<b>Фаервол на WordPress: 5 ошибок, которые открывают сайт для ботов</b>
Фаервол полезен только тогда, когда он не мешает нормальному трафику и закрывает лишнее. Типовые промахи:
— ставят правила «запретить всё» и ломают вход в админку, REST, AJAX;
— не исключают кеш и статические файлы, из-за чего растёт нагрузка;
— фильтруют только по IP, а боты меняют адреса;
— забывают про WAF на уровне сервера и ограничиваются плагином.
Настройку лучше строить слоями: сначала ограничить доступ к wp-login.php и xmlrpc.php, потом добавить проверку частоты запросов, затем закрыть подозрительные страны, если это уместно. Для админки полезны отдельные правила на вход только по HTTPS, защита от перебора паролей и блокировка запросов с пустым или странным User-Agent.
Не ставьте слишком жёсткие лимиты на первый день. Сначала включите логирование, посмотрите, что режется, и только потом ужесточайте фильтры. Иначе можно заблокировать поисковых роботов, форму связи или платежные callback-запросы.
Фаервол должен уменьшать шум, а не создавать новые проблемы: проверяйте логи, белые списки и критичные пути после каждой правки.
Защита WordPress от взломов
@wp_security_guard_ww
<b>Фаервол на WordPress: 5 ошибок, которые открывают сайт для ботов</b>
Этот пост опубликован в Telegram-канале Защита WordPress от взломов. Подписаться можно по ссылке: @wp_security_guard_ww.