Безопасность WordPress — мифы и реальность

«WordPress небезопасный» — расхожее мнение. Реальность: ядро WordPress в последние 5 лет безопаснее, чем большинство кастомных PHP-проектов. Уязвимости есть — но в плагинах и темах, не в самом ядре.

Откуда реально взламывают

• Заброшенные плагины — 60% случаев. Плагин не обновлялся 2-3 года, в нём дыра, через неё заходят.
• Пиратские темы и плагины — около 20%. В них специально оставлены бэкдоры.
• Слабые пароли — около 10%. Перебор admin/password.
• Старый PHP — около 5%. PHP 5.6 уже не получает обновлений.
• Уязвимости ядра WordPress — менее 1%. Ядро регулярно патчится, обновления автоматические.

Что делать (15 минут работы)

• Включить автообновления ядра, тем и плагинов.
• Удалить неиспользуемые плагины и темы. Не «деактивировать» — удалить.
• Поставить плагин 2FA для админки (Wordfence, iThemes, плагин Authy).
• Сменить URL админки с /wp-admin на что-то своё.
• Запретить XML-RPC, если не нужен.
• Настроить ежесуточные бэкапы (UpdraftPlus или серверный rsync).
• Поставить Cloudflare или Wordfence для базовой WAF.

После этого WordPress становится сильнее, чем большинство «безопасных» кастомных PHP-сайтов, где никто не следит за зависимостями.