Страница входа WordPress часто становится целью перебора паролей и автоматических ботов. Защита не должна превращать сайт в неудобный лабиринт, но должна снизить шум и сильно усложнить взлом аккаунта.
Базовая защита
- Используйте уникальный сложный пароль для каждого администратора.
- Удалите старые администраторские аккаунты, которые больше не нужны.
- Включите двухфакторную аутентификацию для администраторов, если возможно.
- Обновляйте WordPress, плагины и темы.
- Не используйте admin как основной логин администратора.
Дополнительные меры
| Мера | Когда помогает |
|---|---|
| Ограничение попыток входа | Снижает перебор паролей. |
| Пароль на wp-admin | Полезно для закрытых сайтов или небольших команд. |
| Allowlist офисных IP | Хорошо для фиксированных офисных IP, но неудобно при частых поездках. |
| Security-плагин | Полезен при аккуратной настройке без дублей правил. |
Осторожно
Не ставьте много security-плагинов, которые делают одно и то же. Пересекающиеся правила могут сломать AJAX, корзину/checkout, формы или REST API.
Защита должна защищать, а не парализовать
Расскажите, как используется сайт и кому нужен доступ в админку. Предложим схему защиты, которая не ломает обычную работу.
Продумать защиту админки