WordPress безпека для бізнесу: 12 кроків, які захистять ваш сайт

Більше 43% всіх сайтів у світі працюють на WordPress. Саме тому автоматизовані боти щодня сканують тисячі WordPress-сайтів у пошуку вразливостей. За даними Wordfence, фіксується понад 90,000 спроб злому щодня. Якщо ви власник бізнесу з сайтом на WordPress, питання не в тому, чи намагатимуться зламати ваш сайт, а в тому, коли це станеться і чи будете ви готові.

WordPress безпека для бізнесу – це не технічна розкіш, а базова необхідність. Злом сайту коштує дорого: втрата позицій у Google, блокування хостингом, збиток репутації, витік даних клієнтів. Відновлення зламаного сайту може забрати дні роботи і значні кошти. Запобіжні заходи коштують набагато менше.

Важлива деталь: не хакери-генії атакують ваш сайт, а боти з автоматизованими скриптами. Ці програми масово перевіряють тисячі сайтів одночасно, шукаючи стандартні вразливості. Слабкий пароль, застарілий плагін, стандартний URL входу, відсутній SSL, все це автоматично виявляється і використовується без участі людини.

Цей чек-лист з WordPress безпека для бізнесу розроблений для власника: без коду, без технічних знань, за один вечір. Дванадцять конкретних кроків, які суттєво підвищать захист вашого WordPress-сайту. Кожен крок містить назву плагіна, посилання і приблизний час виконання. Почнемо.

Чому WordPress є мішенню для зломів

Перш ніж перейти до практичних кроків, варто зрозуміти, чому WordPress безпека для бізнесу є такою критично важливою темою. WordPress – найпопулярніша CMS у світі. Це одночасно і перевага, і слабке місце. Велика популярність означає велику кількість потенційних цілей, що робить платформу привабливою для зловмисників.

Відкрита екосистема плагінів і тем – основне джерело вразливостей. На сьогодні в офіційному репозиторії WordPress доступно понад 59,000 плагінів. Якість і підтримка цих плагінів суттєво відрізняється. Деякі з них місяцями не оновлюються, містять відомі вразливості, але продовжують використовуватися на сотнях тисяч сайтів.

Автоматизовані боти постійно сканують інтернет у пошуку конкретних ознак WordPress: стандартний URL входу /wp-admin, стандартні префікси таблиць бази даних wp_, відомі шляхи до файлів. Ці ознаки видно без будь-якого злому, просто через звичайний HTTP-запит.

Головне, що потрібно розуміти: не ваш сайт особисто атакують, а всі WordPress-сайти масово. Ваш сайт потрапляє під атаку автоматично, просто тому що він існує і працює на WordPress. Саме тому навіть маленький бізнес-сайт без особливої цінності регулярно отримує сотні спроб входу щодня. Хороша новина: більшість автоматизованих атак зупиняє базова безпека.

1. Регулярно оновлюйте WordPress, теми і плагіни ⏱ 10 хвилин

Чому оновлення критичні

Більшість успішних зломів відбуваються через відомі вразливості в застарілих версіях плагінів і тем. Коли розробник випускає оновлення безпеки, він фактично публічно оголошує: “у попередній версії була вразливість”. Боти негайно починають масово сканувати сайти, які ще не оновились.

За даними досліджень, понад 56% зламаних WordPress-сайтів мали застарілі компоненти на момент злому. Оновлення – це найпростіший і найефективніший захід безпеки. Він нічого не коштує і займає хвилини.

Перед кожним великим оновленням рекомендується зробити бекап сайту. Більшість оновлень проходять без проблем, але наявність свіжого бекапу дає впевненість. Плагін UpdraftPlus дозволяє зробити повний бекап в один клік перед оновленням.

Як налаштувати автоматичні оновлення

WordPress дозволяє налаштувати автоматичні оновлення прямо в адмін-панелі. Перейдіть до розділу “Панель керування” > “Оновлення”. Тут можна увімкнути автоматичне оновлення ядра WordPress. Для плагінів і тем перейдіть до відповідних розділів і увімкніть автоматичні оновлення для кожного елемента окремо.

