Розширені налаштування безпеки WordPress через файл wp-config.php — це комплекс заходів для захисту доступу до бази даних, підсилення сесійних ключів, вимкнення редактора файлів у панелі, безпечного керування виводом помилок, примусового використання SSL та обмеження критичних шляхів до директорій. Коротше кажучи, wp-config.php — це один із центрів безпеки вашого сайту на WordPress; правильні налаштування зменшують поверхню для атак, знижують ризик несанкціонованого доступу та обмежують потенційну шкоду в разі інциденту.
Більшість власників сайтів, які встановлюють WordPress, сприймають файл wp-config.php лише як технічний документ, куди вводять назву бази даних, ім’я користувача та пароль. Насправді ж цей файл є критичною частиною архітектури безпеки живого сайту. Особливо для інтернет-магазинів, сайтів із членством, корпоративних порталів та блогів із високою відвідуваністю правильно налаштований wp-config.php забезпечує потужний захисний шар проти простих бот-атак, маніпуляцій із файлами через панель, витоку інформації через повідомлення про помилки та спроб викрадення сесій.
У цьому посібнику для блогу Hostragons ми покроково розглянемо розширені налаштування безпеки, які можна застосувати до файлу wp-config.php. Ми просто, але технічно точно пояснимо, для чого потрібен кожен параметр, у яких випадках ми рекомендуємо його використовувати та на що слід звернути увагу перед впровадженням. Якщо у вас ще немає безпечної та сучасної інфраструктури хостингу, разом із посиленням wp-config.php важливо обрати надійний WordPress-хостинг. Тут вам можуть стати в пригоді сторінки Пакети хостингу WordPress та Рішення для безпечного веб-хостингу.
Що таке файл wp-config.php і чому він критично важливий для безпеки?
wp-config.php — це конфігураційний файл, розташований у кореневій директорії WordPress, який містить основні робочі параметри сайту. Через цей файл WordPress підключається до бази даних, зчитує ключі безпеки, визначає поведінку налагодження, керує файловою системою та активує деякі розширені константи. Тому вміст цього файлу є набагато більш чутливим, ніж звичайний файл теми.
Зазвичай цей файл містить таку критичну інформацію:
- Назва бази даних, ім’я користувача, пароль та адреса сервера
- Унікальні ключі аутентифікації та "солі" (Authentication Unique Keys і Salts), які забезпечують безпеку сесій
- Префікс таблиць бази даних
- Налаштування налагодження та логування
- Константи, що контролюють редагування файлів, оновлення та поведінку SSL
- Робочі параметри, як-от ліміт пам’яті WordPress та директорія тимчасових файлів
Якщо зловмисник отримає доступ до вмісту wp-config.php, він зможе заволодіти даними для підключення до бази даних. У такому разі під загрозою опиняться не лише панель керування WordPress, а й облікові записи користувачів, історія замовлень, дані форм, контент та приватна інформація клієнтів. Тому захист файлу wp-config.php є одним із базових кроків у забезпеченні безпеки WordPress.
Перед початком: План резервного копіювання, тестування та доступу
Навіть незначна синтаксична помилка у файлі wp-config.php може призвести до "білого екрану смерті", втрати з’єднання з базою даних або блокування доступу до панелі керування. Тому перед внесенням змін застосуйте триетапний план безпеки.
1. Зробіть повну резервну копію
Спочатку створіть резервну копію файлів і бази даних. Просто завантажити файл wp-config.php на комп’ютер недостатньо; оскільки зміна може вплинути на підключення до бази даних, важливо мати її бекап. Якщо на вашій панелі керування є функція автоматичного резервного копіювання, перевірте дату останньої копії. За потреби створіть резервну копію вручну. У цьому вам допоможе матеріал Посібник з резервного копіювання веб-сайту.
2. Впроваджуйте зміни поетапно
Замість того, щоб додавати 8 чи 10 налаштувань безпеки одночасно, після кожної зміни тестуйте сайт, панель керування та критично важливі форми. Наприклад, спочатку вимкніть редактор файлів, а потім перевірте сайт. Далі налаштуйте параметри налагодження. Такий метод дозволяє швидко визначити, який саме рядок спричинив проблему в разі виникнення помилки.
