Аудит безопасности и технических настроек WordPress: что и зачем мы проверяем

WordPress — самая популярная система управления сайтами, но и одна из самых часто атакуемых. Даже если у вас отличный контент и быстрый хостинг, уязвимости могут появиться из-за неправильных настроек, забытых файлов или устаревших плагинов.

FastRank помогает выявить критические ошибки в безопасности и конфигурации вашего WordPress-сайта — даже если вы не разработчик.

Что именно проверяет аудит WordPress от FastRank?

1. Версия WordPress

• Что проверяется:
  
  Наличие и актуальность установленной версии движка.
• Хорошо:
  
  Установлена актуальная (последняя) версия WordPress.
• Плохо:
  
  Устаревшая версия — высокая вероятность взлома через известные дыры.
• Как исправить:
  
  Сделать резервную копию и обновить WordPress до последней версии через админку или вручную.

2. Доступность служебных файлов (readme.html, wp-login.php, wp-admin/, xmlrpc.php, wp-config-sample.php, .env, .git/config и др.)

• Что проверяется:
  
  Открыт ли к публичному просмотру ряд файлов, которые не должны быть доступны в интернете.
• Хорошо:
  
  Все чувствительные файлы закрыты (выдают ошибку 403/404), или отсутствуют.
• Плохо:
  
  Файл/папка открыты — злоумышленник может узнать техническую информацию, скачать бэкап или получить доступ к конфиденциальным данным.
• Как исправить:
  Удалить ненужные файлы (readme.html, wp-config-sample.php, .env, .git, бэкапы, дампы базы).
  Ограничить доступ к служебным файлам через .htaccess (Apache) или location-блок в nginx.
  Настроить права файлов (CHMOD) — для файлов 644, для папок 755.

3. Открытость папок (Directory Listing)

• Что проверяется:
  
  Доступен ли список файлов внутри папок, например, /wp-content/uploads/.
• Хорошо:
  
  При переходе в папку — ошибка или редирект, список файлов не отображается.
• Плохо:
  
  Можно посмотреть/скачать любые загруженные файлы, включая приватные материалы, резервные копии и временные файлы.
• Как исправить:
  Отключить Directory Listing в настройках веб-сервера (в .htaccess добавить: Options -Indexes).
  Убедиться, что нет доступа к системным папкам и загрузкам без авторизации.

4. Тема и плагины

• Что проверяется:
  Определяется используемая тема и список обнаруженных плагинов на сайте.
  Выявляются плагины, которые часто имеют уязвимости.
• Хорошо:
  Тема и плагины обновлены до последней версии.
  Нет подозрительных и заброшенных расширений.
• Плохо:
  Есть устаревшие или малоизвестные плагины.
  Используется тема без поддержки или взломанная версия (“нуллед”).
• Как исправить:
  Всегда обновляйте темы и плагины до последних версий.
  Используйте только проверенные решения из официального каталога WordPress.
  Удаляйте неиспользуемые плагины и темы.

5. Перечисление пользователей через /?author=1

• Что проверяется:
  
  Можно ли узнать логины/имена пользователей сайта с помощью запроса вида site.ru/?author=1.
• Хорошо:
  
  При попытке получить автора не отображается его имя/логин, нет перенаправления на /author/username/.
• Плохо:
  
  Система отдаёт имя пользователя — упрощается подбор пароля и атаки типа brute force.
• Как исправить:
  Отключить перенаправление на /author/ через функции в functions.php или плагинами безопасности (например, Disable Author Archives).
  Изменить “логин” основного пользователя на уникальный, не совпадающий с видимым именем на сайте.

6. Наличие и настройка ЧПУ (человекопонятных URL, Permalinks)

• Что проверяется:
  
  Используются ли “красивые” URL без параметров (?p=123 или ?page_id=1).
• Хорошо:
  
  Все внутренние ссылки на записи/страницы выглядят как /post-title/ или /category/post-title/.
• Плохо:
  
  Ссылки с параметрами (?p=, ?page_id=), либо есть микс форматов — это мешает SEO и затрудняет индексацию.
• Как исправить:
  В админке WordPress откройте “Настройки → Постоянные ссылки”, выберите “Название записи” или подходящий шаблон.
  После смены — проверьте работу всех старых ссылок и настройте 301-редиректы при необходимости.

7. SEO-плагины

• Что проверяется:
  
  Установлены ли популярные SEO-плагины (Yoast SEO, All in One SEO, Rank Math и др.).
• Хорошо:
  
  Есть один из этих плагинов — базовые SEO-настройки и микроразметка обеспечены.
• Плохо:
  
  Нет SEO-плагина — базовые SEO-механики не настроены, сайт может индексироваться хуже.
• Как исправить:
  Установить один из популярных SEO-плагинов.
  Настроить для каждой страницы уникальный Title, Description, OG-метки, хлебные крошки и микроразметку.

Лучшие практики для настройки и защиты WordPress

1. Обновляйте WordPress, темы и плагины сразу после выхода обновлений.
2. Удаляйте неиспользуемые и заброшенные расширения.
3. Ограничьте доступ к панели управления по IP или с помощью двухфакторной аутентификации.
4. Закройте доступ к чувствительным служебным файлам через .htaccess/nginx.
5. Проверяйте права на файлы и папки:
   Файлы — 644 (только владелец может писать)
   Папки — 755 (только владелец может писать)
   Никогда не используйте 777!
6. Отключайте отображение ошибок и сообщений отладки на продакшене.
7. Делайте регулярные бэкапы (и не храните их в открытых папках сайта).
8. Используйте плагины для базовой защиты (Wordfence, iThemes Security и т.д.).
9. Отключите XML-RPC, если не используете его для публикации через мобильные приложения.
10. Проверьте доступность сайта через мобильные и десктопные устройства — многие уязвимости связаны с неверной работой тем/плагинов на разных устройствах.

Итог

Аудит WordPress — это ваш “щит” против взлома, санкций поисковых систем и случайных ошибок.

Регулярно проверяйте сайт, исправляйте найденные проблемы и следуйте рекомендациям — и ваш сайт будет не только быстрым, но и безопасным!

FastRank — ваш эксперт по технической безопасности и SEO!

Если остались вопросы — задайте их нашему сообществу или напишите в поддержку сервиса.