RevealTheme logo

Руководство · Обновлено 2026

Контрольный список безопасности WordPress: 30 шагов, которые действительно важны

Большинство советов по безопасности WordPress общие, паникёрские и упускают то, что действительно важно. Этот список упорядочивает меры безопасности по реальному эффекту, опираясь на реальные паттерны атак, применяемые против сайтов WordPress (брутфорс, уязвимые плагины, слабые учётные данные, устаревшие ядра).

5 обязательных мер: сделайте в первую очередь

  1. Поддерживайте ядро WordPress, темы и плагины в актуальном состоянии. Уязвимые плагины — вектор атаки № 1. Включите автоматические обновления минорных версий (WordPress 5.6+ делает это по умолчанию). Мажорные версии обновляйте в течение 7 дней после выпуска. Для плагинов включите автообновление доверенных; критичные плагины проверяйте по примечаниям к выпуску вручную.
  2. Используйте надёжные уникальные пароли для каждой учётной записи WordPress. Особенно для администраторов. Используйте менеджер паролей (1Password, Bitwarden). Отключите имя пользователя «admin»: создайте нового администратора и удалите старого.
  3. Включите двухфакторную аутентификацию. Используйте Wordfence Login Security (бесплатно) или наш Генератор QR для 2FA с любым TOTP-приложением. 2FA отражает более 99 % атак с подстановкой учётных данных.
  4. Установите надёжный плагин безопасности. Wordfence (бесплатной версии хватает большинству сайтов) или Solid Security. Не ставьте несколько сразу: они конфликтуют. Плагин управляет ограничением попыток входа, мониторингом целостности файлов и сканированием на вредоносное ПО.
  5. Ежедневные резервные копии вне сайта. UpdraftPlus → Dropbox/Google Drive. Делайте копию до того, как она понадобится. Проверьте процесс восстановления хотя бы один раз.

Следующие 10: дополнительные меры высокого эффекта

  1. Принудительно используйте HTTPS. Let's Encrypt бесплатен на любом современном хостинге. Перенаправляйте HTTP на HTTPS на уровне сервера.
  2. Измените префикс таблиц базы данных. WordPress по умолчанию использует wp_; смените его на что-то своё во время установки. Это не предотвращает атаки, но усложняет некоторые их паттерны.
  3. Отключите XML-RPC, если не используете его. XML-RPC — частый вектор усиления брутфорса. Если вы не используете мобильное приложение Jetpack или удалённую публикацию, отключите его через .htaccess или плагин.
  4. Ограничьте попытки входа. Wordfence делает это автоматически. Предотвращает брутфорс-подстановку учётных данных.
  5. Ротируйте ключи/соли аутентификации WordPress. Используйте наш Генератор солей WordPress. Ротируйте их после любого подозрения на компрометацию, после удаления скомпрометированного администратора и планово каждые 6–12 месяцев.
  6. Используйте SSH или SFTP для передачи файлов, никогда — обычный FTP. FTP передаёт учётные данные открытым текстом.
  7. Ограничьте доступ к wp-admin по IP, если возможно. Если ваша команда использует фиксированные IP (офис, VPN), ограничьте wp-admin только этими IP. Через .htaccess или конфигурацию Nginx.
  8. Отключите редактирование файлов в wp-config.php. Добавьте: define('DISALLOW_FILE_EDIT', true); Это не даёт злоумышленникам редактировать темы/плагины из панели, если они скомпрометируют учётную запись.
  9. Скройте номер версии WordPress. Удалите метатег generator. Это не предотвращает атаки, но снижает фингерпринтинг.
  10. Заблокируйте права доступа к файлам. Файлы 644, каталоги 755, wp-config.php 600. Большинство управляемых хостингов делают это автоматически; на VPS настройте это явно.

Доводка: хорошо, но не критично

  1. Кастомный URL входа (например, WPS Hide Login). В основном снижает шум от трафика ботов; это не настоящая безопасность.
  2. CAPTCHA в формах входа. Небольшое трение для автоматизированных атак.
  3. Отключите выполнение PHP в /uploads/. Не даёт запускать загруженные PHP-шеллы.
  4. Используйте WAF Cloudflare (бесплатный уровень). Фильтрует вредоносный трафик до того, как он достигнет вашего сервера.
  5. Настройте уведомление по email администратору об обновлениях плагинов/ядра.
  6. Используйте предзагрузку HSTS для принудительного HTTPS на уровне браузера.
  7. Отключите перечисление пользователей через REST API (Solid Security или Wordfence это обеспечивают).
  8. Используйте заголовки Политики безопасности контента (CSP).
  9. Отключите просмотр каталогов (большинство хостингов делают это по умолчанию).
  10. Мониторьте время безотказной работы + целостность с помощью внешнего сервиса (бесплатный уровень UptimeRobot + еженедельный Sucuri SiteCheck).
  11. Ограничьте роли пользователей минимальными привилегиями. Большинству соавторов не нужен доступ уровня редактора.
  12. Шифрование резервных копий базы данных (предлагает UpdraftPlus Premium).
  13. Размещение изображений вне домена через CDN (уменьшает поверхность атаки).
  14. Периодический просмотр журнала аудита безопасности.
  15. Ежегодный пентест, если сайт приносит значительный доход.

