Лайфхаки для безопасности: защищаем сайт на WordPress простыми методами

Безопасность WordPress — не обязательно сложно и дорого. Есть простые методы, которые закрывают 90% уязвимостей. Вот пошаговое руководство для обычных пользователей.

🔐 1. Защита входа в админку — основа основ

Сменить стандартный URL входа

По умолчанию все знают: вашсайт.ru/wp-admin и вашсайт.ru/wp-login.php

Простое решение через плагин:

1. Установите WPS Hide Login (бесплатно, 1+ млн установок)

2. В настройках плагина укажите свой URL, например: вашсайт.ru/mой-секретный-вход

3. Сохраните. Теперь старые адреса не работают!

Двухфакторная авторизация (2FA)

Не пугайтесь сложного названия! Это просто:

1. Установите Two-Factor или Google Authenticator

2. Скачайте приложение Google Authenticator на телефон

3. В админке WordPress отсканируйте QR-код

4. Теперь при входе кроме пароля вводите код из приложения

Важно: Настройте хотя бы для администраторов!

🛡️ 2. Пароли и пользователи

Простые правила паролей:

• Не используйте: admin, 123456, password, qwerty

• Используйте: минимум 12 символов, буквы (большие и маленькие), цифры, спецсимволы

• Проверьте свой пароль: How Secure Is My Password (не вводите реальный пароль!)

Управление пользователями:

1. Удалите пользователя admin, если он есть

2. Давайте минимальные права:
   • Редактору — нельзя устанавливать плагины

   • Автору — только свои записи

3. Регулярно проверяйте: Пользователи → Все пользователи

4. Удаляйте неиспользуемые аккаунты

🔧 3. Быстрые настройки в админке

3.1 Отключить редактор тем и плагинов

1. Зайдите в Настройки → Файлы конфигурации

2. Добавьте в wp-config.php (или попросите хостинг добавить):

define('DISALLOW_FILE_EDIT', true);

Теперь хакер не сможет изменить код даже если войдет в админку.

3.2 Ограничить количество попыток входа

Плагин Limit Login Attempts Reloaded:

• Установите → активируйте → всё работает по умолчанию

• После 5 неверных попыток IP блокируется на час

3.3 Отключить индексацию служебных папок

Добавьте в корне сайта файл .htaccess (или попросите техподдержку):

# Запрет просмотра папок
Options -Indexes

# Защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

📁 4. Файловая защита — что проверить самому

4.1 Проверьте права доступа к файлам

Идеальные права:

• Папки: 755 (drwxr-xr-x)

• Файлы: 644 (-rw-r—r—)

• wp-config.php: 600 или 644

Как проверить: через файловый менеджер хостинга или FTP-клиент.

4.2 Резервные копии — ваша страховка

Минимум раз в неделю делайте:

1. Базу данных: Экспорт через phpMyAdmin или плагин

2. Файлы сайта: Скачайте через FTP папки wp-content, wp-config.php

Простой вариант: плагин UpdraftPlus → настройте авто-бекапы на Google Drive раз в неделю.

🔍 5. Регулярный аудит — 10 минут в месяц

Чек-лист «Безопасный понедельник»:

1. Обновления: Все ли плагины, тема и WordPress обновлены?

2. Пользователи: Кто заходил? (Плагин WP Security Audit Log)

3. Плагины: Удалите неиспользуемые

4. Резервная копия: Сделана за последнюю неделю?

Как найти взломанный сайт:

• Не открывается или редирект на другой сайт

• Появилась реклама, которой не ставили

• В Google пишет «Сайт может быть опасен»

• В панели хостинга вырос трафик

🚨 6. Что делать если взломали?

Алгоритм действий:

1. Не паникуйте!

2. Сообщите хостингу — часто они помогают

3. Восстановите из резервной копии до даты взлома

4. Смените все пароли:
   • WordPress

   • Базы данных

   • FTP

   • Хостинга

5. Установите плагин безопасности (например, Wordfence) и просканируйте

🛠️ 7. Полезные плагины безопасности (бесплатные)

Must-have набор:

1. Wordfence Security — антивирус + файрволл

2. Sucuri Security — аудит + мониторинг

3. iThemes Security — много функций в одном

4. WPS Hide Login — скрытие страницы входа

Важно: Не ставьте больше 2-3 плагинов безопасности одновременно!

📝 8. Частые ошибки и как их избежать

Ошибка 1: «Плагины и темы из непроверенных источников»

Решение: Качайте ТОЛЬКО с:

• Официального репозитория WordPress.org

• Официальных сайтов разработчиков

Ошибка 2: «Не делаю обновления»

Решение: Включите автообновления для WordPress:

// В wp-config.php define('WP_AUTO_UPDATE_CORE', true);

Ошибка 3: «Использую nulled-темы и плагины»

НИКОГДА не используйте взломанные темы/плагины! В 99% случаев там вирусы.

Ошибка 4: «Один пароль на всё»

Решение: Менеджер паролей — Bitwarden (бесплатный).

📋 9. Чек-лист для немедленного применения

СЕГОДНЯ (15 минут):

• Установите WPS Hide Login

• Проверьте пароли пользователей

• Включите Limit Login Attempts

НА ЭТОЙ НЕДЕЛЕ (30 минут):

• Настройте двухфакторную авторизацию

• Установите Wordfence и сделайте сканирование

• Настройте автоматические бэкапы

РАЗ В МЕСЯЦ (10 минут):

• Проверьте «Чек-лист безопасности»

• Обновите всё, что не обновляется автоматически

• Проверьте логи посещений

🌐 10. Бесплатные онлайн-проверки

Проверьте свой сайт прямо сейчас:

1. Sucuri SiteCheck — бесплатная проверка на вирусы

2. SSL Checker — проверка SSL-сертификата

3. Whois Lookup — проверьте, не светится ли ваш email в whois

💡 Важно запомнить

1. Не бывает 100% защиты — бывает хорошая страховка (бэкапы)

2. Лучшая защита — незаметная (не афишируйте, что у вас WordPress)

3. Самый слабый элемент — человек (не давайте пароли, не кликайте на подозрительное)

🎯 Итог для занятых людей

Если у вас есть только 10 минут:

1. Установите WPS Hide Login (скрыть wp-admin)

2. Поставьте Limit Login Attempts (защита от подбора)

3. Настройте UpdraftPlus (авто-бэкапы)

Эти 3 действия закроют самые распространенные угрозы.

Безопасность — это не разовое действие, а привычка. Вы же чистите зубы каждый день? Вот и с сайтом так же — регулярно проверяйте, обновляйте, делайте бэкапы.

Начните с самого простого — сегодня же смените URL входа в админку. Это займет 2 минуты, а защиту повысит в разы. Каждый маленький шаг делает ваш сайт надежнее!