Делаю сайты на WordPress уже несколько лет. Кто-то считает, что WordPress — это для новичков, ну а если честно? Это один из самых гибких и удобных движков, особенно если установить WordPress на VPS и всё грамотно настроить. Только вот безопасность — это то, о чём большинство вспоминает, когда уже поздно.
В этой статье я покажу, как обновлять WordPress, защищать его с помощью фаервола, правильно настраивать права и включать автообновления. Всё — на реальных примерах, как я делаю на своём сервере от CloudVPS.by.
Почему VPS для WordPress — это свобода
Когда-то я размещала сайты на shared-хостинге. Но как только посещаемость начала расти — начались тормоза, лимиты, техподдержка «на завтра». Тогда я перешла на виртуальный сервер для WordPress, и это было лучшее решение.
Теперь мои сайты:
- не зависят от соседей по хостингу;
- работают стабильно;
- легко масштабируются (пару кликов — и у тебя уже в два раза больше RAM);
- защищены, потому что на сервере только то, что я сама туда поставила.
Если вы всерьёз хотите делать сайты WordPress, VPS — это необходимость. Особенно если не просто «визитка на три страницы».
Установка WordPress: без панели, руками, зато под контролем
Ставить WordPress можно разными способами. Я люблю всё делать вручную: так я понимаю, что где лежит, и в любой момент могу починить. Вот как я это делаю на Ubuntu VPS:
- Подключаюсь по SSH:
ssh root@мой_IP
- Ставлю Apache, PHP и MySQL:
apt update && apt install apache2 php mysql-server php-mysql libapache2-mod-php -y
- Скачиваю сам WordPress:
wget https://ru.wordpress.org/latest-ru_RU.zip unzip latest-ru_RU.zip mv wordpress /var/www/my-site chown -R www-data:www-data /var/www/my-site
- Настраиваю базу данных и подключаю всё в браузере.
Да, чуть дольше, чем «установить WordPress на хостинге за 3 минуты». Зато контроль на 100%.
Как я настраиваю защиту: минимум — фаервол, максимум — Fail2Ban
Первое, что делаю после установки — включаю UFW (фаервол):
ufw allow 'Apache Full' ufw enable
Дальше — Fail2Ban. Он блокирует IP, если кто-то слишком часто пытается зайти в админку. На WordPress часто идут такие атаки. Я использую фильтр для
/wp-login.phpПример фильтра:
[Definition] failregex = <HOST> .*POST /wp-login.php
И в
jail.local[wp-login] enabled = true port = http,https filter = wp-login logpath = /var/log/apache2/access.log maxretry = 5 bantime = 3600
Как обновить WordPress и плагины — и больше не забывать
❗ Важное правило: не обновляешь — взломают.
Раньше я всё делала руками: заходила в админку, кликала «Обновить», проверяла плагины. Сейчас у меня всё автоматизировано. Вот как:
- В включаю автообновления ядра:
wp-config.php
define( 'WP_AUTO_UPDATE_CORE', true );
- Чтобы обновлялись и плагины, ставлю плагин вроде Easy Updates Manager или включаю через :
functions.php
add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' );
- Раз в неделю cron-шкой проверяю резервные копии. На VPS легко настроить cron на уровне системы, и никакой панели не надо.
Дополнительно: права, robots.txt и «мелочи»
- Папки должны быть с правами
wp-content/uploads, файлы —755.644 - Включаю кэширование (обычно ставлю WP Super Cache или просто nginx reverse proxy).
- Защищаю XML-RPC и админку через или IP-фильтры.
.htaccess
Какой результат
На моём WordPress-сервере на CloudVPS.by крутится уже 7 сайтов. Один — блог (да, этот текст я туда выложу позже), другой — магазин, третий — сайт для заказчика.
Все:
- обновляются сами;
- работают стабильно;
- не тормозят даже при пиках;
- не ломались с 2022 года (серьёзно).
Если вы делаете сайты на WordPress, не важно — для себя, клиента или блога, подумайте о VPS. Это как снять отдельную квартиру вместо койки в хостеле. Да, чуть сложнее в начале, но потом — только плюсы.
А обновление WordPress и защита от атак — это не «по желанию». Это как антивирус и страховка: не сразу видно, но когда надо — спасает.
👉 Хоститесь на CloudVPS.by, ставьте WordPress с умом, обновляйте и не переживайте за сайт. Всё под вашим контролем.
За стабильность — с бонусом
Долгосрочные клиенты получают больше: +1 месяц в подарок по промокоду