Безпека WordPress 2025: сучасні методи захисту сайту
Чому безпека WordPress — це важливо
WordPress — найпопулярніша CMS у світі, а отже, вона є однією з найпоширеніших цілей для хакерів. Злам або збій можуть призвести до втрати даних, пошкодження репутації та фінансових збитків. Профілактика завжди дешевша й простіша, ніж відновлення.
У цій статті ми розглянемо актуальні методи захисту WordPress у 2025 році з детальними описами, прикладами та рекомендаціями.
Резервне копіювання (Backup) — ваша «страхова подушка»
Що це: підхід + плагіни/сервіси
Як працює: створює копію сайту (файлів і бази даних) та зберігає її у хмарному сховищі чи локально. Якщо сайт зламано або стався збій — відновлення займає кілька кліків.
Ціна: freemium/платно, залежно від інструменту.
Рекомендовані рішення
-
UpdraftPlus (плагін): підключення Google Drive, Dropbox, Amazon S3; гнучкі графіки бекапів; можливість розділяти копіювання БД та файлів.
-
Jetpack Backup (сервіс/плагін): резервне копіювання у реальному часі з хмарним зберіганням і відновленням в один клік.
-
BlogVault (сервіс): інкрементальні бекапи, міграція та стейджинг.
-
Dropbox / Google Drive / Amazon S3: сховища для збереження копій через плагіни.
Порада: робіть щонайменше 1 повний бекап на тиждень і автоматичні інкрементальні щодня для активних сайтів.
Захист від спаму — чисті форми та коментарі без зайвої капчі
Що це: плагіни/сервіси
Як працює: блокують боти ще до публікації коментарів чи надсилання форм; сучасні рішення використовують “honeypot” — приховані поля, які бачать лише боти.
Ціна: є безкоштовні та платні варіанти.
WP Armour – Honeypot Anti Spam (плагін)
Як працює: додає приховані “honeypot” поля у коментарі та форми. Боти заповнюють ці поля — плагін блокує надсилання. Не потребує капчі та не знижує швидкість сторінки. У твоїй старій статті ти відзначав, що він “відмінно справляється” зі спамом і “налаштування не потрібні”.
Ціна: безкоштовно; є Pro-версія з додатковими функціями.
Переваги: простота, швидкодія, відсутність втручання в UX.
Інші інструменти
-
Antispam Bee (плагін): локальна фільтрація спаму без зовнішніх сервісів. Безкоштовно.
-
CleanTalk (сервіс/плагін): SaaS-фільтрація спаму з централізованою статистикою. Платно.
Регулярні оновлення — закрийте “дірки” для хакерів
Що це: процес + іноді допоміжні плагіни
Як працює: оновлює WordPress, теми та плагіни до безпечних версій із виправленими уразливостями.
Ціна: безкоштовно.
Рекомендації
-
Увімкніть автоматичні оновлення безпекових релізів.
-
Перед оновленням робіть бекап.
-
Видаляйте невикористовувані теми та плагіни.
Інструменти
-
Easy Updates Manager (плагін): контроль автоматичних оновлень для ядра, тем і плагінів. Freemium.
Двофакторна аутентифікація (2FA) — подвійний замок для входу
Що це: плагіни/сервіси
Як працює: при вході в адмін-панель крім пароля запитує одноразовий код із телефону або застосунку.
Ціна: здебільшого безкоштовно.
Рекомендовані рішення
-
Wordfence Login Security (плагін): TOTP-2FA, обмеження спроб входу, резервні коди.
-
Google Authenticator / Authy (застосунки): генерують коди для входу.
SSL/HTTPS — шифрування даних і плюс до SEO
Що це: сертифікат + плагін для налаштування HTTPS
Як працює: шифрує дані між користувачем і сервером; захищає логіни, паролі, платежі.
Ціна: безкоштовно (Let’s Encrypt) або платно (преміум-сертифікати).
Інструменти
-
Let’s Encrypt: безкоштовні сертифікати DV із автоподовженням.
-
Really Simple SSL (плагін): примусовий HTTPS, виправлення змішаного контенту.
Моніторинг і брандмауер (WAF) — виявлення загроз до зламу
Що це: плагіни/сервіси
Як працює: сканують сайт на вразливості та підозрілу активність; блокують спроби злому.
Ціна: freemium/платно.