Альтернативно, якщо ви хочете більш гнучке управління, плагін Easy Updates Manager дозволяє централізовано контролювати всі оновлення. Налаштуйте автоматичне оновлення хоча б для плагінів безпеки та відомих великих плагінів. Перевіряйте сайт щотижня і вручну оновлюйте решту компонентів.

Якщо ви не хочете стежити за оновленнями самостійно, технічна підтримка WordPress від SMTV Studio включає щомісячне обслуговування сайту: оновлення, бекапи та моніторинг безпеки.

2. Використовуйте надійні унікальні паролі ⏱ 5 хвилин

Які паролі вважаються надійними

Надійний пароль у 2026 році – це не “Password123!” і не ваш день народження. Мінімальні вимоги: не менше 16 символів, поєднання великих і малих літер, цифр і спеціальних символів. Паролі типу “qwerty”, “admin”, “123456” зламуються ботами в першу чергу, бо вони входять до стандартних словників для brute force атак.

Ще важливіший принцип: унікальний пароль для кожного сайту і сервісу. Якщо пароль від одного сервісу витікає (а витоки паролів відбуваються регулярно), зловмисники автоматично перевіряють цей пароль на тисячах інших сайтів. Унікальні паролі захищають від цього ланцюгового ефекту.

Не намагайтесь придумувати і запам’ятовувати складні паролі вручну. Для цього існують менеджери паролів. Вони генерують криптографічно стійкі паролі і безпечно зберігають їх.

Менеджери паролів: 1Password, Bitwarden

1Password – один з найпопулярніших менеджерів паролів для бізнесу. Платний, але з відмінним інтерфейсом і командними функціями. Підходить для команд, де кілька людей мають доступ до сайту.

Bitwarden – безкоштовна альтернатива з відкритим кодом. Безкоштовна версія включає всі базові функції: генератор паролів, зашифроване сховище, розширення для браузера. Платна версія додає функції для команд. Обидва менеджери мають мобільні додатки, що робить їх зручними в щоденному використанні.

3. Увімкніть двофакторну аутентифікацію (2FA) ⏱ 10 хвилин

Що таке 2FA і навіщо вона потрібна

Двофакторна аутентифікація (2FA) додає другий рівень захисту при вході на сайт. Навіть якщо зловмисник якимось чином дізнався ваш пароль, він не зможе увійти без другого фактора, яким зазвичай є одноразовий код з мобільного додатку.

Статистика говорить сама за себе: за даними Microsoft, 2FA блокує 99.9% атак на облікові записи, пов’язаних з компрометацією паролів. Це один з найефективніших захисних заходів, що існують. При цьому він додає лише 10-15 секунд до процесу входу.

Для WordPress рекомендовані додатки-аутентифікатори: Google Authenticator, Authy або Microsoft Authenticator. Всі вони безкоштовні і доступні для iOS та Android. Вони генерують одноразові коди, які змінюються кожні 30 секунд.

Плагін WP 2FA: покрокове налаштування

Встановіть плагін WP 2FA з офіційного репозиторію WordPress. Після активації плагін запустіть майстер налаштування.

Покрокове налаштування:

1. встановіть плагін;
2. у налаштуваннях оберіть метод аутентифікації (TOTP – одноразові коди з додатку);
3. налаштуйте 2FA як обов’язковий для всіх адміністраторів;
4. відскануйте QR-код у своєму додатку-аутентифікаторі;
5. введіть тестовий код для підтвердження.

Важливо: збережіть резервні коди відновлення в безпечному місці. Якщо ви втратите доступ до телефону, ці коди дозволять увійти на сайт.

4. Змініть стандартний URL сторінки входу ⏱ 5 хвилин

Чому /wp-admin є проблемою

За замовчуванням сторінка входу WordPress доступна за адресою yoursite.com/wp-admin або yoursite.com/wp-login.php. Це знають всі: і розробники, і боти. Автоматизовані скрипти щодня надсилають тисячі запитів на ці стандартні URL, намагаючись підібрати паролі.

Зміна URL входу не є абсолютним захистом (це “безпека через невідомість”), але вона ефективно відсіює весь автоматизований трафік. Боти шукають стандартні URL, не знаходять їх і переходять до наступного сайту. Це суттєво зменшує навантаження на сайт і кількість записів у журналах безпеки.

