Ежедневно хакеры атакуют более 30 000 сайтов на WordPress. Если у вас интернет-магазин на WooCommerce — вы в зоне повышенного риска: утечка данных клиентов, блокировка сайта или кража денег могут уничтожить бизнес.
В этом подробном руководстве — пошаговая инструкция по защите WordPress и WooCommerce, основанная на реальном опыте хостинг-провайдеров и экспертов по кибербезопасности.
🔒 Почему WooCommerce-сайты взламывают чаще?
1. Базы данных с платежами (номера карт, emails, телефоны)
2. Уязвимости в плагинах (особенно nulled-версиях)
3. Слабая защита админки (логин admin / пароль 12345)
4. DDoS-атаки (магазины часто выбивают из работы)
👉 Проверьте свой сайт прямо сейчас:
🚨 15+ обязательных мер безопасности
1. Выбор безопасного хостинга
Что искать:
✔ Защита от DDoS** (Cloudflare, Imunify360)
✔ Ежедневные бэкапы** (автовосстановление при атаке)
✔ Изоляция аккаунтов (чтобы взлом соседа не затронул вас)
Лучшие варианты:
— Kinsta (Google Cloud + аппаратные файерволы)
— WP Engine (автоматические обновления ядра)
— Rackspace (для крупных магазинов)
2. Защита входа в админку
Что делать:
✅ Сменить URL /wp-admin/ (плагин WPS Hide Login)
✅ Включить двухфакторную аутентификацию (Google Authenticator)
✅ Ограничить попытки входа (Wordfence → 3 ошибки = блок на 1 час)
Важно: Удалите пользователя admin (если есть).
3. Обновления — основа защиты
Что обновлять ВСЕГДА:
— WordPress (ядро)
— WooCommerce и все плагины
— Тему (особенно популярные вроде Astra, Avada)
Плагин для автоматизации:
— Easy Updates Manager (можно настраивать политики)
4. Защита WooCommerce (особые риски)
Главные угрозы:
— Поддельные заказы
— Кража купонов
— SQL-инъекции через формы
Как защититься:
✔ Включить капчу в оформлении (Google reCAPTCHA v3)
✔ Проверять платежи вручную (для дорогих товаров)
✔ Отключить ненужные API (WooCommerce → Настройки → Advanced → REST API)
5. Безопасность платежей
Никогда не храните:
— Номера карт
— CVV-коды
— Полные данные клиентов
Решение:
✅ Официальные платежные шлюзы (Stripe, PayPal, CloudPayments)
✅ PCI DSS-совместимый хостинг (если свои платежи)
Плагины для безопасных платежей:
— WooCommerce PayPal Payments (без сохранения данных)
6. Защита базы данных
Что сделать:
1. Сменить префикс таблиц (с `wp_` на случайный, через плагин iThemes Security)
2. Регулярно чистить (оптимизировать таблицы через WP-Optimize)
3. Закрыть доступ извне (правила в .htaccess)
7. Файловая защита
— Отключить исполнение PHP в uploads (добавить в .htaccess):
«`apache
<Files *.php>
deny from all
</Files>
«`
— Запретить доступ к wp-config.php (самому важному файлу)
8. SSL-сертификат (обязательно!)
Без HTTPS:
— Google помечает сайт как «небезопасный»
— Данные передаются в открытом виде
Как получить бесплатно:
— Let’s Encrypt (есть на всех нормальных хостингах)
— Cloudflare SSL (Flexible/Full режим)
Проверить: SSL Labs Test
9. Защита от ботов и сканеров
Плагины:
— Wordfence (сканирует уязвимости + блокирует ботов)
— Cloudflare (Firewall Rules → блокировать по странам)
Правила для .htaccess:
«`apache
# Блокируем xmlrpc.php (метод DDoS-атак)
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
10. Мониторинг и бэкапы
Что настроить:
✔ Ежедневные бэкапы (UpdraftPlus → сохранять в Google Drive)
✔ Уведомления о взломах (Sucuri Monitoring)
✔ Логи изменений (WP Activity Log)
Важно: Храните бэкапы **НЕ на хостинге** (если сервер упадет — они тоже пропадут).
🚀 Чек-лист: 5 срочных мер
1. Установите Wordfence и включите сканирование
2. Смените пароль от админки и БД
3. Обновите WooCommerce и все плагины
4. Включите двухфакторную аутентификацию
5. Настройте ежедневные бэкапы
📊 Что делать при взломе?
1. Отключите сайт (режим Maintenance Mode)
2. Восстановитесь из бэкапа
3. Проверьте пользователей (удалите левые аккаунты)
4. Смените все пароли (FTP, БД, админка)
5. Просканируйте на вирусы (Quickscan Sucuri)
🔐 Вывод
Безопасность WooCommerce — не разовая настройка, а процесс. Начните с базовых мер (бэкапы, обновления, Wordfence), затем внедряйте сложную защиту (WAF, двухфакторку). Главное правило: Если плагин или тема не обновлялись **больше года** — удаляйте. 90% взломов происходят из-за устаревшего кода.
Какой пункт внедрите первым? 💻🔐