Рекомендовані рішення
-
Wordfence (плагін): локальний WAF, сканер файлів, блокування за країнами (Pro).
-
Sucuri (сервіс/плагін): хмарний WAF із CDN-кешем і антивірусом.
-
iThemes Security (плагін): комплексний набір правил для зміцнення захисту.
Поради наостанок
-
Завжди робіть бекап перед великими змінами.
-
Видаляйте зайві плагіни та теми.
-
Використовуйте складні паролі та менеджер паролів.
-
Впроваджуйте 2FA для адмінів.
Створюю сайти без використання конструкторів — лише чистий і валідний код. Це забезпечує високу швидкість завантаження та відмінні показники в Google PageSpeed, а отже — вартість кліка в рекламі зменшується в 2–3 рази.
Потрібен сайт з нуля, оптимізація існуючого проекту або доопрацювання функціоналу?
📩 Напишіть у будь-який месенджер — обговоримо ваш проект!
Часті запитання про безпеку WordPress
Як часто потрібно робити резервні копії WordPress?
Мінімум один повний бекап на тиждень. Якщо сайт динамічний (інтернет-магазин, новинний портал) — налаштуйте щоденні інкрементальні копії. Це дозволить швидко відновити сайт після збою чи злому.
Чи потрібна капча, якщо використовую WP Armour?
Ні, WP Armour – Honeypot Anti Spam працює без капчі. Він додає приховані поля, які заповнюють лише боти, і блокує їх автоматично. Це швидше, зручніше і не дратує відвідувачів.
Чому варто вмикати двофакторну аутентифікацію (2FA)?
2FA захищає навіть у випадку, якщо ваш пароль викрали. Для входу в адмін-панель потрібно ввести додатковий одноразовий код із телефону, що робить злам значно складнішим.
Чи обов’язково встановлювати SSL-сертифікат?
Так. SSL шифрує дані користувачів, захищає логіни і паролі, а також покращує позиції сайту в Google. Безкоштовний варіант — Let’s Encrypt, який можна налаштувати за кілька хвилин.
Як дізнатися, що сайт зламали?
Ознаки зламу: дивний контент, редиректи на сторонні сайти, попередження у браузері або від Google. Використовуйте плагіни моніторингу (Wordfence, Sucuri), щоб вчасно виявляти загрози.
Спасибо, для меня полезная информация.
Спасибо, Федор!
Очередной очень полезный материал! 😛
С уважением,
Маргарита Гись
Спасибо, Маргарита, за отзыв!
С наступающим праздником Вас!
Я Федор сохраняю информацию сайта с помощью WordPress плагинов: WP-DBManager и WordPress Backup, то есть резервные копии файлов (themes.zip, plugins.zip, uploads.zip и база данных) автоматически отправляются на отдельную электронную почту Google.
.
У меня также поставлен плагин, делающий резервные копии сайта и отправляющий их на почту.
Может прийти и битый архив бекапа. Проверять иногда нужно.
Все может быть. Но если ты сохраняешь часто, то просто откатишь немного больше.
Это уже халатность.
Хотя бы в неполном бекапе или в плохой связи.
Так в чем же тогда их ненадежность?
Ненадёжные тоже бекап делают.
Отсюда вывод – надо выбирать надежного хостера.
Можно и хостера попросить это сделать. Они тоже бекапы делают.
Это так же наверное удобно!
И если работает тогда не нужно заморачиваться другим, просто я так думаю нужно иногда заходить на этот почтовый аккаунт и удалять старые бакапы.
Ведь если сайт не маленький то могут быть проблемы даже с Гугловской почтой.
На размер письма везде стоит ограничение. У меня 10Мб. Можно на облако переслать.
А сколько занимает архив? Я смотрю, что у меня пока что объем не очень большой.
Воспитанные люди обычно отвечают на то, что спрашивают у НИХ.
Ваш вопрос сформулирован странно так.
Я же не у вас спрашиваю. Зачем же встревать?
Зачем спрашивать, если Вы сами видите размер своего архива?!
Я тоже хотела это отметить. Большие сайты будут создавать большие архивы. И даже, если сначала они будут проходить, то есть риск, что могут хабанить твой аккаунт. Как говорится, тебе дают бесплатно, но ты. товарищ, не наглей.