За даними власників сайтів, які змінили URL входу, кількість спроб несанкціонованого входу падає на 95-99% відразу після зміни. Простий крок з величезним ефектом.

Плагін WPS Hide Login

Встановіть плагін WPS Hide Login. Він простий і надійний. Після активації перейдіть до “Налаштування” > “WPS Hide Login”. Введіть новий URL для сторінки входу, наприклад yoursite.com/my-panel або будь-який інший. Збережіть зміни.

Одразу запишіть новий URL у безпечному місці, наприклад у менеджері паролів. Якщо ви забудете власний URL входу, доступ до адмін-панелі буде заблокований, і відновлення вимагатиме втручання через FTP або phpMyAdmin.

5. Обмежте кількість невдалих спроб входу ⏱ 5 хвилин

Що таке brute force атака

Brute force (“груба сила”) – це метод злому, при якому бот автоматично перебирає тисячі комбінацій логінів і паролів, поки не знайде правильну. За замовчуванням WordPress не обмежує кількість спроб входу, тобто бот може робити 1,000 спроб за хвилину без будь-яких наслідків.

Саме тому слабкі паролі так небезпечні: при необмежених спробах навіть відносно складний пароль з 8 символів зламується за лічені години. Але навіть найнадійніший пароль не замінить захист від brute force, бо це два різних рівні захисту.

Обмеження кількості спроб входу повністю зупиняє brute force атаки. Після 3-5 невдалих спроб IP-адреса блокується на певний час. Бот не може продовжувати перебір і відступає.

Плагін Limit Login Attempts Reloaded або AIOS

Два хороші варіанти для захисту від brute force: Limit Login Attempts Reloaded і All In One Security (AIOS). Перший спеціалізується саме на обмеженні входів. Другий є комплексним рішенням безпеки, яке включає цю функцію серед багатьох інших.

All In One WP Security and Firewall (AIOS) є одним з найпопулярніших безкоштовних плагінів безпеки. Після встановлення перейдіть до “WP Security” > “Brute Force” і активуйте захист. Рекомендовані налаштування: 5 невдалих спроб перед блокуванням, блокування на 60 хвилин.

6. Налаштуйте автоматичний бекап ⏱ 15 хвилин

Правило бекапів 3-2-1

Бекапи – це страховка від всього: злому, помилки при оновленні, випадкового видалення, технічної несправності хостингу. Без бекапів відновлення сайту може бути неможливим або коштуватиме дуже дорого.

Золоте правило бекапів – 3-2-1: три копії даних, на двох різних носіях, одна копія поза офісом (або хмарно). Для WordPress це означає: локальна копія на хостингу, копія на Google Drive або Dropbox, і архів на окремому пристрої.

Важливо зберігати бекапи поза сервером сайту. Якщо хакер отримує доступ до сервера, він може видалити всі бекапи на цьому ж сервері. Хмарне зберігання вирішує цю проблему.

UpdraftPlus: налаштування щоденного бекапу на Google Drive

UpdraftPlus – найпопулярніший плагін бекапів для WordPress з понад 3 мільйонами активних установок. Безкоштовна версія включає всі необхідні функції.

Налаштування:

1. встановіть і активуйте UpdraftPlus;
2. перейдіть до “Налаштування” > “UpdraftPlus Backups”;
3. у розділі “Розклад” встановіть щоденний бекап файлів і бази даних;
4. у розділі “Хмарне сховище” оберіть Google Drive і авторизуйте доступ;
5. встановіть зберігання останніх 7 бекапів;
6. натисніть “Зберегти зміни” і одразу зробіть перший ручний бекап для перевірки.

Перевіряйте бекапи щомісяця: робіть тестове відновлення на локальному сервері або запитуйте підтвердження цілісності файлів.

7. Видаліть все невикористовуване ⏱ 10 хвилин

Неактивні плагіни і теми як ризик

Деактивований плагін все ще містить файли на сервері. Якщо ці файли мають вразливості, зловмисник може їх використати, навіть якщо плагін неактивний. Те саме стосується тем: більшість WordPress-сайтів мають 2-3 теми, але використовують лише одну. Решта залишаються як невидимий ризик.

