Как защитить сайт на WordPress от взлома: 7 простых шагов

Большинство взломов происходит не из-за хитрых хакеров, а из-за устаревших плагинов и слабых паролей. Разбираем минимум защиты для владельца сайта без своего IT-отдела.

Сайт на WordPress взламывают не потому, что кто-то целенаправленно охотится за вашим бизнесом. В девяти случаях из десяти это автоматический бот, который перебирает тысячи сайтов подряд и заходит туда, где забыли обновить плагин или поставили пароль admin123. Ниже собран рабочий минимум защиты: он закроет большинство дыр и не потребует своего IT-отдела.

Представьте магазин на оживлённой улице. Дверь стеклянная, витрина на виду, запасной ключ под ковриком. Грабителю не нужно быть профессионалом: достаточно подёргать ручку у сотни дверей и зайти в ту, что открыта. С сайтом так же. Защита держится не на одном дорогом замке, а на нескольких простых привычках.

Почему сайты на WordPress так часто атакуют

WordPress остаётся самой популярной системой для сайтов в мире: на нём работает примерно каждый третий сайт в интернете. Чем популярнее система, тем выгоднее писать под неё ботов: одна найденная уязвимость открывает доступ сразу к сотням тысяч сайтов, и бот проверяет их автоматически, без участия человека.

Опасность редко в самом ядре системы. Чаще слабым местом становятся плагины и темы от сторонних разработчиков, особенно бесплатные и давно заброшенные. Если плагин не обновлялся два года, в нём с большой вероятностью есть известная дыра, а инструкция по ней уже лежит в открытом доступе.

Основа: обновления, пароли, 2FA и роли

Четыре привычки закрывают большую часть рисков ещё до того, как вы задумаетесь о платных инструментах.

• Обновления. Держите ядро системы, тему и все плагины свежими. Большинство взломов идёт через уязвимости, для которых заплатка давно вышла, её просто не установили. Включите автообновления хотя бы для плагинов.
• Пароли. Длинный случайный пароль на каждый аккаунт, разный для админки, хостинга и почты. Менеджер паролей запомнит их за вас. Стандартный логин admin лучше не использовать вовсе.
• Двухфакторный вход (2FA). Это второй код из приложения на телефоне в дополнение к паролю. Даже если пароль украдут, без вашего телефона в админку не зайти. Подключается бесплатным плагином за пять минут.
• Роли пользователей. Давайте каждому ровно тот доступ, который нужен. Автору статей не нужны права администратора. Чем меньше людей с полным доступом, тем меньше точек, через которые можно зайти.

Плагины безопасности и ограничение входа

Отдельный плагин безопасности берёт на себя то, что вручную отслеживать тяжело. Главная его функция, ради которой стоит его ставить, это ограничение попыток входа. По умолчанию система позволяет вводить пароль бесконечно, и бот может перебирать комбинации сутками. После ограничения адрес блокируется уже на пятой-шестой неудачной попытке.

Полезны ещё несколько вещей: сканирование файлов на подозрительные изменения, защита страницы входа и письмо на почту при странной активности. Не ставьте три плагина безопасности сразу: они конфликтуют между собой и замедляют сайт. Один проверенный, настроенный по инструкции, закрывает задачу.

Резервные копии вне хостинга и план на случай взлома

Резервная копия — это не защита от взлома, а гарантия, что вы переживёте его без потерь. Ключевое правило простое: копия должна храниться отдельно от самого сайта. Если бэкап лежит на том же хостинге, при заражении сервера вы потеряете и сайт, и копию одновременно.

Настройте автоматическое копирование на внешнее хранилище (облако или отдельный диск) с частотой под ваш ритм обновлений. Для блога хватит раза в неделю, для магазина с заказами лучше ежедневно. Раз в пару месяцев проверяйте, что копия реально разворачивается обратно. Бэкап, который ни разу не пробовали восстановить, нередко оказывается пустышкой в самый нужный момент.

Хостинг тоже отвечает за безопасность

Дешёвый хостинг за пару евро экономит несколько десятков злотых в год и может стоить вам всего сайта. Хороший провайдер сам обновляет версию PHP, изолирует сайты друг от друга, делает собственные бэкапы и блокирует часть атак ещё до того, как они дойдут до вас.

Недавно мы переносили сайт небольшого интернет-магазина косметики со взломанного бюджетного хостинга на нормальный с базовой защитой; число попыток подозрительного входа упало примерно на 90%, а сайт перестал самопроизвольно падать. Если вам нужна настройка такой защиты под ключ, этим занимается разработка и поддержка сайтов.

Частые вопросы о безопасности WordPress

Можно ли защитить сайт бесплатно?

Да, базовый уровень защиты бесплатен. Обновления, надёжные пароли, 2FA и ограничение входа доступны без вложений. Деньги нужны скорее на хороший хостинг и регулярные бэкапы, а это десятки, а не сотни злотых в месяц.

Как понять, что сайт уже взломан?

Тревожные признаки: чужие страницы и ссылки, переадресация на сторонние сайты, предупреждение браузера или письмо от хостинга. Иногда сайт просто резко замедляется, потому что его ресурсы используют для рассылки спама.

Нужен ли платный плагин безопасности?

Для большинства небольших сайтов хватает бесплатной версии. Платные тарифы дают автоматическое лечение заражённых файлов и приоритетную поддержку. Это разумно для магазина, но избыточно для блога или сайта-визитки.

Как часто делать резервные копии?

По частоте изменений на сайте. Сайт, который не меняется неделями, достаточно копировать раз в неделю. Магазин с ежедневными заказами копируйте каждый день, иначе при сбое потеряете свежие покупки.

Защищает ли SSL-сертификат от взлома?

Нет, это разные вещи. SSL (замочек в адресной строке) шифрует данные между посетителем и сайтом, но не мешает взлому через слабый пароль или дырявый плагин. Он нужен, но самой защиты не заменяет.

Коротко

Безопасность сайта — это не один дорогой инструмент, а несколько простых привычек: вовремя обновлять, ставить сильные пароли с 2FA, ограничивать вход и держать бэкап отдельно от хостинга. Начните с обновлений и резервной копии уже сегодня, это закроет большую часть рисков за один вечер.