Мифы о безопасности WordPress: пропустите их

Несколько широко рекомендуемых мер «безопасности» дают минимальную реальную защиту: (1) «Скрыть версию WordPress»: знание вашей версии слегка помогает целевым атакам, но реальное решение — обновляться, а не прятать. (2) «Переместить wp-config.php выше public_html»: по сути даёт нулевую выгоду для безопасности; файл уже защищён через .htaccess. (3) «Отключить REST API»: ломает многие плагины и мало что блокирует. Вместо этого ограничьте конкретные эндпоинты. (4) «Ставить несколько плагинов безопасности»: они конфликтуют и пересекаются. Один надёжный плагин (Wordfence или Solid Security) покрывает то, что сделали бы три. (5) «Переименовать wp-login.php»: безопасность через неясность; злоумышленники легко находят новый URL через перенаправления.

Если вас взломали: контрольный список восстановления

  1. Не паникуйте; не удаляйте ничего сразу. Сначала сделайте снимок текущего состояния для криминалистического анализа.
  2. Выведите сайт офлайн (плагин режима обслуживания или перенаправление через .htaccess на статическую страницу).
  3. Смените все пароли администраторов и ротируйте соли WordPress.
  4. Проведите аудит учётных записей: немедленно удалите нераспознанные учётные записи администраторов.
  5. Просканируйте на вредоносное ПО с помощью Wordfence Premium или Sucuri.
  6. Сравните текущие файлы с чистой загрузкой WordPress: diff покажет изменённые файлы ядра.
  7. Проверьте таблицу wp_options в базе данных на неожиданные записи (часто содержат внедрённый JS).
  8. Восстановите из последней чистой резервной копии (вот почему важны ежедневные копии).
  9. После восстановления проведите аудит каждого плагина: удалите неиспользуемые, обновите все и замените те, у которых есть публичные CVE.
  10. Обновите ядро WordPress до последней версии.
  11. Снова включите сайт и следите за повторным заражением в течение 30 дней.
Сгенерируйте новые соли WordPress сейчас

Часто задаваемые вопросы

Менее ли безопасен WordPress, чем другие CMS?
Не по своей сути. Репутация WordPress как риска безопасности вытекает из двух факторов: он работает на 43 % веба, поэтому злоумышленники его атакуют; и обычные пользователи устанавливают уязвимые плагины без аудита. Сопровождаемый сайт WordPress с проверенными плагинами так же безопасен, как Drupal или Joomla. Заброшенный сайт WordPress с 30 устаревшими плагинами — лёгкая мишень.
Нужен ли мне платный плагин безопасности?
Большинству сайтов — нет. Wordfence Free покрывает то, что нужно 90 % сайтов WordPress: брандмауэр, сканирование на вредоносное ПО, безопасность входа, целостность файлов. Версия Premium добавляет обновления угроз в реальном времени (вместо задержки в 30 дней), блокировку по странам и приоритетную поддержку: стоит того для сайтов с реальным доходом, опционально в остальных случаях.
Как часто мне обновлять WordPress?
Минорные версии (5.6.1 → 5.6.2): автоматически, немедленно. Мажорные версии (5.x → 6.x): в течение 7 дней после выпуска. Обновления плагинов: еженедельный просмотр; автообновление, если у вас есть резервные копии; ручная проверка для критичных плагинов (безопасность, электронная коммерция, кастомный код).
Каким способом чаще всего взламывают сайты WordPress?
Уязвимые плагины, на которые приходится ~55 % успешных атак на WordPress по ежегодным отчётам Wordfence. В коде самого плагина есть уязвимость, которую эксплуатирует злоумышленник. Меры: поддерживайте плагины в актуальном состоянии, удаляйте неиспользуемые и устанавливайте только плагины от надёжных разработчиков.
Стоит ли использовать хостинг со встроенной безопасностью WordPress?
Управляемые хостинги WordPress (Kinsta, WP Engine, Pressable) включают WAF, сканирование на вредоносное ПО и автообновления ядра: значимые дополнения. Оправдывают ли они премиальную цену, зависит от вашего трафика и профиля угроз. Для сайта малого бизнеса бесплатная установка Wordfence на общем хостинге покрывает большинство угроз.

Похожие материалы

Подпишитесь на обновления

Мы не продаем ваш адрес электронной почты. Мы не рассылаем спам.

© 2026 RevealTheme. All rights reserved.