Принцип мінімалізму в безпеці: менше коду, менше вразливостей. Кожен встановлений плагін – потенційна точка входу. Кожна незалежна тема – файли, які потрібно оновлювати. Видаліть все, що не використовується, і ви автоматично зменшите площу атаки.

Також видаліть стандартні плагіни, які WordPress встановлює за замовчуванням, але якими ви не користуєтесь: Hello Dolly, Akismet (якщо не налаштований), стандартні теми Twenty Twenty-One, Twenty Twenty-Two тощо.

Як провести аудит встановлених плагінів

Перейдіть до розділу “Плагіни” > “Усі плагіни” в адмін-панелі. Для кожного плагіна задайте собі три питання: чи використовується цей плагін? Коли він востаннє оновлювався? Чи є кращий альтернативний плагін з активною підтримкою?

Плагін, який не оновлювався більше 2 років, є потенційним ризиком. Перевірте на wordpress.org, чи є він у статусі “abandoned” (покинутий). Якщо так, знайдіть альтернативу або відмовтесь від цього функціоналу. Не забудьте також видалити (а не просто деактивувати) все, що вирішили не використовувати.

8. Заблокуйте редагування файлів через адмін-панель ⏱ 2 хвилини

Чому редактор файлів небезпечний

WordPress має вбудований редактор файлів, доступний через “Зовнішній вигляд” > “Редактор тем” і “Плагіни” > “Редактор”. Ця функція дозволяє редагувати PHP-файли прямо з браузера. Зручно для розробника, але дуже небезпечно для власника бізнесу.

Якщо зловмисник отримує доступ до облікового запису адміністратора з будь-яким паролем (наприклад, через фішинг або витік даних), він може використати редактор файлів для вставки шкідливого коду в теми або плагіни. Такий backdoor дає постійний доступ до сайту, навіть після зміни паролів.

Вимкнення редактора файлів не впливає на роботу сайту для відвідувачів. Ви все одно можете редагувати файли через FTP або файловий менеджер хостингу. Але зловмисник через адмін-панель цього зробити не зможе.

Один рядок у wp-config.php

Щоб вимкнути редактор файлів, відкрийте файл wp-config.php через FTP-клієнт або файловий менеджер хостингу. Знайдіть рядок /* That's all, stop editing! Happy publishing. */ і перед ним додайте:

define('DISALLOW_FILE_EDIT', true);

Збережіть файл. Тепер редактор файлів більше не відображається в меню адмін-панелі. Це один рядок коду, але він закриває важливу точку входу для зловмисників.

9. Встановіть SSL-сертифікат та перейдіть на HTTPS ⏱ 15 хвилин

Що таке SSL і чому без нього не можна

SSL (Secure Sockets Layer) – це протокол шифрування, який захищає передачу даних між браузером користувача і вашим сервером. Сайт з SSL-сертифікатом відображається як https://, без нього – http://. Браузери позначають сайти без SSL як “небезпечні” прямо в адресному рядку.

Відсутність SSL – це не лише технічна проблема. За даними Google та Nielsen, 85% користувачів не здійснюють покупки на сайтах без HTTPS. Google офіційно підтвердив, що HTTPS є фактором ранжування: сайти без SSL отримують нижчі позиції в пошуковій видачі. Для бізнесу, який хоче залучати клієнтів через інтернет, SSL є обов’язковим.

Хороша новина: SSL більше не коштує грошей. Let’s Encrypt надає безкоштовні SSL-сертифікати, і більшість сучасних хостинг-провайдерів (SiteGround, Hostinger, Bluehost, GoDaddy та інші) дозволяють активувати їх в один клік через хостинг-панель. Зайдіть в cPanel або аналогічну панель вашого хостингу, знайдіть розділ SSL/TLS або Let’s Encrypt і активуйте сертифікат для вашого домену.

Плагін Really Simple SSL для переключення

Після активації SSL-сертифіката на хостингу сайт може залишатися на HTTP через внутрішні посилання і змішаний контент. Плагін Really Simple SSL автоматично виправляє ці проблеми і переключає весь сайт на HTTPS.

Встановіть і активуйте плагін. Він автоматично виявить SSL-сертифікат і запропонує перейти на HTTPS. Натисніть “Активувати SSL”. Плагін налаштує редиректи з HTTP на HTTPS і виправить посилання на змішаний контент. Після цього перевірте сайт через онлайн-інструмент “SSL Checker”, щоб переконатися, що все працює коректно.

