Средний сайт на WordPress подвергается до 1000 автоматизированных попыток брутфорса в сутки, что при стандартных настройках приводит к взлому 40% ресурсов в течение первого года жизни. Безопасность — это не установка одного плагина, а многослойный стек от уровня DNS до прав доступа к файловой системе.
Защита ядра и конфигурация wp-config.php
Первая линия обороны — ограничение прав доступа. Установите права 440 или 400 на файл wp-config.php, чтобы предотвратить чтение конфиденциальных данных (ключей соли и паролей БД) другими пользователями сервера. Обязательно добавьте строку define('DISALLOW_FILE_EDIT', true); — это отключает встроенный редактор тем и плагинов в админке, исключая возможность внедрения вредоносного кода через GUI даже при компрометации аккаунта администратора.
Кейс: на одном из проектов после взлома через уязвимый плагин злоумышленник переписал index.php. Если бы была активна директива DISALLOW_FILE_EDIT и стояли права 644 на файлы, ущерб был бы локализован. Мой вывод: стандартные права 644/755 для папок — это минимум, но для критических файлов нужна максимальная рестрикция.
Оптимизация сервера и защита от DDoS
Использование Cloudflare или аналогичных WAF-систем снижает нагрузку на сервер на 60-80% за счет фильтрации бот-трафика. На уровне сервера настройте ограничение частоты запросов (Rate Limiting) через Nginx: установите лимит 5-10 запросов в секунду на один IP для страницы wp-login.php. Это делает брутфорс бессмысленным, так как скорость перебора паролей падает с 100+ попыток в секунду до 5.
Важный нюанс: при выборе хостинга для разработки сайта на WordPress ищите поддержку PHP 8.1+ и HTTP/3. Старые версии PHP (7.4 и ниже) имеют известные уязвимости, которые закрываются только обновлениями ядра, но часто не поддерживаются старыми темами. Мой вердикт: переходите на PHP 8.2, это дает прирост безопасности и производительности до 20%.
Борьба со спамом и защита форм
Традиционные капчи снижают конверсию форм на 15-25%. Вместо них используйте «медовые ловушки» (Honeypot) — скрытые поля, которые не видит человек, но заполняет бот. В сочетании с Akismet или CleanTalk это отсекает до 99% спама. Настройте ограничение на размер загружаемых файлов в wp-config.php (например, до 2МБ), чтобы избежать атак типа «отказ в обслуживании» через загрузку гигантских файлов в медиабиблиотеку.
Пример: внедрение Honeypot на корпоративном портале сократило количество спам-заявок с 40 до 2 в сутки без раздражения пользователей проверкой «выберите все светофоры». Рекомендация: забудьте про стандартный Google reCAPTCHA v2, переходите на v3 или скрытые поля.
Контроль доступа и гигиена аккаунтов
Смена стандартного логина 'admin' и перенос страницы входа с /wp-admin на уникальный URL (например, /secret-entry) убирают сайт из 90% автоматических сканеров уязвимостей. Внедрение двухфакторной аутентификации (2FA) через приложение (Google Authenticator) делает кражу пароля бесполезной. Рекомендую ограничить количество попыток входа до 3-5, после чего IP блокируется на 24 часа через плагин типа Limit Login Attempts Reloaded.
Ошибка практика: оставлять учетные записи старых разработчиков. Каждый лишний аккаунт с правами администратора — это вектор атаки. Мой совет: используйте принцип минимальных привилегий — менеджеру контента нужны права 'Редактор', а не 'Администратор'.
Базы данных и отказоустойчивость
Безопасность невозможна без бэкапов. Настройте правило 3-2-1: три копии, два разных носителя, одна копия удаленно. Используйте инкрементальное резервное копирование каждые 12 часов для БД и раз в неделю для файлов. Оптимизация базы данных и кэширования WordPress позволяет серверу выдерживать всплески трафика при атаках, предотвращая падение БД из-за перегрузки запросами (Slow Queries).
Сравнение: хранение бэкапов на том же сервере — это ошибка (при взломе сервера удалят и бэкапы). Хранение в S3-хранилище (AWS, Selectel) стоит от 1$ за ГБ, но гарантирует восстановление сайта за 15-30 минут. Мой вывод: автоматизируйте выгрузку в облако, иначе бэкап — это иллюзия безопасности.
Вывод
Безопасность WordPress начинается с отказа от стандартных настроек. Мой топ-3 приоритетов: 1) Перенос страницы входа и внедрение 2FA; 2) Ограничение прав доступа к wp-config.php и запрет редактирования файлов через админку; 3) Вынос бэкапов на удаленный S3-сервер. Избегайте установки «бесплатных» премиум-плагинов (nulled) — в 95% случаев они содержат бэкдоры. Начинайте с базовой гигиены сервера, а затем наслаивайте плагины защиты, чтобы не перегружать систему.
Шире вопрос разобран в основной статье Разработка сайтов на WordPress.