<b>Фаервол для WordPress не спасает сам по себе: 5 ошибок настройки</b>

<b>Фаервол для WordPress не спасает сам по себе: 5 ошибок настройки</b>

Фаервол полезен только тогда, когда он не мешает нормальной работе сайта и реально режет лишний трафик. Самые частые промахи:
— включают защиту и не проверяют админку, поиск, формы и REST API;
— ставят слишком жёсткие правила и получают ложные блокировки;
— доверяют только облачному фильтру, забывая про серверный уровень;
— не ведут логирование, поэтому не понимают, что именно атакуют.

Хорошая настройка начинается с разделения запросов: публичные страницы, вход в админку, API и загрузки файлов должны обрабатываться по-разному. Отдельно ограничьте частые точки атаки: wp-login, xmlrpc, POST-запросы к формам, подозрительные user-agent и всплески по одному IP. Если есть CDN, согласуйте правила с ним, иначе часть защиты будет обходиться.

Не отключайте уведомления о блокировках. Логи фаервола — это не мусор, а карта атак: по ним видно, какие URL сканируют, где подбирают пароли и какие боты маскируются под браузер. Ещё одна ошибка — забыть про белые списки для своих сервисов: мониторинга, платёжных шлюзов, почтовых провайдеров. Без этого защита начинает бить по собственным процессам.

Проверьте фаервол на тестовом трафике, затем на реальной нагрузке: если сайт стал медленнее или начал терять легитимные запросы, правила нужно упростить. Лучше меньше, но точнее: блокируйте повторяющиеся шаблоны атак, а не весь входящий поток.