WordPress — самая популярная CMS в мире, на ней работает более 40% интернета. Но у популярности есть обратная сторона: именно эти сайты чаще всего атакуют хакеры.
За годы работы я «вылечил» сотни сайтов.
И знаете, что самое обидное? В 90% случаев взлома можно было избежать, если бы владельцы соблюдали базовые правила цифровой гигиены. Часто ко мне обращаются уже по факту: когда на сайте появились вирусы, поехала верстка или хостинг заблокировал аккаунт за спам.
Чтобы вы не попали в такую ситуацию, я собрал 5 ключевых советов по защите вашего сайта.
1. Удалите пользователя «Admin»
Это классика. Когда бот пытается подобрать пароль к вашему сайту, первое имя пользователя, которое он пробует — это admin. Если у вас есть пользователь с таким логином, вы уже выполнили 50% работы за хакера.
Что делать:
- Создайте нового пользователя с правами Администратора и сложным, нестандартным именем.
- Зайдите под новым логином.
- Удалите старого пользователя admin (WordPress предложит перенести все его статьи на нового пользователя — соглашайтесь).
2. Обновления — это не прихоть, а необходимость
Я часто вижу, как владельцы сайтов годами игнорируют кружочки с цифрами обновлений в админке, боясь, что «все сломается».
Устаревшие плагины и темы — главная дыра в безопасности. Разработчики выпускают обновления не только ради новых функций, но и чтобы закрыть найденные уязвимости. Оставляя старую версию плагина, вы буквально оставляете открытую дверь для злоумышленников.
Совет: Делайте бэкап и обновляйте WordPress, тему и плагины минимум раз в месяц.
3. Ограничьте количество попыток входа (Limit Login Attempts)
По умолчанию WordPress позволяет вводить пароль сколько угодно раз. Хакеры используют это для брутфорс-атак (автоматического перебора паролей). Бот может пробовать 1000 комбинаций в минуту, пока не подберет нужную.
Что делать: Установите плагин, ограничивающий количество попыток входа (например, Limit Login Attempts Reloaded). После 3-5 неудачных попыток IP-адрес атакующего будет заблокирован. Это простая, но невероятно эффективная мера.
4. Не храните бэкапы на том же сервере
Резервная копия — это ваш парашют. Но многие делают бэкапы и оставляют их в папке сайта на хостинге. Если сайт взломают и удалят файлы (или заразят их), ваш бэкап погибнет или заразится вместе с сайтом.
Как правильно: Настройте автоматическое создание копий в облачное хранилище (Google Drive, Dropbox) или скачивайте архивы на свой компьютер. Хороший бэкап должен быть изолирован от сайта.
5. Спрячьте страницу входа
Стандартный адрес входа в админку — ваш-сайт.ru/wp-admin или wp-login.php. Об этом знают все.
Я рекомендую изменить этот адрес на что-то уникальное, например: ваш-сайт.ru/my-secret-entrance. Это сразу отсечет большинство простых ботов, которые просто долбятся в стандартные двери. Сделать это можно с помощью плагинов безопасности (например, WPS Hide Login).
Безопасность — это не разовая настройка, а постоянный процесс. Эти 5 шагов закроют базовые дыры, но хакеры становятся хитрее с каждым днем.
Ваш сайт на WordPress тормозит, выдает ошибки или был взломан? Я — именно тот специалист, который приведет его в порядок. В веб-разработке я уже более 20 лет, и за это время научился решать самые нестандартные задачи. Мой профиль — это комплексная забота о вашем проекте. Я провожу глубокую очистку кода от вредоносных скриптов, ставлю "бронебойную" защиту и оптимизирую скорость загрузки. Ну и, конечно, создаю новые сайты и дорабатываю существующие, чтобы они приносили вам прибыль, а не головную боль.
Комментариев нет