<b>Фаервол для WordPress не спасает сам по себе — вот 5 ошибок настройки</b>
Фаервол полезен только тогда, когда он не ломает сайт и реально режет мусор. Частая ошибка — включить защиту «на максимум» и забыть про логи. Итог: админка тормозит, REST API отваливается, а атаки продолжаются через другой путь.
Проверьте базу:
— разрешены только нужные методы и пути;
— отдельно защищены /wp-login.php и /xmlrpc.php;
— ограничены частые запросы к одному IP;
— включено логирование блокировок, а не только сам блок;
— исключены легитимные боты, платежные и почтовые сервисы.
Вторая типовая ошибка — полагаться только на сигнатуры. Фаервол должен сочетаться с лимитами на попытки входа, проверкой заголовков, отключением лишних REST-эндпоинтов и фильтрацией подозрительных POST-запросов. Если защита видит атаку, но не умеет быстро ее замедлить, она работает наполовину.
После настройки сделайте тест: попробуйте войти с неверным паролем несколько раз, открыть закрытый путь, отправить пустой POST на чувствительный эндпоинт. Если блокировка есть, а сайт остается быстрым — конфигурация близка к норме.
Хороший фаервол не заметен для своих и жестко режет чужих. Начинайте с малого, проверяйте логи и добавляйте правила только там, где они действительно нужны.
Защита WordPress от взломов
@wp_security_guard_ww
<b>Фаервол для WordPress не спасает сам по себе — вот 5 ошибок настройки</b>
Этот пост опубликован в Telegram-канале Защита WordPress от взломов. Подписаться можно по ссылке: @wp_security_guard_ww.