Как защитить WordPress от bruteforce-атак с помощью плагинов и кода

Автор: Диана Морозова | Опубликовано: 24.12.2025

Что такое bruteforce-атаки и почему они опасны для WordPress

Bruteforce-атаки — это попытки злоумышленников подобрать логин и пароль методом перебора всех возможных вариантов. В случае WordPress это может привести к взлому сайта, потере данных и ухудшению репутации. Сайты на WordPress особенно уязвимы из-за популярности платформы и стандартных настроек, которые часто остаются без изменений.

Атаки могут быть как массовыми, так и целевыми, и часто их проводят с помощью ботнетов или скриптов, которые автоматизируют процесс подбора паролей. Поэтому защита от bruteforce — важный элемент безопасности любого WordPress-сайта.

В этой статье мы рассмотрим, как защитить ваш сайт от подобных атак с помощью популярных плагинов и кастомного кода, а также расскажем о дополнительных мерах безопасности.

Защита WordPress от bruteforce с помощью плагинов

Плагин Limit Login Attempts Reloaded

Один из самых эффективных и простых в настройке плагинов — Limit Login Attempts Reloaded. Он ограничивает количество неудачных попыток входа и временно блокирует IP-адреса злоумышленников.

Преимущества:

Легко настраивается прямо из админки WordPress.
Поддерживает уведомления на почту при блокировках.
Можно настроить белый список IP, чтобы исключить блокировки своих адресов.

Для установки:

Перейдите в раздел «Плагины» → «Добавить новый».
Введите в поиске «Limit Login Attempts Reloaded».
Установите и активируйте плагин.
Настройте количество попыток и время блокировки в разделе настроек плагина.

Плагин WPBruiser

WPBruiser — мощный антиспам и антибрутфорс плагин, который не использует капчу, что обеспечивает лучший пользовательский опыт.

Особенности:

Блокирует автоматические попытки входа, регистрации и отправки форм.
Поддерживает блокировку по IP и временные блокировки.
Совместим с WooCommerce и другими популярными плагинами.

Установка и настройка аналогична предыдущему плагину, после чего защита будет работать сразу без сложных конфигураций.

Реализация защиты от bruteforce с помощью кода

Ограничение количества попыток входа через функции темы или плагин

Если вы хотите обойтись без плагинов, можно добавить простой код в файл functions.php вашей темы или создать собственный мини-плагин. Пример функции, ограничивающей количество попыток входа:

function wppremium_limit_login_attempts() {
    session_start();
    $max_attempts = 5; // Максимальное число попыток
    $lockout_time = 15 * 60; // Время блокировки в секундах (15 минут)

    if (!isset($_SESSION['login_attempts'])) {
        $_SESSION['login_attempts'] = 0;
        $_SESSION['last_attempt_time'] = time();
    }

    if (time() - $_SESSION['last_attempt_time'] > $lockout_time) {
        $_SESSION['login_attempts'] = 0;
    }

    if ($_SESSION['login_attempts'] >= $max_attempts) {
        wp_die('Слишком много попыток входа. Попробуйте позже.');
        exit;
    }
}
add_action('wp_login_failed', 'wppremium_limit_login_attempts');

function wppremium_record_login_attempt() {
    session_start();
    $_SESSION['login_attempts']++;
    $_SESSION['last_attempt_time'] = time();
}
add_action('wp_login_failed', 'wppremium_record_login_attempt');

Этот код отслеживает количество попыток входа в сессии пользователя и блокирует дальнейшие попытки при превышении лимита. Минус — сессии зависят от браузера, поэтому атакующий может менять IP или браузеры.

Блокировка IP с помощью .htaccess

Для дополнительной защиты можно блокировать IP, с которых зафиксированы многочисленные попытки входа. Пример кода для файла .htaccess:

# Блокировка IP
<RequireAll>
    Require all granted
    Require not ip 123.456.789.000
    Require not ip 111.222.333.444
</RequireAll>

Адреса IP необходимо подставлять вручную после анализа логов. Для автоматизации лучше использовать плагины или внешние сервисы.

Дополнительные меры безопасности против bruteforce-атак

Использование двухфакторной аутентификации

Двухфакторная аутентификация (2FA) значительно повышает безопасность входа. Даже если пароль будет подобран, без второго фактора доступ к сайту получить нельзя.

Рекомендуемые плагины для 2FA:

Clearfy Pro — содержит встроенные инструменты безопасности, включая 2FA.
Google Authenticator — популярный и бесплатный плагин для 2FA.

Изменение URL страницы входа

Стандартный URL входа в WordPress — /wp-login.php или /wp-admin. Злоумышленники нацеливаются именно на эти страницы. Изменение URL входа усложняет автоматизированные атаки.

Для этого можно использовать плагин Clearfy Pro или бесплатные решения, например, WPS Hide Login. Просто укажите новый URL для входа, и старая страница станет недоступной.

Использование надежных паролей и регулярная смена

Самая простая, но эффективная мера — использовать сложные пароли с буквами разных регистров, цифрами и символами. Рекомендуется менять пароли хотя бы раз в полгода и не использовать одинаковые пароли для разных сервисов.

Выводы и рекомендации по защите от bruteforce в WordPress

Для комплексной защиты сайта от bruteforce-атак используйте комбинацию методов: лимит попыток входа, двухфакторную аутентификацию, изменение URL входа и надежные пароли. Плагины Limit Login Attempts Reloaded и WPBruiser предоставляют готовые решения, которые легко интегрируются.

Если хочется минимизировать количество плагинов, можно добавить базовую защиту через код, но она менее надежна и требует доработок. Для большинства проектов оптимальным вариантом будет использовать готовые проверенные плагины из репозитория WordPress или решения от WPSHOP.

Не забывайте регулярно обновлять WordPress, темы и плагины, а также следить за логами безопасности, чтобы быстро реагировать на подозрительную активность.