10. Захистіть базу даних WordPress ⏱ 10 хвилин

Зміна префікса таблиць бази даних

За замовчуванням всі таблиці бази даних WordPress мають префікс wp_. Це відомо кожному, хто знайомий з WordPress, включно з авторами SQL-ін’єкцій. SQL-ін’єкція – це тип атаки, де зловмисник намагається виконати шкідливий SQL-запит через вразливу форму або URL. Знаючи стандартний префікс wp_, атаку простіше здійснити.

Зміна префікса на унікальний (наприклад, xk7m_) ускладнює такі атаки. Це не панацея, але додатковий рівень захисту. Важливо: якщо ваш сайт вже функціонує, зміна префікса є складнішою операцією і вимагає обережності. Обов’язково зробіть повний бекап перед будь-якими змінами в базі даних.

Плагін AIOS (All In One Security) має функцію зміни префікса таблиць у розділі “Безпека бази даних”. Він автоматично обробляє всі необхідні зміни. Однак, знову ж таки: спочатку бекап, потім зміни.

Регулярний бекап бази даних окремо від файлів

База даних WordPress зберігає весь контент, налаштування і дані користувачів. Файли теми та плагінів можна відновити, перевстановивши їх. База даних – ні. Без бекапу бази даних ви ризикуєте втратити роки контенту і всі дані клієнтів.

UpdraftPlus (описаний у кроці 6) робить бекапи бази даних окремо від файлів і дозволяє налаштувати різні розклади для кожного. Рекомендується робити бекап бази даних щоденно, навіть якщо файли бекапляться рідше. База даних змінюється при кожному новому записі, коментарі, замовленні – тобто постійно.

11. Підключіть Cloudflare для захисту від DDoS та ботів ⏱ 30 хвилин

Що таке Cloudflare і як він захищає WordPress

Cloudflare – це глобальна мережа, яка стоїть між відвідувачами і вашим сервером. Він фільтрує шкідливий трафік до того, як він досягне вашого сайту. Безкоштовний план Cloudflare включає: захист від DDoS-атак, фільтрацію ботів, CDN (прискорення сайту через кешування), базовий файрвол.

DDoS (Distributed Denial of Service) – це атака, при якій тисячі комп’ютерів одночасно надсилають запити на ваш сайт, щоб перевантажити сервер і вивести сайт з ладу. Cloudflare поглинає такі атаки завдяки своїй глобальній інфраструктурі. Безкоштовний план захищає від атак базового рівня, що є достатнім для більшості малих і середніх бізнесів.

Окрім безпеки, Cloudflare також пришвидшує завантаження сайту, кешуючи статичні файли на серверах по всьому світу. Якщо вас цікавить комплексне прискорення сайту, прочитайте нашу статтю про те, чому WordPress-сайт завантажується повільно і як це виправити.

Покрокове підключення Cloudflare до WordPress

Підключення Cloudflare:

1. зареєструйтесь на cloudflare.com;
2. додайте ваш домен і оберіть безкоштовний план;
3. Cloudflare просканує поточні DNS-записи;
4. перейдіть до вашого реєстратора доменів і змініть nameservers на ті, що надасть Cloudflare;
5. зачекайте до 48 годин для поширення DNS (зазвичай займає 1-4 години).

Після підключення: у налаштуваннях SSL в Cloudflare встановіть режим “Full (strict)”, якщо на вашому сервері вже є SSL-сертифікат. У розділі “Security” встановіть рівень безпеки “Medium” або “High”. Увімкніть “Bot Fight Mode” для блокування відомих ботів.

Firewall правила для WordPress в Cloudflare

Cloudflare дозволяє створювати власні правила файрволу. Для WordPress рекомендуються такі правила: заблокуйте запити до wp-login.php з країн, де у вас немає клієнтів; вимагайте проходження CAPTCHA для запитів до xmlrpc.php (часто використовується для атак); заблокуйте підозрілі User-Agent рядки, характерні для відомих сканерів вразливостей.

Ці правила можна налаштувати в розділі “Security” > “WAF” > “Custom rules”. Безкоштовний план Cloudflare дозволяє створити до 5 власних правил, що цілком достатньо для базового захисту WordPress.