3. Переконайтеся в наявності доступу через FTP або Файловий менеджер
Якщо wp-config.php буде збережено з помилкою, ви можете втратити доступ до панелі WordPress. Тому переконайтеся, що у вас є робочий доступ до файлового менеджера cPanel, SFTP або іншого безпечного протоколу передачі файлів. Використання SFTP є безпечнішим за FTP, оскільки з’єднання шифрується. Для безпечного доступу може стати в пригоді посібник на тему що таке SFTP і як його використовувати.
Огляд налаштувань безпеки wp-config.php
Таблиця нижче у зручному форматі підсумовує основні та розширені налаштування безпеки, описані в цьому посібнику. Перш ніж застосовувати їх на живому сайті, оцініть кожен пункт відповідно до потреб вашого проєкту.
| Налаштування | Мета | Рекомендована ситуація | Рівень ризику |
|---|---|---|---|
| Оновлення ключів безпеки | Зменшення ризику викрадення сесій | Під час встановлення та після підозрілого доступу | Низький |
| DISALLOW_FILE_EDIT | Вимкнення редагування тем і плагінів через панель | На всіх живих сайтах | Низький |
| Приховування виводу налагодження | Приховування повідомлень про помилки та шляхів | На всіх живих сайтах | Середній |
| Примусове використання SSL | Шифрування трафіку панелі керування | На всіх сайтах із SSL | Низький |
| Зміна префікса бази даних | Ускладнення автоматичних SQL-атак | На нових інсталяціях | Середній |
| Посилення прав доступу до файлів | Запобігання несанкціонованому запису | На всіх сайтах | Середній |
| Керування автоматичними оновленнями | Прискорення встановлення безпекових патчів | Увімкнено для мінорних версій | Низький |
Підсильте ключі безпеки та значення "солі"
Безпека сесій WordPress забезпечується константами AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY та їхніми "солями" (salt) у файлі wp-config.php. Ці ключі роблять файли cookie користувачів і процеси перевірки сесій більш захищеними. Якщо ключі слабкі, стандартні або не змінювалися протягом тривалого часу, безпека сесій може бути ослаблена.
Рекомендована практика — згенерувати нові випадкові ключі за допомогою офіційного генератора секретних ключів WordPress. Ці ключі зазвичай мають довжину понад 64 символи, містять випадкові символи і є практично непередбачуваними. Достатньо замінити існуючі рядки у wp-config.php на нові ключі.
Ефект від цієї дії очевидний: усі активні сесії користувачів будуть завершені, і користувачам доведеться увійти в систему заново. Якщо ви підозрюєте, що обліковий запис адміністратора було скомпрометовано, оновлення "солей" є швидким екстреним заходом. Оновлення цих ключів кожні 6 місяців або за підозри на порушення безпеки є гарною операційною практикою.
Вимкніть редагування файлів через панель керування
У панелі керування WordPress є вбудований редактор, який дозволяє редагувати файли тем і плагінів. Хоча ця функція здається зручною під час розробки, на живих сайтах вона створює серйозний ризик. Якщо зловмисник отримає доступ до облікового запису адміністратора, він зможе додати шкідливий PHP-код через файловий редактор у панелі.
Додавши наступну константу до файлу wp-config.php, ви можете вимкнути редагування файлів через панель: define('DISALLOW_FILE_EDIT', true);
Це налаштування деактивує редактор файлів тем і плагінів у панелі WordPress. Ми рекомендуємо активувати його за замовчуванням для блогів, які публікуються щодня, корпоративних сайтів та магазинів на WooCommerce. Якщо потрібно внести зміни до файлів, це слід робити через SFTP, Git або безпечні процеси розгортання.
Як більш просунутий варіант можна використовувати константу DISALLOW_FILE_MODS, яка також обмежує завантаження та оновлення файлів. Однак, оскільки це налаштування може також заблокувати оновлення плагінів і тем, його слід використовувати лише на дуже чутливих системах, де зміни не повинні вноситися поза межами вікна обслуговування.
Адаптуйте налаштування налагодження для живого сайту
У середовищі розробки WordPress увімкнення WP_DEBUG є корисним: ви бачите помилки, знаходите несумісні плагіни та діагностуєте проблеми з темою. Однак на живому сайті повідомлення про помилки, що виводяться на екран, можуть містити інформацію, корисну для зловмисника, як-от шляхи до сервера, назви плагінів, розташування файлів, підказки щодо SQL-запитів та версію PHP.
