Защита WordPress от взлома: что делать, если сайт уже взломали

Взлом сайта на WordPress — распространенная проблема, с которой сталкиваются более 30% владельцев сайтов. Важно понимать: частые взломы WordPress связаны не с недостатками самой CMS, а с халатностью разработчиков и владельцев сайтов. WordPress — мощная и безопасная система, но только при правильной настройке и своевременном обслуживании.

Основные причины уязвимостей:

• Использование устаревших версий ядра, тем и плагинов
• Слабые пароли и отсутствие двухфакторной аутентификации
• Неправильные настройки прав доступа к файлам
• Установка плагинов и тем из ненадежных источников
• Игнорирование базовых мер безопасности.

Комплексная защита WordPress

1. Базовые меры безопасности

• Регулярные обновления ядра, тем и плагинов
• Использование надежных паролей (минимум 12 символов)
• Ограничение попыток входа через плагины типа Wordfence

2. Защита административной панели

• Смена URL входа (/wp-admin → /my-secret-login)
• Двухфакторная аутентификация
• Ограничение доступа по IP

3. Контроль файловой системы

• Настройка правильных прав доступа (755 для папок, 644 для файлов)
• Отключение редактора тем и плагинов
• Мониторинг изменений файлов

4. Защита базы данных

• Смена префикса таблиц (не wp_)
• Регулярное резервное копирование
• Использование SSL для всех соединений

Что делать, если сайт уже взломали

1. Отключите сайт
Первое действие при обнаружении взлома — перевести сайт в режим обслуживания. Это можно сделать:

• Через файл .htaccess (добавить RewriteRule ^(.*)$ /maintenance.html [R=307,L])
• С помощью плагинов типа WP Maintenance Mode

2. Смените все пароли
Необходимо обновить:

• Пароль администратора WordPress
• Пароль от базы данных
• Пароль FTP/SFTP
• Пароль от хостинг-панели

3. Проведите анализ повреждений
Проверьте:

• Измененные файлы (особенно index.php, .htaccess, wp-config.php)
• Файлы php и js с непонятными названиями, новые файлы, которых не было в достоверно чистой версии
• Неизвестные вам администраторы в базе данных
• Подозрительные cron-задачи
• Внимательно проверьте все содержимое wp-content на наличие новых и измененных файлов

4. Восстановите резервную копию
Используйте последнюю чистую резервную копию.

Если бэкапа нет

Экспортируйте и сохраните контент, зафиксируйте список плагинов (экспортируйте настройки) и тему сайта

• Удалите все файлы кроме wp-config.php
• Установите свежую версию WordPress
• Восстановите контент и функционал вручную

Инструменты для защиты WordPress

• All In One WP Security — лучший бесплатный плагин для комплексной защиты WordPress .
• Wordfence — максимум функций + сигнатуры атак в платной версии.
• Sucuri, MalCare — облачное сканирование на предмет взлома и внедрения постороннего кода

Защита WordPress требует комплексного подхода. Даже если ваш сайт уже взломали, правильные действия помогут быстро восстановить его работу и предотвратить будущие атаки. Регулярные обновления, надежные пароли и специализированные плагины безопасности — основа защиты любого WordPress-сайта.