12. Встановіть сканер безпеки ⏱ 10 хвилин

Wordfence Security: безкоштовний сканер

Wordfence Security – найпопулярніший плагін безпеки для WordPress з понад 4 мільйонами активних установок. Безкоштовна версія включає: файрвол, сканер шкідливого коду, захист від brute force, моніторинг трафіку в реальному часі.

Після встановлення запустіть повне сканування: “Wordfence” > “Scan” > “Start New Scan”. Перше сканування може тривати 5-15 хвилин. Wordfence порівнює всі ваші файли з оригінальними файлами WordPress, плагінів і тем. Будь-яке відхилення відображається у звіті.

Wordfence також надсилає email-сповіщення про підозрілу активність: масові спроби входу, виявлені шкідливі файли, застарілі компоненти. Налаштуйте email-сповіщення в розділі “Wordfence” > “All Options” > “Email Alert Preferences”.

Sucuri Security: альтернативний варіант

Sucuri Security – ще один надійний безкоштовний плагін безпеки. Його особлива цінність в аудиті активності: Sucuri детально логує всі дії в адмін-панелі, зміни файлів, входи користувачів. Це допомагає розслідувати інциденти після факту.

Sucuri також пропонує платний сервіс з CDN-файрволом і гарантованим очищенням сайту у разі злому. Для малого бізнесу безкоштовна версія є достатньою для моніторингу і базового захисту.

Як читати результати сканування: що критично, що можна ігнорувати

Результати сканування Wordfence поділяються на категорії: Critical (критично), Warning (попередження) і Notice (повідомлення). Critical вимагає негайної уваги: шкідливий код, підозрілі файли, компрометовані паролі. Warning зазвичай стосується застарілих компонентів і змінених файлів ядра. Notice – це інформаційні повідомлення, які не обов’язково є проблемами.

Не варто панікувати від великої кількості Notice-повідомлень. Наприклад, Wordfence може позначати кастомні модифікації теми як “змінені файли”, але якщо ви самі вносили ці зміни, це нормально. Фокусуйтесь на Critical і Warning, і вирішуйте їх один за одним.

Приховайте версію WordPress

Кожен WordPress-сайт за замовчуванням відображає свою версію у коді сторінки, мета-тегах і у посиланнях на CSS та JavaScript файли. Рядок виду ?ver=6.4.2 у URL статичних файлів та тег <meta name="generator" content="WordPress 6.4.2"> у <head> відкрито повідомляють ботам, яку саме версію CMS ви використовуєте.

Чому це небезпечно? Коли в якійсь версії WordPress або популярному плагіні виявляється вразливість, зловмисники одразу починають масово сканувати сайти з цією конкретною версією. Якщо ваш сайт відображає версію, він автоматично потрапляє до списку цілей ще до того, як ви встигли оновитись.

Приховати версію WordPress просто. Додайте цей рядок у файл functions.php вашої активної теми:

remove_action('wp_head', 'wp_generator');

Цей код прибирає мета-тег з версією зі сторінок сайту. Додатково рекомендується видалити параметр версії з URL стилів і скриптів. Для цього у той самий файл functions.php додайте:

function remove_version_from_assets($src) {
    if (strpos($src, 'ver=') !== false) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('style_loader_src', 'remove_version_from_assets', 9999);
add_filter('script_loader_src', 'remove_version_from_assets', 9999);

Якщо ви не хочете вручну редагувати файли теми, плагін Wordfence Security або AIOS також мають опцію приховання версії WordPress у своїх налаштуваннях безпеки. Один перемикач – і версія більше не видна стороннім.

Виберіть безпечний хостинг

Хостинг – це фундамент безпеки WordPress-сайту. Навіть якщо ви виконаєте всі 12 кроків з цього чек-листа ідеально, ненадійний хостинг залишається слабкою ланкою. Проблеми на рівні сервера – скомпрометований сусідній сайт на спільному хостингу, відсутність ізоляції між акаунтами, застаріле серверне програмне забезпечення – знаходяться поза вашим контролем і не вирішуються плагінами.

