Как защитить сайт на wordpress от взлома? Я знаком с двумя плагинами: «S.A.F » и «All In One Wp Security». Первый вариант в бесплатной версии предлагает только минимальные возможности защиты (у меня с этим плагином взломали медицинский сайт). Дополнительные настройки только в премиум версии. Второй плагин оправдал все надежды. В нем нет ограничений в опциях защиты. Наоборот, в главной панели плагин показывает максимально возможный и ваш текущий процент защиты.

Настройка плагина All In One Wp Security

Плагин устанавливается как и все остальные — прямо в админ. панели. После установки он доступен в общем меню:
Панель приборов показывает степень защищенности сайта, количество попыток взлома и количество активных пользователей:
В меню «Грубая сила» (Brute Force) можно сменить путь для входа в панель администратора с site/wp-admin на другой адрес: site/ваш-вариант. Так будет труднее попасть на страницу входа.
В пункте «Разное»  (Miscellaneous) есть опция отключения правого клика на сайте. Это огромный плюс:
  • код сайта уже не открыть простым нажатием правой кнопки
  • труднее скопировать текст и медиафайлы

Безопасность базы данных — убрать префикс «wp» чтобы было труднее увидеть, на какой платформе сайт.

Файловая защита — убрать возможность редактирования файлов php с административной панели wordpress.

Логин пользователя (User Login) — указать количество неудачных попыток входа, после которых ip пользователя будет заблокирован. Указать время таких попыток, период блокировки адреса пользователя ( по умолчанию указана одна минута, я ставлю минимум месяц). Также здесь можно указать свою почту, куда будут приходить сообщения о попытках взлома сайта.
Это базовые настройки. Но в плагине есть множество других функций защиты. С ними надо быть осторожными, лучше делать бэкап сайта перед включением глубокой защиты.
 При создании нового сайта не надо забывать сменить логин с «admin» на более сложный. Это обязательно.

А теперь самое сочное

Можно вообще обойтись от всего выше написанного. Делаем ход конем. Заходим в раздел «защита от брутфорс-атак», нажимаем сверху вкладку «белый список для логина», ставим галочку напротив надписи «Отметьте этот чекбокс, если Вы хотите пользоваться белым списком избранных IP-адресов ниже» и вводим IP нужных нам компьютеров. Теперь вход возможен только с выбранных адресов.

Эта статья — результат моих проб и огромных ошибок. Два года назад сайт моих клиентов «Мій Лікар» после взлома пришлось целый год подымать и переделывать с ноля. Это был дикий ужас. По этому, крайне рекомендую статью о защите сайта на блоге Александра Борисова.

Защита сайта от взлома с помощью хостинга

Выбирать надо хостинг с хорошей защитой от SQL инъекций. В нем уже есть списки таких sql запросов, которые сразу блокируются. Кроме того, неплохо поставить двух этапную авторизацию на самом хостинге (могут взломать вашу админку и тогда капец полный).