишку взломщика. Чинится бэкапом за 10 минут, но сайт лежит часы.
  • Спам-рассылка с вашего домена. Боты отправляют десятки тысяч писем — ваш домен попадает в чёрные списки, легитимные письма перестают доходить до получателей.
  • Майнер криптовалюты. На сайт ставится скрипт, который майнит биткоины через браузеры посетителей. Замедляет сайт, нагружает посетителей, портит репутацию.
  • SEO-спам. На сайте появляются скрытые страницы с вирусами или нелегальным контентом, которые ранжируются в поиске. Яндекс блокирует сайт за обычно 1–2 недели.
  • Утечка данных клиентов. Если есть форма с email или платежи — это уже подсудное дело по 152-ФЗ, штраф до 700 000 ₽.

Защита — это не «пара плагинов поставить», а культура работы с сайтом. типовые взломы чаще всего идут через три точки: слабый пароль, устаревший плагин, дефолтный логин admin.

8 шагов защиты WordPress

1. Сложный пароль и не «admin» в логине

Это база, без которой все остальные меры бессмысленны.

  • Логин — НЕ admin, administrator, root. Используйте что-то нестандартное: natalia-vk, moy-sayt.
  • Пароль — минимум 16 символов, с цифрами, буквами разного регистра, спецсимволами. Идеально — сгенерированный менеджером паролей (KeePass, 1Password).
  • Никогда не используйте один пароль на нескольких сервисах.

Если у вас старый сайт с admin — создайте нового пользователя с правами администратора и удалите старого.

2. Двухфакторная авторизация (2FA)

Даже сильный пароль может быть украден через фишинг или утечку. 2FA добавляет второй фактор — код из приложения, который меняется каждые 30 секунд.

Плагины:

  • Wordfence Login Security — бесплатный, простой
  • Two Factor Authentication — лёгкий и без излишеств
  • Google Authenticator — WordPress Two Factor Authentication — для интеграции с Google Authenticator

Включите 2FA минимум для всех аккаунтов с правами администратора.

3. Регулярные обновления WordPress, тем и плагинов

По отчёту Wordfence, большинство успешных атак связано с устаревшими плагинами. Обновления ставьте в течение обычно 1–2 недель после релиза.

  • WordPress настройте на автообновление минорных версий (это безопасно, идут только баг-фиксы).
  • Темы и плагины — проверяйте обновления раз в неделю.
  • Удалите неиспользуемые плагины и темы — каждый из них потенциальная дыра, даже если выключен.

Перед серьёзными обновлениями (мажорная версия WP, главные плагины типа WooCommerce) — делайте бэкап (см. «Как делать бэкап сайта»).

4. Защита от брутфорса

Страница плагина Limit Login Attempts Reloaded
Limit Login Attempts Reloaded — блокирует IP после нескольких неудачных попыток входа.

Боты постоянно пытаются угадать пароль через страницу wp-login.php. Защититесь:

  • Limit Login Attempts Reloaded — после 3–5 неудачных попыток блокирует IP на 20 минут
  • Wordfence Security — комплексная защита с файрволом, в т.ч. от брутфорса
  • iThemes Security (теперь Solid Security) — много функций, включая блокировку перебора

Дополнительная мера — скрыть страницу логина. Плагин WPS Hide Login меняет URL входа с /wp-login.php на любой ваш (например, /secret-login). Боты не знают новый URL, не могут брутфорсить.

5. Защита от вредоносного кода и сканирование на вирусы

Если вирусы уже попали на сайт, нужно их найти и удалить.

Плагины-сканеры:

  • Wordfence — бесплатный сканер ищет известные вирусы и подозрительные файлы. Премиум-версия добавляет автоблокировку угроз в реальном времени.
  • Sucuri SiteCheck — внешний онлайн-сканер (sitecheck.sucuri.net), бесплатно проверяет сайт на вирусы.
  • iThemes Security Pro — платный, с глубоким сканированием.

Если сканер нашёл вирус — НЕ пытайтесь чистить вручную, восстановите сайт из чистого бэкапа. Чистка вручную почти всегда оставляет скрытые бэкдоры.

6. Защита wp-admin и xmlrpc.php

Две страницы WordPress — самые атакуемые:

  • wp-admin — админка
  • xmlrpc.php — устаревший API, через который часто проводят DDoS-атаки

Что делать:

  • Ограничьте доступ к wp-admin по IP (если работаете только с домашнего интернета). Через .htaccess или плагин Cerber Limit Login Attempts.
  • Отключите xmlrpc.php полностью, если не используете Jetpack или мобильные приложения. Плагин Disable XML-RPC.

7. Файрвол приложения (WAF)

Страница плагина Wordfence в каталоге WordPress.org
Wordfence — комплексная защита WordPress: WAF, антибрут, сканер уязвимостей.

WAF (Web Application Firewall) — это слой защиты перед самим WordPress, фильтрующий вредоносные запросы до того, как они дойдут до сайта.