Безпечний підхід для живого середовища полягає в наступному: не показуйте помилки відвідувачам, а за потреби записуйте їх у спеціальний лог-файл. Для цього WP_DEBUG має бути false; якщо на етапі розробки потрібне логування, слід використовувати WP_DEBUG_LOG true, а WP_DEBUG_DISPLAY false. Приклад логіки виглядає так: define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);
Якщо вам потрібно дослідити помилку, увімкніть логування на короткий час, вирішіть проблему і знову вимкніть його. Також переконайтеся, що лог-файл недоступний із загальнодоступної директорії. Адже файл debug.log іноді може створюватися в місцях, близьких до кореня сайту, і бути доступним для читання ззовні на неправильно налаштованих серверах. Правильна конфігурація хостингу є критично важливою для зменшення таких ризиків. Природним продовженням тут будуть матеріали Як керувати журналами помилок WordPress та Безпечний хостинг для WordPress.
Зробіть SSL та безпеку панелі керування обов’язковими
SSL-сертифікат шифрує трафік між користувачем і сервером. Оскільки вхід до панелі WordPress здійснюється з використанням логіна та пароля, адміністративний трафік обов’язково повинен проходити через HTTPS. Це налаштування особливо важливе для команд, які отримують доступ до панелі керування з публічних мереж, поза офісом або через мобільні з’єднання.
У wp-config.php можна зробити SSL обов’язковим для панелі керування за допомогою константи FORCE_SSL_ADMIN: define('FORCE_SSL_ADMIN', true);
Для коректної роботи цього налаштування на вашому домені має бути встановлений дійсний SSL-сертифікат. Якщо ви ще не використовуєте SSL, спочатку завершіть встановлення сертифіката. SSL є базовою вимогою не лише для безпеки, а й для довіри користувачів та SEO. Щоб дізнатися про варіанти SSL від Hostragons, перегляньте сторінку продукти сертифікатів SSL, а для керування доменами — сторінку Перевірка домену та реєстрація домену.
Якщо після примусового ввімкнення SSL виникає помилка нескінченного перенаправлення, зазвичай це означає, що конфігурація проксі, CDN або балансувальника навантаження визначається неправильно. У такому випадку слід перевірити HTTPS-заголовки на стороні сервера та налаштування адреси сайту WordPress.
Керуйте даними бази даних та префіксом таблиць безпечніше
Значення DB_NAME, DB_USER, DB_PASSWORD та DB_HOST у файлі wp-config.php дозволяють WordPress підключатися до бази даних. Ці дані мають бути надійними, а привілеї — обмеженими. Одна з найпоширеніших помилок — надання користувачеві бази даних більше прав, ніж потрібно.
Для живого сайту на WordPress рекомендується, щоб користувач бази даних мав лише необхідні дозволи. Зазвичай достатньо таких прав, як SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER та INDEX. Використовувати в конфігурації WordPress користувачів із широкими повноваженнями на рівні адміністрування сервера, які мають доступ до всіх баз даних, ризиковано.
Правильний підхід до префікса таблиць
Стандартний префікс таблиць WordPress — wp_. У нових інсталяціях зміна його на інше, випадкове значення ускладнює роботу автоматизованих інструментів для атак. Наприклад, замість wp_ можна вибрати короткий, але важко вгадуваний префікс, як-от hr7x_. Однак зміна префікса таблиць на існуючому сайті не обмежується простою заміною значення table_prefix у wp-config.php; також необхідно оновити назви таблиць у базі даних та деякі записи в usermeta.
Тому, якщо ви плануєте змінити префікс таблиць на живому сайті, спочатку зробіть повну резервну копію, протестуйте операцію в середовищі staging, а потім перенесіть на живий сайт. Для нових інсталяцій використання нестандартного префікса з самого початку є безпечнішим і менш ризикованим.
Варіант перенесення wp-config.php за межі кореневої директорії
WordPress на деяких серверних конфігураціях може читати файл wp-config.php з директорії на один рівень вище кореневої. Наприклад, якщо файли WordPress знаходяться в public_html, wp-config.php можна перемістити в директорію над public_html. Цей метод знижує ризик прямого доступу до файлу через веб.
Однак цей підхід може працювати неоднаково в різних середовищах хостингу. На віртуальному хостингу переміщення файлу в директорію вищого рівня може бути неможливим через права доступу до директорій, структуру панелі керування або політики безпеки. Крім того, персонал, який обслуговує сайт, повинен знати розташування файлу; інакше в майбутньому процес налагодження може затягнутися.
