8,7 миллиона атак на WordPress за 48 часов: почему это касается каждого бизнеса
По данным отраслевых систем мониторинга безопасности, всего за 48 часов по сайтам на WordPress было зафиксировано более 8,7 миллионов автоматизированных попыток взлома.
Это не единичная волна — это показатель системной и непрерывной атаки на самый популярный движок сайтов в мире.
Почему атакуют WordPress?
WordPress занимает сильные позиции в глобальном интернете:
| Показатель | Значение |
|---|---|
| Доля сайтов в интернете на WordPress | ≈ 43% всех сайтов (W3Techs) |
| Количество доступных плагинов | 59,000+ |
| Доля уязвимостей, связанных с плагинами и темами | ≈ 90% случаев взлома WP-сайтов |
| Среднее число сайтов, взламываемых ежедневно | ≈ 30,000 (оценки индустрии) |
Большинство атак направлено не на сам WordPress, а на:
- устаревшие плагины
- необновлённые темы
- незащищённые панели администратора
- слабые пароли и отсутствие MFA
- неправильные права доступа и настройки хостинга
Другими словами, WordPress сам по себе — не проблема.
Проблема — недостаточная эксплуатационная дисциплина и отсутствие защиты на уровне инфраструктуры.
Характер атак: автоматизированные и массовые
Зафиксированные 8,7 млн попыток взлома включали:
| Тип атаки | Цель | Что пытаются получить |
|---|---|---|
| Сканирование уязвимостей плагинов | Подбор версий | Поиск известных CVE |
| Брутфорс / перебор паролей | /wp-login.php |
Доступ администратора |
| Загрузка вредоносных скриптов | /wp-content/uploads |
Создание бекдора |
| SQL-инъекции | Формы и параметры URL | Извлечение базы данных |
| XSS и подмена контента | Веб-страницы | Перехват пользователей, фишинг |
Главный вывод:
98% таких атак не направлены лично на ваш сайт — это массовые автоматизированные атаки.
То есть любой сайт без защиты рано или поздно будет взломан.
Что в этом особенно важно для компаний и брендов
Даже если WordPress используется только:
- для лендингов
- для контента
- для кампаний и маркетинга
- для микросайтов подразделений или филиалов
компрометация может привести к:
- потере доверия к бренду
- подмене форм и утечке персональных данных
- SEO-санкциям (Google может пометить сайт как опасный)
- фишингу клиентов через ваш же домен
И критично: зачастую именно второстепенные сайты компании защищены хуже, чем основной корпоративный портал.
Практические решения, которые реально помогают
1) Включить Web Application Firewall (WAF)
Лучший первый слой защиты — WAF, который блокирует массовые автоматизированные атаки до того, как они достигают сайта.
Рекомендуемый WAF:
- SiteGuarding Web Application Firewall (отлично подходит для WordPress) Блокирует SQL-инъекции, XSS, брутфорс, бот-трафик и сканирование уязвимостей.
Защищает даже устаревшие плагины, пока вы обновляете инфраструктуру.
2) Обязательные обновления ядра, плагинов и тем
- Настроить автообновления, где это безопасно.
- Удалить неиспользуемые плагины и темы полностью (не просто отключить).
3) Защита входа в админ-панель
- Включить двухфакторную аутентификацию (MFA).
- Изменить URL входа (
/wp-login.php→/admin-company). - Ограничить доступ по IP для админов (если возможно).
4) Ограничение прав доступа
- Оставить 1–2 администраторов максимум.
- Всем остальным — роль Редактор или Автор.
5) Ежедневный мониторинг и оповещения
- Включить уведомления о попытках входа.
- Следить за резкими скачками 404 / 403 / POST-запросов.
Как построить системную защиту (корпоративный уровень)
| Компонент защиты | Инструмент / метод | Результат |
|---|---|---|
| Внешний барьер | WAF (SiteGuarding) | Отсечение массовых атак |
| Управление обновлениями | Автообновление + контроль плагинов | Минимизация уязвимых точек |
| Контроль доступа | MFA, уникальные пароли, IP-ограничения | Снижение риска захвата админ-панели |
| Мониторинг | Логи, уведомления, частота ошибок | Раннее обнаружение взлома |
| Резервные копии | Автоматические ежедневные бэкапы | Быстрое восстановление без потерь |
Итог: время реагировать — сейчас
8,7 миллиона атак за 48 часов — это не новость, это сигнал:
Если сайт на WordPress не защищён — он будет атакован. Если он будет атакован — вероятность успешного взлома без защиты очень высока.
И хорошая новость:
Полноценная защита реально достигается за 1–3 часа технической настройки.