mysurik.ru

Безопасность WordPress: что я делаю чтобы сайт не взломали

Безопасность WordPress что я делаю чтобы сайт не взломали

Первый раз меня взломали в 2018 году. Зашёл в админку, а там — белый экран и кривой баннер про «ваш сайт взломан». Хорошо, был свежий бекап. С тех пор я подошёл к безопасности системно и хочу поделиться, что реально работает, а что — маркетинговая ерунда.

В админку я захожу только через двухфакторку — без неё даже пароль не спасает. Ставил Google Authenticator, привык за неделю. Теперь спокойно даю доступ подрядчикам — если кто-то сольёт пароль, второй фактор не пройдёт.

Fail2ban на сервере режет сканеров админки на корню. Настроил один раз — и забыл. Брутфорс-атак стало в сто раз меньше.

SSL — обязательная база. Let’s Encrypt настроил за 10 минут, сертификаты обновляются автоматически. Без HTTPS сейчас даже не про индексацию — просто опасно.

Ещё я отключил лишнее: XML-RPC, если не нужен, автозагрузку плагинов, файловый редактор в админке. И главное — бекапы. Резервное копирование WordPress — это то, что спасёт тебя ночью, когда сайт лёг.

Мой итог. Безопасность — это не один плагин, а привычка. Обновляться, не давать лишних прав, хранить бекапы отдельно. Я теперь делаю проверку раз в месяц и сплю спокойно.

Ваш комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *