По данным мониторинга безопасности, до 95% всех взломов WordPress происходят через уязвимости в сторонних плагинах и темы, а brute-force атаки на wp-login.php генерируют до 40% всего мусорного трафика на корпоративных сайтах. Для бизнеса простой сайта из-за инъекции или шифровальщика обходится в среднем от 50 000 до 300 000 рублей с учетом восстановления данных и потери конверсии.
Борьба с перебором паролей и brute-force
Стандартный адрес входа /wp-admin/ — главная мишень ботнетов. Смена URL авторизации через плагины типа WPS Hide Login снижает количество автоматизированных запросов на 90%, но для корпоративного сектора этого мало. Оптимальный стек: ограничение попыток входа (Limit Login Attempts) до 3-5 раз с блокировкой IP на 24 часа и обязательный двухфакторный аутентификатор (2FA) через приложение Google Authenticator или Authy.
Кейс: клиент с трафиком 100к посещений в месяц получал до 15 000 запросов к странице логина в сутки. После переноса входа на кастомный URL и внедрения 2FA количество попыток взлома упало до нуля, а нагрузка на CPU сервера снизилась на 5-7%.
Экспертный вывод: Смена URL — это маскировка, а 2FA — реальная защита. Для корпоративного сайта 2FA обязателен для всех ролей от «Редактора» и выше.
Укрепление ядра и фильтрация плагинов
Использование «нуленых» (pirated) тем и плагинов гарантирует появление бэкдоров в системе в течение 1-3 месяцев. В 2024 году стоимость лицензии на топовый плагин безопасности или конструктор варьируется от $49 до $199 в год — сумма ничтожная по сравнению с риском потери базы клиентов. Необходимо отключить редактирование файлов через админку, добавив в wp-config.php строку define('DISALLOW_FILE_EDIT', true);
Практика показывает, что установка более 20-25 активных плагинов расширяет поверхность атаки экспоненциально. Каждый новый плагин — это потенциальная дыра в безопасности. Если функционал можно реализовать через snippet в functions.php, это всегда безопаснее, чем ставить очередной микро-плагин.
Экспертный вывод: Режьте количество плагинов безжалостно. Если плагин не обновлялся автором более 6 месяцев — удаляйте его немедленно, он становится легкой целью.
Права доступа и безопасность файловой системы
Ошибка большинства разработчиков — установка прав 777 на папки для «удобства» работы. Это открывает дверь любому скрипту на запись в корень сайта. Стандарт безопасности: папки — 755, файлы — 644. Файл wp-config.php должен иметь права 400 или 440, чтобы даже другие пользователи сервера не могли прочитать ваши ключи базы данных.
Важнейший этап — перенос папки wp-content/uploads на уровень выше корня сайта или запрет исполнения PHP-скриптов в этой директории через .htaccess. Это предотвращает выполнение вредоносного кода, который злоумышленник мог загрузить под видом картинки.
Экспертный вывод: Правильная настройка прав доступа на уровне сервера — это фундамент. Без этого любые плагины безопасности будут работать как «замок на картонной двери».
Защита базы данных и сервера
Стандартный префикс таблиц wp_ позволяет атакующим легко писать SQL-инъекции. Смена префикса на уникальный (например, bty_inc_2024_) усложняет задачу ботам. Также критически важно использовать PHP 8.1+; версии 7.4 и ниже больше не получают обновлений безопасности, что делает их уязвимыми к известным эксплойтам.
Для высоконагруженных проектов обязательна оптимизация WordPress для высоких нагрузок: 7 критических настроек сервера и базы данных, включая использование объектного кэширования Redis или Memcached. Это не только ускоряет сайт, но и позволяет серверу выдерживать DDoS-атаки на уровне приложения, не уходя в «502 Bad Gateway».
Экспертный вывод: Переходите на PHP 8.2 и используйте внешние WAF (Web Application Firewalls), такие как Cloudflare. Это отсекает 99% вредоносного трафика еще до того, как он достигнет вашего сервера.
Вывод
Безопасность WordPress — это не один плагин, а многослойный пирог. Начинайте с базы: перенос входа, установка 2FA, жесткие права доступа (644/755) и очистка от лишних плагинов. Избегайте бесплатных тем из сомнительных источников и старых версий PHP. Мой выбор для корпоративного сегмента: связка Cloudflare (WAF) + кастомный URL входа + строгий регламент обновлений раз в неделю. Это закрывает 99.9% типичных векторов атак.
Шире вопрос разобран в основной статье Разработка сайтов на WordPress.