Зламаний сайт коштує бізнесу більше, ніж здається. Це не лише втрачені дані, а й простій, падіння позицій у пошуку та втрата довіри клієнтів. Більшість атак на WordPress автоматичні: боти перебирають паролі на wp-login, навантажують XML-RPC і скануть REST API. Кілька точкових налаштувань прибирають цей ризик і розвантажують сервер.
Чому WordPress — головна ціль
WordPress керує мільйонами сайтів, тому боти атакують його масово. Вони не шукають саме вас — вони перебирають усіх. Слабкий пароль адміністратора або відкритий XML-RPC дають їм точку входу. Далі — спам, редіректи на чужі сайти або майнінг на вашому хостингу.
Захист входу до адмінки
Першу лінію оборони ми будуємо навколо wp-login.php. Базові кроки дають найбільший ефект:
- Обмеження кількості спроб входу, щоб бот не перебирав паролі нескінченно.
- Двофакторна автентифікація для всіх адміністраторів.
- Унікальні логіни замість стандартного «admin».
- Приховування або перейменування сторінки входу, щоб зменшити автоматичний трафік.
Ці зміни прибирають більшість атак ще до того, як вони дійдуть до бази даних.
XML-RPC та REST API
XML-RPC потрібен рідко, але ним зловживають для brute-force і DDoS. Якщо інтеграції його не використовують, ми вимикаємо його повністю. REST API залишаємо, але закриваємо публічне перелічення користувачів через /wp-json/wp/v2/users. Так боти не дізнаються ваші логіни.
Доступ до чутливих ендпоінтів обмежуємо за ролями та ключами. Сайт працює, а зайвих дверей для атак немає.
Рівень сервера та оновлення
Захист коду доповнюємо рівнем сервера. На Nginx або Apache ми додаємо rate-limiting на /wp-login.php, блокуємо підозрілі User-Agent і вмикаємо fail2ban. Регулярні оновлення ядра, тем і плагінів закривають відомі вразливості. Автоматичні бекапи гарантують швидке відновлення.
Результат для бізнесу
Захищений WordPress — це стабільний сайт без простоїв і несподіваних блокувань хостингом. Менше навантаження від ботів означає швидше завантаження для реальних клієнтів. А чиста репутація домену зберігає позиції в Google і конверсію.
Хочете перевірити безпеку свого сайту на WordPress? MaxiMoruM проводить аудит, захищає вхід і API та налаштовує моніторинг для українського бізнесу. Звертайтеся на maximorum.com.