По статистике профильных агентств по кибербезопасности, до 90% взломов WordPress происходят через уязвимости в устаревших плагинах или из-за слабых паролей администратора. В условиях, когда стоимость восстановления сайта после инъекции кода варьируется от 15 000 до 50 000 рублей, превентивная настройка архитектуры безопасности становится дешевле в 10-20 раз, чем ликвидация последствий.
Укрепление ядра и прав доступа
Первая линия защиты — ограничение прав на запись. Установка прав 755 для папок и 644 для файлов блокирует возможность злоумышленнику загрузить shell-скрипт в корневой каталог. Критическая ошибка многих разработчиков — использование прав 777, что открывает полный доступ к изменению файлов любому пользователю сервера.
Отключение редактирования файлов темы и плагинов через wp-config.php (define('DISALLOW_FILE_EDIT', true)) исключает риск правки кода через админку при компрометации одного из аккаунтов. Кейс: на проекте с 15+ редакторами эта мера предотвратила потерю данных при утечке пароля одного из сотрудников.
Мой вывод: любые права выше 755 на сервере — это дыра в безопасности. Если ваш хостинг не позволяет гибко управлять правами, меняйте его.
Защита базы данных и префиксов
Стандартный префикс таблиц 'wp_' — главный маркер для автоматизированных SQL-инъекций. Смена префикса на уникальный (например, 'dtp_secure_') снижает вероятность успешного автоматического сканирования БД на 60-70%. Это базовый гигиенический минимум, который должен быть выполнен до того, как разработка сайта на WordPress перейдет в стадию наполнения контентом.
Важно также ограничить доступ к файлу wp-config.php через .htaccess, запретив любые внешние запросы к нему. В противном случае при ошибке сервера или уязвимости плагина данные для подключения к БД окажутся в открытом доступе.
Экспертная оценка: смена префикса после запуска сайта — трудозатратный процесс с риском поломать связи в БД, поэтому делайте это строго на этапе развертывания.
Борьба со спамом и Brute-force атаками
Перенос страницы входа /wp-admin/ на кастомный URL (например, /private_entry/) отсекает до 95% бот-трафика, так как большинство скриптов брутфорса нацелены на стандартный адрес. В сочетании с ограничением количества попыток входа (макс. 3-5 попыток) это делает подбор пароля математически бессмысленным.
Для защиты форм от спама рекомендую отказаться от капчи, которая снижает конверсию на 2-5%, в пользу «медового горшка» (honeypot) — скрытого поля, которое видят только боты. Это незаметно для пользователя, но эффективно отсекает 98% автоматических рассылок.
Мой вердикт: стандартный /wp-admin/ — это открытая дверь. Скрывайте её или внедряйте двухфакторную аутентификацию (2FA), если сайт имеет высокую ценность для бизнеса.
Контроль плагинов и внешних зависимостей
Каждый установленный плагин расширяет поверхность атаки. В среднем, 30% уязвимостей в WordPress приходят из бесплатных плагинов, которые не обновлялись более 6 месяцев. Оптимальный лимит — не более 15-20 активных расширений; всё, что выше, требует жесткого аудита кода или замены на функционал самописной темы.
При выборе между конструкторами и кодом, помните: тяжелые билдеры вроде Elementor добавляют сотни лишних запросов и зависимостей, что может создать дополнительные векторы атаки. Сравнение разработки на WordPress: самописная тема vs конструкторы показывает, что кастомный код всегда безопаснее за счет отсутствия лишнего «мусора» в ядре.
Совет практика: удаляйте неиспользуемые плагины полностью, а не просто деактивируйте их. Деактивированный плагин всё равно остается в файловой системе и может быть использован для исполнения произвольного кода.
Вывод
Безопасность WordPress — это не один плагин-антивирус, а комплекс мер по ограничению прав доступа. Начните с базовой гигиены: смена префикса БД, перенос /wp-admin/ и установка прав 755/644. Избегайте использования «нуленых» (pirated) тем и плагинов — стоимость их бесплатности обычно составляет 100% ваших данных при первом же бэкдоре. Мой выбор: минималистичный набор проверенных плагинов, жесткий контроль прав на сервере и обязательный ежедневный бэкап вне основного хостинга.
Связанный обзор по теме — Разработка сайтов на WordPress.
