Вы запустили красивый сайт, настроили дизайн, написали отличные тексты. Но однажды утром заходите в админку и видите сотни спам-комментариев на английском языке или, что хуже, «белый экран смерти». Знакомый кошмар вебмастера?
WordPress — самая популярная система управления контентом в мире (на ней работает более 40% всех сайтов). Именно поэтому она является целью номер один для автоматических ботов и хакеров.
В этой статье мы разберем базовую ИТ-гигиену. Вы узнаете, как защитить сайт на WordPress от взлома и спама с помощью бесплатных плагинов и пары простых настроек.
Почему взламывают сайты на WordPress?
Чаще всего уязвимости кроются не в самом ядре платформы, а в халатности администратора. Слабые пароли, дырявые устаревшие плагины и скачанные бесплатно «премиум» шаблоны — вот главные враги безопасности.
Кстати, об опасности использования взломанных (nulled) плагинов вместо официальных лицензий мы подробно говорили в материале «Elementor Pro: когда он действительно нужен, а когда — нет». Пиратский софт почти всегда содержит вшитый вирусный код. Сэкономив пару десятков долларов, вы рискуете потерять весь проект.
Шаг 1. Меняем стандартные доступы
Автоматические боты регулярно пытаются подобрать пароль к сайтам (так называемые Brute-force атаки). Они всегда начинают с логина admin.
- Никогда не используйте имя пользователя admin, administrator или название вашего домена.
- Зайдите в раздел Пользователи, создайте новый профиль с правами администратора и сложным логином, а старый профиль удалите.
- Используйте надежные пароли (от 12 символов, включая спецсимволы и цифры).
Шаг 2. Защита админки от перебора паролей
Каждый злоумышленник знает, что панель управления вашим сайтом находится по стандартному адресу yoursite.ru/wp-admin. Усложните им задачу.
- Установите плагин WPS Hide Login. Он позволяет в пару кликов изменить стандартный URL админки на любой другой (например,
yoursite.ru/my-secret-door). - Добавьте плагин Limit Login Attempts Reloaded. Он будет блокировать IP-адрес назойливого бота, если тот несколько раз введет неверный пароль.
Шаг 3. Блокируем спам в комментариях и формах
Спам-ссылки в комментариях не просто раздражают — они пессимизируют ваш сайт в глазах поисковых систем Яндекс и Google.
- Установите и активируйте Akismet Anti-Spam. Этот плагин от создателей WordPress отлично фильтрует мусорные комментарии в автоматическом режиме.
- Включите ручную модерацию: Настройки → Обсуждение. Отметьте галочкой пункт «Комментарий должен быть одобрен вручную».
- Обязательно подключите Google reCAPTCHA v3 ко всем формам обратной связи (в Elementor Pro или Contact Form 7), чтобы отсеять ботов, которые шлют рекламные письма вам на почту.
Шаг 4. Установка комплексного фаервола (WAF)
Чтобы не собирать безопасность по крупицам, можно использовать мощные комбайны. Отличный выбор — плагин Wordfence Security.
Даже в бесплатной версии он включает межсетевой экран (WAF), который анализирует весь трафик на лету и блокирует известные угрозы. Также он регулярно сканирует файлы сайта на наличие вредоносного кода.
Помните: если сайт заразят вирусом, поисковики мгновенно повесят на него красную табличку «Сайт угрожает безопасности», и вы потеряете весь трафик и позиции в поиске. О том, как еще техническое состояние влияет на ранжирование ресурса, читайте в нашем руководстве «Больше, чем просто Yoast SEO: Как реально прокачать сайт на WordPress для поиска».
Шаг 5. Регулярные бэкапы (Резервное копирование)
Даже Пентагон иногда взламывают. Если ваш сайт все-таки лег или заразился, вас спасет только свежий бэкап.
Никогда не полагайтесь только на резервные копии хостинга. Установите плагин UpdraftPlus и настройте автоматическую отправку архива с сайтом и базой данных на ваш Google Drive или Dropbox хотя бы раз в неделю.
Key Takeaways (Краткое резюме)
Чтобы спать спокойно, выполните этот чек-лист:
- Удалите пользователя admin и поставьте сложный пароль.
- Скройте страницу авторизации с помощью WPS Hide Login и ограничьте количество попыток входа.
- Защитите формы и комментарии связкой Akismet и Google reCAPTCHA.
- Делайте автоматические бэкапы на стороннее облако (например, через UpdraftPlus).
А какими плагинами безопасности пользуетесь вы? Случалось ли вам восстанавливать сайт после атаки вирусов? Делитесь своим опытом в комментариях!
