По статистике профильных мониторингов, до 95% всех уязвимостей WordPress приходятся на сторонние плагины и темы, что делает коммерческие проекты легкой мишенью для бот-нетов. В этой статье я даю жесткий технический стандарт защиты, который сокращает поверхность атаки на 80% еще на этапе разработки.
Защита точки входа: админка и авторизация
Стандартный путь /wp-admin/ простукивают тысячи ботов в минуту. Первым делом меняем URL входа через WPS Hide Login или аналоги — это отсекает 99% автоматизированного брутфорса. Внедрение двухфакторной аутентификации (2FA) через приложение делает кражу пароля бесполезной: даже при утечке базы данных злоумышленник не войдет в панель управления.
Кейс: проект с трафиком 50к посещений в месяц подвергался атаке перебором паролей (10 000+ запросов в час). После смены URL входа и лимитирования попыток авторизации до 3-х через iThemes Security, нагрузка на сервер от ботов упала с 15% до 0.2% CPU.
Экспертный вывод: никогда не оставляйте пользователя 'admin'. Это база, но до 30% заказчиков продолжают так делать, облегчая задачу хакеру.
Безопасность базы данных и wp-config.php
Префикс таблиц 'wp_' — это маркер для SQL-инъекций. При разработке сайта на WordPress обязательно меняем его на уникальный (например, 'rbk_742_'). Также переносим файл wp-config.php на один уровень выше корневой директории сайта, если архитектура хостинга это позволяет, чтобы исключить его чтение через браузер при ошибках конфигурации сервера.
Важный нюанс: установка ключей солей (Salts) в wp-config.php должна быть уникальной для каждого окружения (dev/stage/prod). Использование одного и того же ключа на тестовом и рабочем серверах позволяет перехватить сессии администратора при компрометации тестового домена.
Экспертный вывод: защита БД — это фундамент. Если злоумышленник получил доступ к wp-config.php, контроль над сайтом переходит к нему за 2 секунды.
Контроль прав и файловая система
Типичная ошибка новичков — права 777 на папки. Правильный стандарт для коммерческого проекта: папки 755, файлы 644. Доступ на запись должен быть закрыт для wp-config.php и .htaccess. Отключаем редактирование тем и плагинов прямо из админки через константу DISALLOW_FILE_EDIT в wp-config.php, чтобы даже взломанный аккаунт менеджера не мог внедрить вредоносный код в PHP-файлы.
Пример: в одном из проектов обнаружили бэкдор в файле functions.php. Причина — открытый доступ к редактору в консоли и слабый пароль у контент-менеджера. Если бы функция редактирования была отключена, атакующему пришлось бы искать уязвимость в FTP/SSH, что на порядок сложнее.
Экспертный вывод: ограничение прав записи на уровне сервера — самый надежный способ остановить распространение вируса по сайту.
Фильтрация трафика и защита от DDoS
Использование Cloudflare в режиме 'Proxy' позволяет скрыть реальный IP сервера и отсечь вредоносный трафик до того, как он достигнет вашего хостинга. Настройка WAF (Web Application Firewall) позволяет блокировать запросы с известными сигнатурами SQL-инъекций и XSS-атак. Для коммерческих сайтов рекомендую тариф Pro ($20/мес), так как он дает более гибкие правила фильтрации по странам и типам запросов.
Сравнение: стандартный хостинг-фаервол часто блокирует легитимных пользователей по IP. Cloudflare с настроенным 'Under Attack Mode' держит нагрузку до 1 Гбит/с без падения сайта, что критично в периоды рекламных кампаний.
Экспертный вывод: защита на уровне DNS/CDN эффективнее любого плагина безопасности, так как вредоносный трафик просто не доходит до сервера.
Гигиена плагинов и обновление ядра
Каждый лишний плагин увеличивает риск. В коммерческом проекте количество плагинов должно быть оптимизировано: вместо 5 мелких расширений лучше написать один кастомный функционал в дочерней теме. Обновления должны проходить по схеме: Стейджинг -> Тест -> Продакшн. Обновление напрямую на живом сайте с риском 'белого экрана' недопустимо для бизнеса.
Статистика: около 40% уязвимостей WordPress возникают в заброшенных плагинах, которые не обновлялись более 12 месяцев. Удаляйте всё, чем не пользуетесь, даже если плагин просто 'лежит' в деактивированном состоянии.
Экспертный вывод: минимализм в стеке плагинов — лучшая стратегия безопасности. Чем меньше кода, тем меньше дыр.
Вывод
Безопасность WordPress — это не установка одного плагина Wordfence, а комплексный подход. Начинать нужно с фундамента: смена префикса БД, скрытие /wp-admin/ и жесткие права на файлы. Избегайте nulled-тем и плагинов (пиратского софта) — в 90% случаев там зашит бэкдор, который откроется через месяц после запуска. Мой выбор для коммерческих проектов: связка Cloudflare + кастомная тема (без тяжелых конструкторов) + строгий регламент обновлений на стейджинге. Это дает максимальный уровень защиты при сохранении высокой скорости работы сайта.
