Главная  >  Как защитить WordPress от bruteforce атак

Как защитить WordPress от bruteforce атак

|

Bruteforce атаки остаются одной из самых распространённых угроз для сайтов на WordPress. Злоумышленники пытаются подобрать пароли к админ-панели, используя автоматические скрипты, что может привести к взлому сайта и потере данных. В этой статье разберём несколько эффективных способов защитить ваш WordPress-сайт от bruteforce атак, включая использование плагинов, настройку .htaccess и добавление кода в functions.php.

Почему bruteforce атаки опасны для WordPress

Bruteforce атаки направлены на подбор логина и пароля, чаще всего к учетной записи администратора. Если пароль слишком простой или сайт не защищён дополнительными мерами, злоумышленник может получить полный доступ к сайту. Это может привести к:

  • Установке вредоносного кода;
  • Кражам данных;
  • Потере контроля над сайтом;
  • Падению сайта из-за перегрузки сервера постоянными попытками входа.

Поэтому важно внедрять многоуровневую защиту.

Использование плагинов для защиты от bruteforce атак

Самый простой способ защитить WordPress — установить специализированные плагины. Рассмотрим несколько популярных решений.

1. Limit Login Attempts Reloaded

Этот плагин ограничивает количество неудачных попыток входа и блокирует IP-адреса злоумышленников на заданное время.

  • Легко настраивается;
  • Поддерживает белые списки IP;
  • Отправляет уведомления о блокировках;
  • Имеет статистику попыток.

Установить плагин можно через официальный репозиторий WordPress.

2. WP Cerber Security

Это комплексный плагин безопасности, который кроме защиты от bruteforce атак имеет антиспам и фаервол.

  • Автоматическое ограничение попыток входа;
  • Мониторинг активности пользователей;
  • Возможность блокировки IP по странам;
  • Интеграция с reCAPTCHA.

Рекомендуется для сайтов с высокой нагрузкой и необходимостью комплексной защиты.

Блокировка доступа к странице входа через .htaccess

Если вы используете сервер Apache, можно ограничить доступ к административной панели через файл .htaccess. Это добавляет дополнительный уровень защиты за счёт ограничения IP-адресов, с которых разрешён вход.

# Ограничение доступа к wp-login.php и wp-admin
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.45.67.89
</Files>

<Directory /path/to/wordpress/wp-admin>
    Order Deny,Allow
    Deny from all
    Allow from 123.45.67.89
</Directory>

Замените 123.45.67.89 на ваш IP-адрес. Если у вас динамический IP, этот способ менее удобен, но повышает безопасность.

Добавление двухфакторной аутентификации (2FA)

Двухфакторная аутентификация — это дополнительный уровень безопасности, который требует от пользователя ввести не только пароль, но и код из приложения на смартфоне.

Один из популярных плагинов для 2FA — Two Factor. Его преимущества:

  • Лёгкая настройка;
  • Поддержка нескольких методов (Google Authenticator, email, backup-коды);
  • Совместимость с большинством тем и плагинов.

Установка доступна в официальном каталоге WordPress.

Кастомная блокировка неудачных попыток входа с помощью кода

Если вы хотите минимизировать количество плагинов, можно добавить в functions.php кастомный код, ограничивающий количество попыток входа.

function wptalk_limit_login_attempts() {
    $max_attempts = 5;
    $lockout_time = 15 * 60; // 15 минут
    $ip = $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient('wptalk_login_attempts_' . $ip);

    if (!$attempts) {
        $attempts = 0;
    }

    if ($attempts >= $max_attempts) {
        wp_die('Слишком много попыток входа. Попробуйте позже.');
    }
}

add_action('wp_login_failed', 'wptalk_increase_login_attempts');

function wptalk_increase_login_attempts() {
    $ip = $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient('wptalk_login_attempts_' . $ip);

    if (!$attempts) {
        $attempts = 0;
    }

    $attempts++;
    set_transient('wptalk_login_attempts_' . $ip, $attempts, 15 * 60);
}

add_action('login_init', 'wptalk_limit_login_attempts');

Этот код устанавливает лимит в 5 неудачных попыток входа с одного IP за 15 минут. После превышения лимита доступ временно блокируется.

Советы по выбору надёжных паролей и логинов

Даже самые продвинутые методы защиты не помогут, если пароль слишком простой. Вот несколько советов:

  • Используйте длинные пароли (от 12 символов);
  • Сочетайте буквы, цифры и специальные символы;
  • Избегайте стандартных логинов («admin», «administrator»);
  • Регулярно меняйте пароли;
  • Используйте менеджеры паролей для хранения и генерации сложных паролей.

Использование плагина Clearfy Pro для защиты от bruteforce

Если вы уже используете Clearfy Pro, то в нём есть встроенные инструменты для защиты входа:

  • Ограничение числа попыток входа и блокировка IP;
  • Отключение REST API для неавторизованных пользователей;
  • Автоматическое скрытие ошибок входа для затруднения подбора логинов;
  • Управление доступом к wp-login.php и wp-admin.

Это решение помогает комплексно усилить защиту без необходимости устанавливать дополнительные плагины.

Выводы и рекомендации

Защита от bruteforce атак — обязательный элемент безопасности любого WordPress-сайта. Используйте комплексный подход: настройте ограничения попыток входа, подключите двухфакторную аутентификацию, ограничьте доступ к админке по IP, выбирайте сложные пароли и используйте проверенные плагины.

Внедрение этих мер позволит значительно снизить риски взлома и сохранить ваш сайт в безопасности.

Как создать собственный тип записи (Custom Post Type) в WordPress
07.02.2026
Как отладить и решить ошибки Fatal Error в WordPress
25.01.2026
Как избежать проблем со снижением производительности при массовом импорте продуктов в WooCommerce
13.05.2026
Как изменить URL авторского блога в WordPress
29.03.2026
Оптимизация базы данных WordPress: успешные методы и практические рекомендации
03.12.2025

Последние статьи