Як захистити сайт на WordPress від злому: 7 простих кроків

Більшість зломів стається не через хитрих хакерів, а через застарілі плагіни та слабкі паролі. Розбираємо мінімум захисту для власника сайту без власного IT-відділу.

Сайт на WordPress зламують не тому, що хтось цілеспрямовано полює на ваш бізнес. У дев'яти випадках із десяти це автоматичний бот, який перебирає тисячі сайтів поспіль і заходить туди, де забули оновити плагін або поставили пароль admin123. Нижче зібрано робочий мінімум захисту: він закриє більшість дір і не потребуватиме власного IT-відділу.

Уявіть магазин на жвавій вулиці. Двері скляні, вітрина на видноті, запасний ключ під килимком. Грабіжникові не треба бути професіоналом: достатньо посмикати ручку біля сотні дверей і зайти в ті, що відчинені. Із сайтом так само. Захист тримається не на одному дорогому замку, а на кількох простих звичках.

Чому сайти на WordPress так часто атакують

WordPress залишається найпопулярнішою системою для сайтів у світі: на ньому працює приблизно кожен третій сайт в інтернеті. Що популярніша система, то вигідніше писати під неї ботів: одна знайдена вразливість відкриває доступ одразу до сотень тисяч сайтів, і бот перевіряє їх автоматично, без участі людини.

Небезпека рідко в самому ядрі системи. Частіше слабким місцем стають плагіни та теми від сторонніх розробників, особливо безкоштовні й давно покинуті. Якщо плагін не оновлювався два роки, у ньому з великою ймовірністю є відома діра, а інструкція щодо неї вже лежить у відкритому доступі.

Основа: оновлення, паролі, 2FA та ролі

Чотири звички закривають більшу частину ризиків ще до того, як ви замислитеся про платні інструменти.

• Оновлення. Тримайте ядро системи, тему та всі плагіни свіжими. Більшість зломів іде через вразливості, для яких латку давно випустили, її просто не встановили. Увімкніть автооновлення хоча б для плагінів.
• Паролі. Довгий випадковий пароль на кожен акаунт, різний для адмінки, хостингу та пошти. Менеджер паролів запам'ятає їх за вас. Стандартний логін admin краще не використовувати взагалі.
• Двофакторний вхід (2FA). Це другий код із застосунку на телефоні на додаток до пароля. Навіть якщо пароль викрадуть, без вашого телефона в адмінку не зайти. Підключається безкоштовним плагіном за п'ять хвилин.
• Ролі користувачів. Давайте кожному рівно той доступ, який потрібен. Авторові статей не потрібні права адміністратора. Що менше людей із повним доступом, то менше точок, через які можна зайти.

Плагіни безпеки та обмеження входу

Окремий плагін безпеки бере на себе те, що вручну відстежувати важко. Головна його функція, заради якої варто його ставити, це обмеження спроб входу. За замовчуванням система дозволяє вводити пароль нескінченно, і бот може перебирати комбінації добами. Після обмеження адреса блокується вже на п'ятій-шостій невдалій спробі.

Корисні ще кілька речей: сканування файлів на підозрілі зміни, захист сторінки входу та лист на пошту при дивній активності. Не ставте три плагіни безпеки одразу: вони конфліктують між собою та сповільнюють сайт. Один перевірений, налаштований за інструкцією, закриває задачу.

Резервні копії поза хостингом і план на випадок злому

Резервна копія — це не захист від злому, а гарантія, що ви переживете його без втрат. Ключове правило просте: копія має зберігатися окремо від самого сайту. Якщо бекап лежить на тому самому хостингу, при зараженні сервера ви втратите і сайт, і копію одночасно.

Налаштуйте автоматичне копіювання на зовнішнє сховище (хмару або окремий диск) із частотою під ваш ритм оновлень. Для блогу вистачить раз на тиждень, для магазину із замовленнями краще щодня. Раз на пару місяців перевіряйте, що копія реально розгортається назад. Бекап, який жодного разу не пробували відновити, нерідко виявляється пустушкою в найпотрібніший момент.

Хостинг теж відповідає за безпеку

Дешевий хостинг за пару євро економить кілька десятків злотих на рік і може коштувати вам усього сайту. Хороший провайдер сам оновлює версію PHP, ізолює сайти один від одного, робить власні бекапи та блокує частину атак ще до того, як вони дійдуть до вас.

Нещодавно ми переносили сайт невеликого інтернет-магазину косметики зі зламаного бюджетного хостингу на нормальний з базовим захистом; кількість спроб підозрілого входу впала приблизно на 90%, а сайт перестав самовільно падати. Якщо вам потрібне налаштування такого захисту під ключ, цим займається розробка та підтримка сайтів.

Часті запитання про безпеку WordPress

Чи можна захистити сайт безкоштовно?

Так, базовий рівень захисту безкоштовний. Оновлення, надійні паролі, 2FA та обмеження входу доступні без вкладень. Гроші потрібні радше на хороший хостинг і регулярні бекапи, а це десятки, а не сотні злотих на місяць.

Як зрозуміти, що сайт уже зламано?

Тривожні ознаки: чужі сторінки та посилання, переадресація на сторонні сайти, попередження браузера або лист від хостингу. Іноді сайт просто різко сповільнюється, бо його ресурси використовують для розсилання спаму.

Чи потрібен платний плагін безпеки?

Для більшості невеликих сайтів вистачає безкоштовної версії. Платні тарифи дають автоматичне лікування заражених файлів і пріоритетну підтримку. Це розумно для магазину, але надмірно для блогу чи сайту-візитки.

Як часто робити резервні копії?

За частотою змін на сайті. Сайт, який не змінюється тижнями, достатньо копіювати раз на тиждень. Магазин зі щоденними замовленнями копіюйте щодня, інакше при збої втратите свіжі покупки.

Чи захищає SSL-сертифікат від злому?

Ні, це різні речі. SSL (замочок в адресному рядку) шифрує дані між відвідувачем і сайтом, але не заважає злому через слабкий пароль або дірявий плагін. Він потрібен, але самого захисту не замінює.

Коротко

Безпека сайту — це не один дорогий інструмент, а кілька простих звичок: вчасно оновлювати, ставити сильні паролі з 2FA, обмежувати вхід і тримати бекап окремо від хостингу. Почніть з оновлень і резервної копії вже сьогодні, це закриє більшу частину ризиків за один вечір.