Честно говоря — когда ты в последний раз задумывался о безопасности своего WordPress? Шесть месяцев назад? Год назад? Если ты читаешь эту статью, вероятно, прямо сейчас. И это хорошо.
Sucuri в своем Hacked Website Report 2025 обнаружил нечто тревожное: ежедневно подвергаются атакам более 90 000 сайтов на WordPress. Wordfence блокирует через свою Threat Intelligence около 4 миллиардов попыток входа в месяц.
Те, кто правильно выполняет следующие 12 пунктов, входят в топ 5% операторов WordPress с точки зрения безопасности. Плохая новость: это займет полдня работы. Хорошая: после этого ты будешь спать спокойнее.
Пункт 1 — Изменение URL входа и активация 2FA
Standardmäßig erreichst du dein WordPress-Backend unter /wp-admin или /wp-login.php. Das weiß jeder Bot dieser Welt.
Mit Plugins wie WPS Hide Login oder Solid Security änderst du den Pfad zu etwas wie /zugang-2026-xyz. Brute-Force-Bots laufen ab diesem Moment ins Leere.
Второй шаг: двухфакторная аутентификация. Не через SMS — после скандала с SIM-Swap в 2024 году это окончательно устарело. Используй TOTP-приложения, такие как Authy, или YubiKey.
Пункт 2 — Wordfence vs Solid Security
Wordfence остается сильным в обнаружении угроз в реальном времени. Бесплатная версия задерживает новые сигнатуры на 30 дней. Для продуктивных сайтов это не лучший вариант.
Solid Security (бывший iThemes Security) с момента ребрендинга в 2024 году значительно улучшился. Потребляет заметно меньше серверных ресурсов, чем Wordfence.
Мой совет: Wordfence Premium для сайтов с высоким риском (магазины, членство). Solid Security Pro для классических бизнес-сайтов и блогов.
Пункт 3 — Обновления: что автоматически, что вручную?
Automatisch: WordPress Core Minor- und Security-Releases, Sprachpakete, kleinere Plugins ohne kommerzielle Funktion.
Manuell prüfen: Major-Versionen von WordPress, WooCommerce, Elementor Pro, Yoast/Rank Math, Theme-Updates.
Ein automatisches Update von WooCommerce auf einer Live-Seite mit 200 Bestellungen pro Tag kann dich fünfstellig kosten. Lösung: Staging-System nutzen oder unsere WordPress-Wartungspakete.
Пункт 4 — Резервные копии по правилу 3-2-1
3 копии твоих данных. 2 различных носителя. 1 копия в удаленном месте.
Конкретно: оригинальный сайт на веб-сервере, ежедневная резервная копия у хостера, еженедельная внешняя резервная копия на S3 или Backblaze B2.
Плагины: UpdraftPlus Premium, BackWPup Pro (немецкий провайдер), WP Time Capsule для инкрементальных резервных копий.
Важнее, чем плагин: тестируй свои резервные копии. Минимум раз в квартал. Резервные копии, которые никогда не тестировались, статистически на 30% дефектны.
Пункт 5 — Правильная настройка SSL и HSTS
Ein Let’s-Encrypt-Zertifikat reicht 2026 nicht mehr. Du brauchst auch HSTS.
In .htaccess:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
SSL-Test bei SSL Labs durchführen. Du willst mindestens A+. Mehr dazu auch in unserem Beitrag zur SEO-оптимизация.
Пункт 6 — Защита wp-config.php
Три конкретных шага:
Erstens, Datei verschieben. WordPress sucht wp-config.php automatisch eine Ebene über dem Stammverzeichnis. Verschiebe sie aus /public_html/ nach /.
Во-вторых, сгенерируйте новые соли через api.wordpress.org/secret-key/1.1/salt/.
В-третьих, отключите редактор файлов:
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
Пункт 7 — Установка правильных разрешений на файлы
Каталоги: 755. Файлы: 644. wp-config.php: 600 или 640.
Через SSH:
find /pfad/zu/wordpress -type d -exec chmod 755 {} \;
find /pfad/zu/wordpress -type f -exec chmod 644 {} \;
chmod 600 /pfad/zu/wordpress/wp-config.php
Пункт 8 — Блокировка XML-RPC
XML-RPC была хорошей идеей в 2003 году. В 2026 году это кошмар безопасности. Через интерфейс можно объединить 1000 попыток входа в одном HTTP-запросе.
