WordPress — самая популярная CMS и самая атакуемая. 40% взломов происходят через устаревшие плагины. Этот чеклист закрывает 95% угроз.
1. Обновления — первый приоритет
- WordPress core — обновляйте немедленно
- Плагины и темы — еженедельно
- Удалите неиспользуемые плагины и темы
- Включите автообновления безопасности: Dashboard → Updates → Enable auto-updates
2. Защита wp-admin
# В .htaccess ограничить доступ к wp-admin по IP:
<Directory /var/www/site/wp-admin>
Order deny,allow
Deny from all
Allow from ВАШ_IP
</Directory>- Смените URL входа: плагин WPS Hide Login
- Включите двухфакторку: плагин WP 2FA
- Ограничьте попытки входа: Limit Login Attempts Reloaded
3. wp-config.php — усиление
// Уникальные секретные ключи (генерация: https://api.wordpress.org/secret-key/1.1/salt/)
define('AUTH_KEY', 'уникальная_строка');
// Запретить редактирование файлов из админки:
define('DISALLOW_FILE_EDIT', true);
// Ограничить ревизии:
define('WP_POST_REVISIONS', 5);
// Запретить внешние HTTP-запросы (если не нужны):
// define('WP_HTTP_BLOCK_EXTERNAL', true);4. Плагин безопасности
Установите один из:
- Wordfence — файрволл + сканер малвари + блокировка IP
- Sucuri Security — мониторинг целостности файлов
- iThemes Security — комплексная защита
5. Права на файлы
find /var/www/wordpress -type f -exec chmod 644 {} \;
find /var/www/wordpress -type d -exec chmod 755 {} \;
chmod 600 wp-config.php✅ Регулярно делайте резервные копии: плагин UpdraftPlus сохраняет бэкапы в Google Drive, Dropbox или S3 — автоматически.