Страница входа WordPress часто становится целью перебора паролей и автоматических ботов. Защита не должна превращать сайт в неудобный лабиринт, но должна снизить шум и сильно усложнить взлом аккаунта.
Базовая защита
- Используйте уникальный сложный пароль для каждого администратора.
- Удалите старые администраторские аккаунты, которые больше не нужны.
- Включите двухфакторную аутентификацию для администраторов, если возможно.
- Обновляйте WordPress, плагины и темы.
- Не используйте admin как основной логин администратора.
Дополнительные меры
| Мера | Когда помогает |
|---|---|
| Ограничение попыток входа | Снижает перебор паролей. |
| Пароль на wp-admin | Полезно для закрытых сайтов или небольших команд. |
| Allowlist офисных IP | Хорошо для фиксированных офисных IP, но неудобно при частых поездках. |
| Security-плагин | Полезен при аккуратной настройке без дублей правил. |
Осторожно
Не ставьте много security-плагинов, которые делают одно и то же. Пересекающиеся правила могут сломать AJAX, корзину/checkout, формы или REST API.
Действия с приоритетом безопасности
- Обновите ядро WordPress, темы и плагины.
- После инцидента смените пароли wp-admin, FTP, базы и панели хостинга.
- Проверьте неизвестных администраторов и подозрительные файлы.
- Чистый бэкап делайте только после удаления заражения.
Чеклист инцидента безопасности
- Не удаляйте подозрительные файлы до сохранения копии для анализа.
- После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
- Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
- Обновите ядро CMS, темы и плагины.
- Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.
Как действовать с WordPress безопасно
Перед изменениями WordPress важно иметь свежую копию файлов и базы данных. Многие ошибки появляются после обновления плагина, темы, PHP-версии или изменения настроек кэша.
- проверьте версию PHP и совместимость плагинов;
- перед обновлениями сделайте backup;
- при белом экране проверьте error_log;
- отключайте проблемные плагины по одному;
- не храните старые архивы и копии сайта в публичной папке.
Если сайт коммерческий, лучше сначала проверить изменения на тестовой копии, а затем переносить их на рабочий сайт.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Как защитить админку WordPress от перебора паролей и лишних входов», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
