Аудит безопасности и технических настроек WordPress: что и зачем мы проверяем

  • fastrank.ru
  • 31.05.2025
  • FAQ
Аудит безопасности и технических настроек WordPress: что и зачем мы проверяем

Аудит безопасности и технических настроек WordPress: что и зачем мы проверяем

WordPress — самая популярная система управления сайтами, но и одна из самых часто атакуемых. Даже если у вас отличный контент и быстрый хостинг, уязвимости могут появиться из-за неправильных настроек, забытых файлов или устаревших плагинов.
FastRank помогает выявить критические ошибки в безопасности и конфигурации вашего WordPress-сайта — даже если вы не разработчик.

Что именно проверяет аудит WordPress от FastRank?

1. Версия WordPress

  • Что проверяется: наличие и актуальность установленной версии движка.
  • Хорошо: установлена актуальная (последняя) версия WordPress.
  • Плохо: устаревшая версия — высокая вероятность взлома через известные дыры.
  • Как исправить: сделать резервную копию и обновить WordPress до последней версии через админку или вручную.

2. Доступность служебных файлов

  • Что проверяется: открыт ли к публичному просмотру ряд файлов, которые не должны быть доступны в интернете: readme.html, wp-login.php, wp-admin/, xmlrpc.php, wp-config-sample.php, .env, .git/config и др.
  • Хорошо: все чувствительные файлы закрыты (выдают ошибку 403/404) или отсутствуют.
  • Плохо: файл/папка открыты — злоумышленник может узнать техническую информацию, скачать бэкап или получить доступ к конфиденциальным данным.
  • Как исправить:
    • Удалить ненужные файлы (readme.html, wp-config-sample.php, .env, .git, бэкапы, дампы базы).
    • Ограничить доступ к служебным файлам через .htaccess (Apache) или location-блок в nginx.
    • Настроить права файлов (CHMOD) — для файлов 644, для папок 755.

3. Открытость папок (Directory Listing)

  • Что проверяется: доступен ли список файлов внутри папок, например, /wp-content/uploads/.
  • Хорошо: при переходе в папку — ошибка или редирект, список файлов не отображается.
  • Плохо: можно посмотреть/скачать любые загруженные файлы, включая приватные материалы, резервные копии и временные файлы.
  • Как исправить:
    • Отключить Directory Listing в настройках веб-сервера (в .htaccess добавить: Options -Indexes).
    • Убедиться, что нет доступа к системным папкам и загрузкам без авторизации.

4. Тема и плагины

  • Что проверяется: определяется используемая тема и список обнаруженных плагинов на сайте. Выявляются плагины, которые часто имеют уязвимости.
  • Хорошо: тема и плагины обновлены до последней версии. Нет подозрительных и заброшенных расширений.
  • Плохо: есть устаревшие или малоизвестные плагины. Используется тема без поддержки или взломанная версия (“нуллед”).
  • Как исправить:
    • Всегда обновляйте темы и плагины до последних версий.
    • Используйте только проверенные решения из официального каталога WordPress.
    • Удаляйте неиспользуемые плагины и темы.

5. Перечисление пользователей через /?author=1

  • Что проверяется: можно ли узнать логины/имена пользователей сайта с помощью запроса вида site.ru/?author=1.
  • Хорошо: при попытке получить автора не отображается его имя/логин, нет перенаправления на /author/username/.
  • Плохо: система отдаёт имя пользователя — упрощается подбор пароля и атаки типа brute force.
  • Как исправить:
    • Отключить перенаправление на /author/ через функции в functions.php или плагинами безопасности (например, Disable Author Archives).
    • Изменить “логин” основного пользователя на уникальный, не совпадающий с видимым именем на сайте.

6. Наличие и настройка ЧПУ (Permalinks)

  • Что проверяется: используются ли “красивые” URL без параметров (?p=123 или ?page_id=1).
  • Хорошо: все внутренние ссылки на записи/страницы выглядят как /post-title/ или /category/post-title/.
  • Плохо: ссылки с параметрами (?p=, ?page_id=), либо есть микс форматов — это мешает SEO и затрудняет индексацию.
  • Как исправить:
    • В админке WordPress откройте “Настройки → Постоянные ссылки”, выберите “Название записи” или подходящий шаблон.
    • После смены — проверьте работу всех старых ссылок и настройте 301-редиректы при необходимости.

7. SEO-плагины

  • Что проверяется: установлены ли популярные SEO-плагины (Yoast SEO, All in One SEO, Rank Math и др.).
  • Хорошо: есть один из этих плагинов — базовые SEO-настройки и микроразметка обеспечены.
  • Плохо: нет SEO-плагина — базовые SEO-механики не настроены, сайт может индексироваться хуже.
  • Как исправить:
    • Установить один из популярных SEO-плагинов.
    • Настроить для каждой страницы уникальный Title, Description, OG-метки, хлебные крошки и микроразметку.

Лучшие практики для настройки и защиты WordPress

  • Обновляйте WordPress, темы и плагины сразу после выхода обновлений.
  • Удаляйте неиспользуемые и заброшенные расширения.
  • Ограничьте доступ к панели управления по IP или с помощью двухфакторной аутентификации.
  • Закройте доступ к чувствительным служебным файлам через .htaccess/nginx.
  • Проверяйте права на файлы и папки: 644 для файлов, 755 для папок.
  • Никогда не используйте 777!
  • Отключайте отображение ошибок и сообщений отладки на продакшене.
  • Делайте регулярные бэкапы (и не храните их в открытых папках сайта).
  • Используйте плагины для базовой защиты (Wordfence, iThemes Security и т.д.).
  • Отключите xmlrpc.php, если не используете для публикации через мобильные приложения.
  • Проверьте доступность сайта через мобильные и десктопные устройства — многие уязвимости связаны с неверной работой тем/плагинов на разных устройствах.

Рекомендации FastRank по исправлению проблем

Проблема Как исправить
Устаревшая версия WP Сделайте бэкап → обновите WordPress через админку или вручную
Открытые служебные файлы Удалите файл/папку или ограничьте доступ через .htaccess/nginx
Directory Listing В .htaccess: Options -Indexes или настройте сервер на запрет показа
Перечисление авторов Смените логин админа, отключите author archives
Не включены ЧПУ Включите “Постоянные ссылки” в настройках WP
Нет SEO-плагинов Установите и настройте Yoast SEO/Rank Math/All in One SEO
Необновлённые плагины Удалите или обновите расширения, пользуйтесь только проверенными
Открыта xmlrpc.php Отключите через плагин или .htaccess, если не используете

Итог

Аудит WordPress — это ваш “щит” против взлома, санкций поисковых систем и случайных ошибок.
Регулярно проверяйте сайт, исправляйте найденные проблемы и следуйте рекомендациям — и ваш сайт будет не только быстрым, но и безопасным!

FastRank — ваш эксперт по технической безопасности и SEO!
Если остались вопросы — задайте их нашему сообществу или напишите в поддержку сервиса.