WordPress — самая атакуемая CMS в мире. Около 90% взломов связаны с устаревшими плагинами, слабыми паролями и открытым xmlrpc.php. Этот чеклист закрывает все основные векторы атак.
1. Права на файлы и директории
find /var/www/wordpress -type d -exec chmod 755 {} \;
find /var/www/wordpress -type f -exec chmod 644 {} \;
chmod 400 /var/www/wordpress/wp-config.php
chown www-data:www-data /var/www/wordpress/wp-config.php2. Защита wp-config.php и uploads в Nginx
location = /wp-config.php { deny all; }
location ~* /wp-content/uploads/.*\.php$ { deny all; }3. Отключить xmlrpc.php
location = /xmlrpc.php { deny all; access_log off; log_not_found off; }4. Защита страницы входа
location = /wp-login.php {
allow 1.2.3.4;
deny all;
fastcgi_pass unix:/var/run/php/php8.3-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}5. Дополнения в wp-config.php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
// Сгенерировать ключи: https://api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY', 'уникальный_ключ_1');
define('SECURE_AUTH_KEY', 'уникальный_ключ_2');6. Чеклист WordPress Security
| Мера | Инструмент | Приоритет |
|---|---|---|
| Обновить WP, темы, плагины | Авто-обновления | Критический |
| Сильный пароль + 2FA | WP 2FA плагин | Критический |
| Отключить xmlrpc.php | Nginx | Высокий |
| Права 644/755 на файлы | chmod | Высокий |
| WAF / Firewall | Wordfence, Sucuri | Высокий |
| Скрыть wp-login.php URL | WPS Hide Login | Средний |
| Резервные копии | UpdraftPlus | Критический |
| SSL-сертификат | Let's Encrypt | Критический |
Плагины — главная угроза: 56% взломов WordPress происходит через уязвимые плагины. Регулярно обновляйте все плагины и удаляйте неиспользуемые — даже деактивированные плагины остаются уязвимостью.