Перед застосуванням цього методу перевірте файлову структуру вашого хостинг-провайдера. Якщо ви використовуєте керований WordPress-хостинг, дізнайтеся в служби підтримки рекомендовану структуру директорій. Для правильного керування директоріями та правами на інфраструктурі Hostragons може бути корисним матеріал Посібник з панелі управління хостингом.
Посильте права доступу до файлів та дозволи на запис
Безпека wp-config.php залежить не лише від констант всередині нього, а й від прав доступу на рівні операційної системи. Загальна рекомендація полягає в тому, що wp-config.php не повинен бути доступним для запису всім. У більшості хостингових середовищ на базі Linux права доступу до файлу можна налаштувати на більш обмежувальні значення, як-от 400, 440 або 600. Яке саме значення підійде, залежить від користувача сервера та моделі роботи PHP.
Практичний підхід такий: файл повинен зберігатися з мінімально можливими правами, які не порушують роботу сайту. Такі значення, як 777, що надають дозвіл на запис усім, категорично не повинні використовуватися. 644 може працювати за замовчуванням у деяких середовищах, але для більш чутливих інсталяцій краще віддати перевагу 600 або 440. Після зміни прав слід протестувати завантаження сайту, панель керування та екрани оновлення плагінів.
Крім того, важливо заблокувати доступ до wp-config.php на рівні веб-сервера. У сучасних хостингових інфраструктурах PHP-файли не відображаються як вихідний код; однак на неправильно налаштованих серверах ризик існує. Тому надійна хостингова інфраструктура так само важлива, як і права доступу до файлів.
Керуйте автоматичними оновленнями з фокусом на безпеку
Ядро WordPress, плагіни та теми регулярно отримують оновлення безпеки. Через wp-config.php ви можете певною мірою керувати поведінкою автоматичних оновлень. З точки зору безпеки, зазвичай рекомендується ввімкнути автоматичне встановлення мінорних оновлень. Це пов’язано з тим, що такі оновлення здебільшого спрямовані на виправлення безпеки та помилок.
Наприклад, увімкнення автоматичних мінорних оновлень ядра WordPress зменшує затримку в усуненні відомих вразливостей. Однак перехід на нові мажорні версії може вимагати тестування на сумісність із темами та плагінами. Тому для корпоративних сайтів найкращий метод — залишити автоматичні безпекові патчі увімкненими, а великі оновлення застосовувати на живому сайті лише після тестування в staging-середовищі.
У стратегії оновлень можна використовувати три основні правила: спочатку бекап, потім тест, і лише в кінці — застосування на живому сайті. Ця проста послідовність забезпечує правильний баланс між безпекою та безперервністю роботи.
Контролюйте ліміт пам’яті PHP та споживання ресурсів
У файлі wp-config.php за допомогою значень WP_MEMORY_LIMIT та WP_MAX_MEMORY_LIMIT можна визначити обсяг пам’яті, доступний для WordPress. Хоча ці налаштування не виглядають як прямі параметри безпеки, вони важливі під час атак на виснаження ресурсів, при роботі з помилковими плагінами та під час інтенсивних адміністративних операцій.
Наприклад, для невеликого блогу часто достатньо 128M, тоді як для магазинів на WooCommerce або багатомовних сайтів може знадобитися 256M. Однак надмірне збільшення ліміту пам’яті без потреби може призвести до того, що несправний плагін споживатиме більше ресурсів і знижуватиме продуктивність сервера. Правильне значення слід визначати з урахуванням трафіку сайту, кількості плагінів та ресурсів вашого хостинг-пакета.
Якщо ви часто отримуєте помилки, пов’язані з пам’яттю, замість простого підвищення ліміту дослідіть джерело проблеми. Причиною можуть бути важкі плагіни, неоптимізовані запити, застаріла версія PHP або недостатній хостинг-пакет. Продуктивність і безпеку слід розглядати разом. У цьому контексті природним доповненням будуть матеріали Оптимізація продуктивності WordPress та Пакети хостингу високої продуктивності.
Забезпечте безпеку директорії тимчасових файлів та поведінки завантаження
У деяких хостингових середовищах WordPress зберігає тимчасові файли в стандартних системних директоріях. Це нормально; однак загальнодоступні директорії з неправильними правами можуть становити ризик для безпеки. Через wp-config.php можна визначити директорію, яку WordPress використовуватиме для тимчасових файлів, за допомогою константи WP_TEMP_DIR.
