Безопасность WordPress: что я делаю чтобы сайт не взломали
Первый раз меня взломали в 2018 году. Зашёл в админку, а там — белый экран и кривой баннер про «ваш сайт взломан». Хорошо, был свежий бекап. С тех пор я подошёл к безопасности системно и хочу поделиться, что реально работает, а что — маркетинговая ерунда.
В админку я захожу только через двухфакторку — без неё даже пароль не спасает. Ставил Google Authenticator, привык за неделю. Теперь спокойно даю доступ подрядчикам — если кто-то сольёт пароль, второй фактор не пройдёт.
Fail2ban на сервере режет сканеров админки на корню. Настроил один раз — и забыл. Брутфорс-атак стало в сто раз меньше.
SSL — обязательная база. Let’s Encrypt настроил за 10 минут, сертификаты обновляются автоматически. Без HTTPS сейчас даже не про индексацию — просто опасно.
Ещё я отключил лишнее: XML-RPC, если не нужен, автозагрузку плагинов, файловый редактор в админке. И главное — бекапы. Резервное копирование WordPress — это то, что спасёт тебя ночью, когда сайт лёг.
Мой итог. Безопасность — это не один плагин, а привычка. Обновляться, не давать лишних прав, хранить бекапы отдельно. Я теперь делаю проверку раз в месяц и сплю спокойно.