In .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Пункт 9 — Защита от Brute-Force с ограничением скорости
Brute-Force-Angriffe haben sich verändert. Statt klassischer Wörterbuch-Attacken sehen wir 2026 zunehmend „Slow-Burn“-Versuche — drei Logins pro Stunde von 500 verschiedenen IPs.
In Solid Security Pro: „Local Brute Force Protection“ und „Network Brute Force Protection“ auf strengste Stufe. Auf Server-Ebene: Fail2Ban. Cloudflare Bot Fight Mode in der kostenlosen Version filtert bereits 80% der bekannten Brute-Force-Bots.
Пункт 10 — Изменение префикса базы данных
Standardmäßig nutzt WordPress das Tabellen-Präfix wp_. SQL-Injection-Versuche zielen auf genau diesen String ab.
Bei Neuinstallation: In der wp-config.php $table_prefix = 'xy42_'; setzen.
При существующем сайте: Использовать плагин Brozzme DB Prefix. Предварительно сделать полную резервную копию.
Пункт 11 — Заголовки безопасности
In .htaccess:
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Header always set Content-Security-Policy "upgrade-insecure-requests"
Test danach auf securityheaders.com. Du willst mindestens A. Wichtig für DSGVO-Compliance.
Пункт 12 — Мониторинг и реагирование на инциденты
Мониторинг на трех уровнях:
Мониторинг времени работы über UptimeRobot oder Better Uptime. Sagt dir innerhalb von 60 Sekunden Bescheid, wenn deine Seite offline geht.
File-Integrity-Monitoring über Wordfence oder Solid Security. Speichert Hashes aller Core-Dateien und schlägt Alarm bei Änderungen.
Log-Monitoring über Logflare, Better Stack oder Papertrail. Analysiert Server-Logs in Echtzeit.
Напишите план реагирования на инциденты. Кого вы сначала позвоните? Где хранятся резервные копии? Кто информирует клиентов? Три страницы формата A4 достаточно — но они должны существовать до того, как что-то произойдет.
Часто задаваемые вопросы
Как часто я должен проверять безопасность WordPress?
Полный аудит раз в квартал. Обновления плагинов еженедельно. Логи ежедневно, по крайней мере выборочно.
Достаточно ли одного плагина безопасности?
Нет. Плагины охватывают уровень приложения. Конфигурация сервера, резервные копии и заголовки требуют отдельных мер.
Сколько стоит профессиональная настройка безопасности?
Разовая защита от 400 до 1500 евро. Текущее обслуживание с мониторингом от 49 евро в месяц.
Что делать, если мой сайт все же был взломан?
Немедленно отключите от сети. Восстановите резервную копию с последнего чистого момента. Сгенерируйте новые пароли и соли. При наличии персональных данных: в течение 72 часов уведомление о GDPR в надзорный орган.
Какой хостинг самый безопасный?
Управляемые WordPress-хостеры, такие как Kinsta, WP Engine или Cloudways, предлагают лучшую серверную защиту.
Нужен ли мне дополнительно Cloudflare?
Рекомендуется. Cloudflare блокирует уже на уровне Edge — до того, как вредоносный трафик достигнет вашего сервера.
Как определить, была ли моя страница скомпрометирована?
Plötzliche Geschwindigkeits-Einbrüche. Unbekannte Admin-User. Spam-Pop-ups, die nur Besucher ohne Login sehen. Google Search Console meldet „Website wurde gehackt“.
Аудит безопасности для вашего WordPress-сайта
В течение 48 часов вы получите: Полный анализ уязвимостей, конкретные рекомендации по действиям, приоритизированные по риску, опционально полное выполнение всех 12 пунктов нашей командой.
Цены от 290 евро без НДС за чистый аудит, от 890 евро без НДС за аудит плюс усиление.
Последнее: безопасность дешевле, чем ущерб. Средний взлом WordPress стоит среднему бизнесу, по данным IBM Cost of a Data Breach Report 2025, около 14 300 евро.