Защита WordPress от взломов

<b>Фаервол на WordPress: 5 ошибок, которые открывают сайт для ботов</b>

<b>Фаервол на WordPress: 5 ошибок, которые открывают сайт для ботов</b>

Фаервол полезен только тогда, когда он не мешает нормальному трафику и закрывает лишнее. Типовые промахи:
— ставят правила «запретить всё» и ломают вход в админку, REST, AJAX;
— не исключают кеш и статические файлы, из-за чего растёт нагрузка;
— фильтруют только по IP, а боты меняют адреса;
— забывают про WAF на уровне сервера и ограничиваются плагином.

Настройку лучше строить слоями: сначала ограничить доступ к wp-login.php и xmlrpc.php, потом добавить проверку частоты запросов, затем закрыть подозрительные страны, если это уместно. Для админки полезны отдельные правила на вход только по HTTPS, защита от перебора паролей и блокировка запросов с пустым или странным User-Agent.

Не ставьте слишком жёсткие лимиты на первый день. Сначала включите логирование, посмотрите, что режется, и только потом ужесточайте фильтры. Иначе можно заблокировать поисковых роботов, форму связи или платежные callback-запросы.

Фаервол должен уменьшать шум, а не создавать новые проблемы: проверяйте логи, белые списки и критичные пути после каждой правки.
Этот пост опубликован в Telegram-канале Защита WordPress от взломов. Подписаться можно по ссылке: @wp_security_guard_ww.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.