Да уж, действительно все делятся на две категории или уже теряли или скоро потеряют если во всем полагаться не на себя))
Спасибо ,Фёдор за полезные статьи и видео. На дропбокесе у меня уже есть логин. Только я не поняла про при семёрки. Что за папка, как её делать и куда вставлять. Не судите строго, я ещё многого не знаю, хотелось бы поподробнее почитать или посмотреть урок. Небольшое замечание: было бы хорошо, если бы видео разворачивалось на весь экран, что бы начинающему сайтостроителю было видно всё, что Вы проделываете мышкой и куда, что пишите.
Видео открыть на весь экран можно на самом сайте http://www.youtube.com откуда идет трансляция, для этого дважды кликните по самой записи и перейдете на страничку youtube,там в правом нижнем углу есть две кнопки раздвинуть экран.
Если же Вы смотрите видео на домашнем компьютере,тогда используйте проигрыватель Media Player Classic Скачать его можно вот по этой ссылке
Теперь насчет прав.
Каталог backup нужно создать на Вашем блоге по адресу //ваш_блог.ру/wp-content/ должно получится //ваш_блог.ру/wp-content/backup и прописать права 777
насчет самих прав на каталоги в одном комментарии не ответить, у меня есть статья прочитайте https://ashifin.com/stati/chmod.html
если что не поймете напишите в комментарии!
Спасибо, Фёдор, за полезную информацию! У меня стоят плагины Akismet и Antispam Bee. В паре очень хорошо работают, спам не беспокоит. Если спам начнёт атаковать, буду иметь в виду плагин, который Вы рекомендуете. По поводу бэкап, доверяю только себе. На хостинге, где находится мой сайт есть функция: заархивировать и закачать. Используя её, закачиваю архив сайта на свой компьютер, после чего проверяю целостность архива, разархивировав его. В последнее время папка wp-content не архивируется нормально. Приходится архивировать по частям, но зато надёжно. Архивирую сама после одного случая, когда однажды заказала бэкап на хостинге, а он на моём компьютере не разархивировался, указав мне название сбойного файла. После этого я разархивировала этот же бэкап на хостинге в рабочей папке, он разархивировался без проблем, но в рабочей папке не оказалось сбойного файла. Я поняла, что когда – то при откате можно не досчитаться нужных файлов, поэтому архивирую и проверяю всё сама.
Надежда, а как часто можно проводить подобные операции по архивированию-разархивированию.
Это, по-моему, колоссально долго?
Действительно, жаль времени, которое можно потратить на более продуктивные дела.
Пожалели минуту. Так можно хоть о чём сказать.
Мы как раз говорили о другом.
Вот цитата: “операции по архивированию-разархивированию это, по-моему, колоссально долго”. Мой ответ – быстро.
Нет, о том, КАК человек это делает
О длительности архивирования-разархивирования.
А вы прочитали, о чем шла речь?
В настройках плагина должна быть опция архивирования бекапа. Занимает по времени минуту.
Резервную копию сайта и так можно сделать и даже обязательно нужно делать. Dropbox толко как вариант.
Но зато, Кали, какой же удобный вариант этот Дропбокс!
Кроме того, что он делает фактически резервную копию на другом компьютере, что очень важно для каждого владельца сайта, да ещё теперь можно работать на ней ив офисе, и дома.
И правда, полезный сервис Dropbox, обязательно нужно использовать его возможности.
А я вот от него отказалась. Полностью удалила все папки. Только они иногда сами напоминают, как своему старому клиенту. Лучше уж использовать более современные облачные сервисы.
Спасибо, полезная информация, но появляются всё новые способы спама.
Жизнь не стоит на месте. Это они так стараются, чтобы блоггеры развивались
тормознулся на трех 777
на видео плохо видно
это через TFT редактор делать
777 – полные права для всех людей. Т.е. права на чтение, запись, исполнение.
Это права доступа к файлу вот подробнее https://ashifin.com/stati/chmod.html
там есть и чем их править.
Безопасность WordPress не сводится к созданию резервной копии и борьбы со спамом. Но на начальном этапе и этого хватит.
А может и вообще хватит этого начального этапа 😛
Да, хватит и этого. Полностью поддерживаю.
Что-то вы сами себе противоречите 😛
Ни в чём не противоречу.
Забываете, что сами сказали 3 дня назад.
Благодаря Вашим советам сейчас почищу свой сайт от комментариев. Спасибо за видео.