  • Cloudflare (бесплатный план) — DDoS-защита, базовый WAF, ускорение через CDN. Отлично подходит большинству сайтов.
  • Wordfence Premium — встроенный WAF на уровне сайта, обновляется в реальном времени против новых угроз.
  • Sucuri Firewall — облачный WAF, перед сайтом, $9.99/мес.

Cloudflare — оптимальный старт для большинства сайтов: бесплатно, сразу даёт DDoS-защиту и ускорение.

8. Защита через хостинг и SSL

Часть защиты обеспечивает сам хостинг:

  • SSL/HTTPS — обязательно (см. «Как сделать SSL»). Без него пароль можно перехватить.
  • Современная PHP-версия — 8.1+. Старые версии содержат известные уязвимости.
  • Серверные настройки — хороший хостинг ограничивает выполнение PHP в папках вроде uploads, использует ModSecurity и другие защиты.
  • Бэкапы хостинга — первая линия защиты. Дополнительно делайте свои бэкапы (см. «Как делать бэкап сайта»).

На стартовом тарифе Beget (от 195 ₽/мес) есть базовая защита от DDoS, ModSecurity и ежедневные бэкапы.

Чек-лист еженедельного контроля

После настройки всех защит — раз в неделю проверяйте:

  1. Зайдите в админку WordPress, проверьте, нет ли уведомлений о обновлениях
  2. Запустите сканирование Wordfence (или Sucuri online)
  3. Проверьте, что бэкапы делаются (UpdraftPlus → Existing backups)
  4. Просмотрите журнал входов (плагины показывают подозрительные попытки)
  5. Проверьте сайт через Sucuri SiteCheck

15 минут раз в неделю — нормальный режим обслуживания. С таким контролем вероятность взлома стремится к нулю.

Что делать, если сайт уже взломан

  1. НЕ паникуйте. Восстановление возможно, главное действовать по порядку.
  2. Закройте сайт через плагин Maintenance Mode или поставьте заглушку через .htaccess. Чтобы пользователи не получили вирус.
  3. Восстановите из чистого бэкапа — самого старого, точно сделанного до взлома.
  4. Поменяйте все пароли: wp-admin, FTP, MySQL, хостинг-аккаунт.
  5. Удалите все плагины и темы, которые не используете. Установите заново только нужные, актуальной версии.
  6. Проверьте сканером Wordfence + Sucuri.
  7. Включите все защиты из этой статьи.
  8. Откройте сайт и мониторьте обычно 1–2 недели.

Если самостоятельно не получается — есть профессионалы по чистке WordPress (от 5 000 ₽), специализированные сервисы Sucuri ($199 за разовую очистку).

Что делать дальше

После настройки защиты — проверьте скорость сайта (см. «Медленный сайт: что делать») и автоматические бэкапы (см. «Как делать бэкап сайта»). Защита, бэкапы, SSL — три фундамента, на которых стоит безопасный WordPress.

Полный план действий, если сайт перестал работать — «Что делать, если сайт не работает: пошаговая диагностика».

Часто задаваемые вопросы

Какой плагин безопасности WordPress лучший?

Wordfence Security — самый популярный, бесплатной версии хватает: сканер вирусов, файрвол, защита от брутфорса. Альтернативы: iThemes Security (Solid Security), Sucuri Security.

Как защитить wp-admin от взлома?

1) Сложный пароль не менее 16 символов. 2) Логин не «admin». 3) Двухфакторная авторизация (2FA). 4) Плагин Limit Login Attempts — блокировка после неудачных попыток. 5) Скрыть страницу логина (WPS Hide Login).

Что такое 2FA и как её включить?

Двухфакторная авторизация — второй фактор после пароля (код из приложения Google Authenticator). Плагины: Wordfence Login Security, Two Factor Authentication. Включите минимум для всех админов.

Нужен ли Cloudflare для защиты сайта?

Бесплатный план Cloudflare даёт DDoS-защиту, базовый WAF, ускорение через CDN. Это оптимальный старт для большинства сайтов: бесплатно, минимум настройки, реальная польза.

Что делать, если сайт взломан?

1) НЕ паниковать. 2) Закрыть сайт через Maintenance Mode. 3) Восстановить из чистого бэкапа (точно сделанного до взлома). 4) Поменять все пароли. 5) Удалить неиспользуемые плагины. 6) Просканировать Wordfence + Sucuri. 7) Включить все защиты.

Можно ли почистить взломанный сайт вручную?

Не рекомендуется — почти всегда остаются скрытые бэкдоры. Лучше восстановить из чистого бэкапа. Если бэкапа нет — обратитесь к специалистам (Sucuri за $199 за чистку, или фрилансер от 5 000 ₽).

Похожие материалы

Что будем искать? Например,что такое хостинг

Минуту внимания
Мы используем файлы cookies, чтобы обеспечивать правильную работу нашего веб-сайта, а также работу функций социальных сетей и анализа сетевого трафика.