Как проверить WordPress на уязвимости: чеклист безопасности

WordPress питает 43% всех сайтов в интернете. Эта популярность делает его главной мишенью для автоматизированных атак. Боты ежедневно сканируют миллионы сайтов в поисках устаревших версий ядра, плагинов и тем с известными уязвимостями.

Проблема в том, что многие владельцы сайтов не обновляют WordPress годами. Один непропатченный плагин с миллионом установок может стать точкой входа для дефейса, внедрения бэкдора или кражи базы данных.

1. Обновляйте ядро, плагины и темы в течение 48 часов после выхода обновлений. Включите автоматические обновления для минорных версий ядра.

2. Удалите неиспользуемые плагины и темы. Даже деактивированные плагины могут содержать уязвимости и служить точкой входа.

3. Защитите wp-config.php — переместите файл на один уровень выше корневой директории, ограничьте права доступа (chmod 400) и добавьте соли безопасности.

4. Измените URL админки с /wp-admin на произвольный. Используйте плагины типа WPS Hide Login, но не забывайте про brute-force через xmlrpc.php и REST API.

5. Ограничьте попытки входа — после 3-5 неудачных попыток блокируйте IP на 15 минут. Используйте двухфакторную аутентификацию для всех администраторов.

6. Отключите XML-RPC, если не используете мобильное приложение WordPress или Trackbacks/Pingbacks. xmlrpc.php — популярная точка входа для брутфорса.

7. Регулярно делайте бэкапы базы данных и файлов. Храните бэкапы отдельно от основного сервера и тестируйте восстановление.