На що звертати увагу при виборі безпечного хостингу для WordPress:

Автоматичні бекапи – хостинг повинен робити щоденні бекапи і зберігати їх окремо від основного сервера. Це доповнює, а не замінює ваші власні бекапи через UpdraftPlus.

SSL у базовому плані – безкоштовний Let’s Encrypt або інший SSL-сертифікат має бути доступний з коробки, без доплат.

Файрвол і захист від DDoS – якісний хостинг має власний рівень захисту від зовнішніх атак ще до того, як трафік потрапляє на ваш сайт.

Сканування на шкідливий код – деякі хостинги автоматично сканують файли на сервері і попереджають про підозрілу активність.

Ізоляція акаунтів – на якісному хостингу зламаний сусідній сайт не може отримати доступ до ваших файлів. На дешевому спільному хостингу без ізоляції такий сценарій цілком реальний.

Актуальні версії PHP – хостинг повинен підтримувати PHP 8.1+ і дозволяти вам вільно обирати версію.

Червоні прапорці: хостинг без HTTPS за замовчуванням, дуже низька ціна без пояснення що саме включено, відсутність інформації про ізоляцію сайтів, підтримка лише застарілих версій PHP.

Якщо ви не впевнені у надійності поточного хостингу або розглядаєте міграцію, команда SMTV Studio допоможе оцінити ваш хостинг і перенести сайт на безпечне середовище без простою.

Скільки коштує злом WordPress-сайту для бізнесу

Більшість власників бізнесу думають про безпеку WordPress абстрактно: “злом – це погано”. Але конкретні цифри набагато переконливіші. Розглянемо реальну вартість зламаного сайту – пряму і непряму.

Прямі витрати на усунення наслідків злому

Відновлення зламаного WordPress-сайту силами досвідченого розробника займає від 5 до 40 годин залежно від масштабу проблеми. За середньою ставкою $40-60 на годину це від $200 до $2,400 лише за технічну роботу. Якщо злом стався через вразливість у темі або плагіні, яку не закривали роками, відновлення може вимагати повної переробки частини сайту.

До цього додаються витрати хостингу: деякі провайдери беруть окрему плату за відновлення з бекапу або навіть призупиняють акаунт при виявленні шкідливого коду, вимагаючи оплаченого очищення.

Непрямі втрати: Google і пошукові позиції

Google автоматично виявляє зламані сайти, що розповсюджують шкідливий код, і додає їх до чорного списку. Сайт отримує попередження “Цей сайт може завдати шкоди вашому комп’ютеру” у результатах пошуку. За середніми даними, відновлення пошукових позицій після потрапляння до чорного списку Google займає від 2 до 4 тижнів після очищення сайту і подання запиту на перегляд. Весь цей час органічний трафік фактично відсутній.

Для сайту, який отримував 500 відвідувачів на день через органічний пошук, тиждень простою – це ~3,500 втрачених відвідувачів. Якщо конверсія становила хоча б 1%, це 35 втрачених потенційних клієнтів за тиждень.

Витоки даних і юридична відповідальність

Якщо на вашому сайті зберігаються персональні дані клієнтів (імена, email, адреси, платіжна інформація), злом може спричинити витік цих даних. За регуляціями GDPR, яким підпадають українські компанії, що працюють з громадянами ЄС, штрафи за витік даних можуть сягати 4% річного обороту компанії або 20 мільйонів євро, залежно від того, що більше. Навіть без штрафів репутаційні наслідки витоку клієнтських даних можуть коштувати дорожче за будь-який технічний збиток.

Реальний сценарій

Інтернет-магазин з 500 відвідувачів на день і середнім чеком 800 гривень втрачає приблизно 50-150 замовлень за тиждень вимушеного простою. При конверсії 2% і середньому чеку 800 грн це 56,000 грн втраченого виторгу за один тиждень – і це без урахування вартості відновлення сайту.

Висновок

Вартість профілактики (кілька годин вашого часу плюс безкоштовні плагіни з цього чек-листа) є несумірно меншою за вартість усунення наслідків. Навіть якщо ви найматимите фахівця для налаштування безпеки, разовий аудит безпеки WordPress коштує в десятки разів менше, ніж відновлення після злому.

Що робити, якщо сайт вже зламали

Злом сайту – стресова ситуація, але не катастрофа, якщо діяти методично. Більшість зломів можна виправити за 24-48 годин при наявності свіжого бекапу. Ось покроковий план дій.

