Как установить автоматическую защиту от Brute Force в WordPress

Автор: Антон Громов | Опубликовано: 12.04.2026

Brute Force атаки — одна из самых частых угроз для сайтов на WordPress. Злоумышленники пытаются подобрать логин и пароль методом перебора, что может привести к взлому сайта и потере данных. В этой статье подробно разберём, как установить и настроить автоматическую защиту от Brute Force в WordPress, используя проверенные плагины и собственные решения на PHP.

Что такое Brute Force атаки и почему они опасны для WordPress

Brute Force атака — это метод подбора пароля путём последовательного перебора вариантов. Злоумышленники запускают скрипты, которые пытаются войти на сайт, перебирая тысячи и миллионы паролей за короткое время. Если WordPress сайт не защищён, это может привести к:

Взлому администратора сайта и утрате контроля над ресурсом;
Установке вредоносного кода и распространению спама;
Выведению сайта из строя и потере трафика;
Блокировке IP-адреса и проблемам с хостингом.

Важно понимать, что WordPress по умолчанию не ограничивает количество попыток входа, поэтому защита от Brute Force — обязательный элемент безопасности.

Как работает автоматическая защита от Brute Force: обзор методов и плагинов

Автоматическая защита от Brute Force строится на нескольких принципах:

Ограничение количества попыток входа с одного IP;
Блокировка IP-адресов при многократных неудачных попытках;
Добавление капчи или двухфакторной аутентификации (2FA);
Мониторинг и оповещение администратора о подозрительной активности.

Самые популярные плагины для защиты от Brute Force в WordPress:

Limit Login Attempts Reloaded — ограничивает число попыток входа и автоматически блокирует IP;
Wordfence Security — комплексный плагин безопасности с защитой от Brute Force, firewall и мониторингом;
My Popup — можно использовать для вывода уведомлений при подозрительной активности.

Настройка Limit Login Attempts Reloaded для автоматической блокировки

Плагин Limit Login Attempts Reloaded прост в использовании и отлично справляется с задачей. После установки и активации:

Перейдите в Настройки > Limit Login Attempts.
Задайте количество попыток входа, например, 5.
Настройте время блокировки IP — 30 минут или больше.
Включите уведомления на email о блокировках.

Эти параметры помогут автоматически блокировать злоумышленников без вашего участия.

Дополнение защиты двухфакторной аутентификацией (2FA)

Для усиления безопасности добавьте 2FA с помощью плагина Two Factor. Он позволяет настроить дополнительный код при входе через приложения Google Authenticator или по email.

Включение 2FA значительно снижает риск взлома даже при успешном подборе пароля.

Как реализовать базовую защиту от Brute Force через код в functions.php

Если не хотите устанавливать плагин, можно добавить простой код в файл functions.php вашей темы, который ограничит количество попыток входа с одного IP. Вот пример функции wptool_limit_login_attempts:

function wptool_limit_login_attempts() {
    session_start();
    if (!isset($_SESSION['login_attempts'])) {
        $_SESSION['login_attempts'] = 0;
    }
    if ($_SESSION['login_attempts'] >= 5) {
        wp_die('Слишком много попыток входа. Попробуйте позже.');
    }
}
add_action('wp_login_failed', function() {
    session_start();
    $_SESSION['login_attempts']++;
});
add_action('wp_login', function() {
    session_start();
    $_SESSION['login_attempts'] = 0;
});
add_action('login_form', 'wptool_limit_login_attempts');

Этот код считает число неудачных попыток в сессии и блокирует вход после 5 неудач. Недостаток — ограничение по сессии, не учитывает IP, но подходит для базовой защиты.

Заключение

Автоматическая защита от Brute Force — необходимая мера для любого WordPress сайта. Использование специализированных плагинов и базовых программных решений позволяет быстро и эффективно обезопасить вход на сайт. Главное — системный подход и регулярный мониторинг безопасности.