Крок 1: Не панікуйте. Зафіксуйте що сталось. Зробіть скріншоти або запишіть, що саме ви помітили: незнайомий контент на сайті, попередження від Google, блокування хостингом, сповіщення від Wordfence. Ця інформація допоможе при розслідуванні.

Крок 2: Ізолюйте сайт. Поставте сайт у режим технічного обслуговування (maintenance mode), щоб відвідувачі не бачили зламаний контент і не ставали жертвами шкідливого коду. Плагін WP Maintenance Mode або аналогічний допоможе це зробити швидко.

Крок 3: Запустіть сканер Wordfence або Sucuri. Повне сканування виявить шкідливі файли, backdoor-и і змінені компоненти. Збережіть звіт сканування. Видаліть всі виявлені шкідливі файли за рекомендацією сканера.

Крок 4: Відновіть з останнього чистого бекапу. Якщо сканер не зміг повністю очистити сайт, або якщо масштаб злому великий, відновлення з бекапу є надійнішим варіантом. Оберіть бекап, зроблений до появи ознак злому. UpdraftPlus дозволяє відновити сайт в кілька кліків.

Крок 5: Змініть всі паролі. Після очищення або відновлення обов’язково змініть паролі до всього: WordPress-адміністратор, FTP-акаунт, хостинг-панель, база даних, email-акаунти, пов’язані з сайтом. Якщо злом стався через вкрадений пароль, зміна коду без зміни паролів не допоможе.

Після відновлення виконайте всі 12 кроків з цього чек-листа, якщо ви ще не зробили це раніше. І налаштуйте регулярні автоматичні бекапи, якщо їх не було. Більшість зломів можна виправити за 24-48 годин при наявності свіжого бекапу.

Чек-лист безпеки WordPress для бізнесу

Використовуйте цей чек-лист для систематичного покращення безпеки вашого сайту.

Зробіть сьогодні:

• Перевірте наявність SSL (https://) в адресному рядку вашого сайту
• Встановіть 2FA для облікового запису адміністратора
• Перевірте і оновіть всі плагіни, теми і WordPress до останніх версій
• Перевірте і вимкніть редагування файлів через wp-config.php

Цього тижня:

• Налаштуйте автоматичний бекап через UpdraftPlus на Google Drive
• Змініть URL сторінки входу за допомогою WPS Hide Login
• Встановіть сканер безпеки Wordfence і запустіть перше сканування
• Видаліть всі неактивні плагіни і теми
• Встановіть обмеження спроб входу через AIOS або Limit Login Attempts
• Підключіть Cloudflare для додаткового захисту і прискорення

Щомісяця:

• Перевірте журнал активності сайту в Wordfence або Sucuri
• Запустіть ручне сканування Wordfence
• Перевірте список всіх користувачів адмін-панелі, видаліть зайвих
• Переконайтесь, що бекапи зберігаються коректно і зробіть тестове відновлення

Висновок

Більше 43% сайтів у світі працюють на WordPress, і понад 90,000 атак відбувається щодня. Це не страшна статистика, а аргумент на користь дії. Автоматизовані боти атакують всі WordPress-сайти без винятку, але вони шукають легкі цілі: застарілі плагіни, слабкі паролі, стандартні URL входу, відсутній SSL. Сайт, що виконав базові заходи безпеки, автоматично стає набагато менш привабливою ціллю.

12 кроків, описаних у цій статті, покривають найважливіші аспекти захисту: оновлення, паролі, 2FA, зміна URL входу, обмеження brute force, бекапи, мінімалізм плагінів, захист файлів, SSL WordPress, безпека бази даних, Cloudflare і сканування. Більшість з них займає 5-15 хвилин і не потребує технічних знань.

Починайте з найважливішого: SSL, 2FA, оновлення, бекапи. Ці чотири кроки дають найбільший ефект за найменший час. Решту можна розподілити на кілька вечорів тижня. WordPress безпека для бізнесу без коду, за один вечір – це цілком реально.

Не маєте часу налаштовувати безпеку самостійно? Команда SMTV Studio проведе повний аудит безпеки WordPress та налаштує захист за вас. Замовити аудит безпеки →