Якщо ви використовуєте цей метод, переконайтеся, що директорія закрита для публічного доступу, має контрольовані права на запис і доступна лише для відповідного користувача сайту. Тимчасові директорії активно використовуються під час завантаження файлів, обробки медіа та оновлення плагінів. Неправильно налаштована тимчасова директорія може спричинити помилки завантаження або ризик витоку файлів.
Безпека домену cookie та мультисайтовості
У проєктах, які використовують WordPress Multisite, структуру піддоменів або підкаталогів, значення домену cookie та URL-адреси сайту стають більш чутливими. Неправильне визначення домену cookie може призвести до того, що сесії будуть дійсними для неочікуваних піддоменів, або виникнуть цикли входу. З точки зору безпеки, для кожної архітектури сайту область дії cookie повинна бути обмежена мінімально необхідним доменом.
Наприклад, у структурах типу admin.example.com, shop.example.com та blog.example.com слід свідомо визначати, чи будуть cookie дійсними для всіх піддоменів, чи лише для конкретного домену. Надмірно широка область дії cookie може збільшити ймовірність того, що вразливість на одному піддомені вплине на сесії в інших.
Якщо ви використовуєте мультисайтовість, оцінюйте константи multisite у wp-config.php, налаштування відображення доменів (domain mapping) та конфігурацію SSL у комплексі. У таких проєктах планування доменних імен та SSL також є важливим. Тут можуть бути доречними посилання Керування кількома доменами та сертифікат SSL з піддоменом.
Практичний чек-лист безпеки для wp-config.php
Наведений нижче список ви можете періодично перевіряти на своєму живому сайті WordPress. Особливо корисно переглядати його після встановлення нових плагінів, зміни теми, перенесення сервера та підозрілих спроб входу.
- Чи зберігається актуальна резервна копія wp-config.php в безпечному місці?
- Чи є ключі безпеки та значення "солі" унікальними та випадковими?
- Чи активовано DISALLOW_FILE_EDIT?
- Чи вимкнено WP_DEBUG на живому сайті або чи переведено його в режим безпечного логування?
- Чи працює панель керування в обов’язковому порядку через HTTPS?
- Чи не має користувач бази даних зайвих привілеїв?
- Чи використовується на нових інсталяціях префікс таблиць, відмінний від стандартного wp_?
- Чи не містять права доступу до файлів небезпечних значень, як-от 777?
- Чи ввімкнено автоматичні оновлення безпеки контрольованим чином?
- Чи правильно налаштовано SFTP, резервне копіювання та SSL на хостинг-акаунті?
Поширені помилки та як їх уникнути
Найчастіша помилка при роботі з wp-config.php — це додавання фрагментів коду, знайдених в інтернеті, без розуміння їхнього призначення. Кожен сайт на WordPress має унікальну конфігурацію сервера, теми, плагінів та трафіку. Тому налаштування, яке без проблем працює на одному сайті, на іншому може спричинити проблеми з сесією або помилку оновлення.
Друга поширена помилка — залишати вивід налагодження увімкненим на живому сайті. Це не лише псує користувацький досвід, а й призводить до витоку технічної інформації. Третя помилка — залишати резервну копію wp-config.php у веб-кореневій директорії з назвами на кшталт wp-config-backup.php, wp-config-old.php. При неправильних налаштуваннях сервера ці файли можуть бути завантажені у вигляді простого тексту. Резервні копії слід зберігати в місці, закритому для веб-доступу.
Четверта помилка — встановлювати права доступу до файлів 777 для вирішення проблеми, а потім не повертати їх до попереднього стану. Хоча це може здатися швидким рішенням, з точки зору безпеки це дуже небезпечно. П’ята помилка — активувати FORCE_SSL_ADMIN без встановленого SSL-сертифіката; це може спричинити проблеми з доступом до панелі керування.
Як побудувати професійний рівень безпеки WordPress?
Посилення wp-config.php є важливим кроком, але саме по собі не забезпечує повної безпеки. Професійний підхід до безпеки має бути багаторівневим. Слід комплексно продумати: надійну ізоляцію хостингу, актуальну версію PHP, брандмауер веб-додатків (WAF), надійний SSL, регулярне резервне копіювання, обмежену кількість адміністративних облікових записів, двофакторну аутентифікацію та моніторинг логів.
Наприклад, коли зловмисник намагається використати вразливість плагіна, рівень WAF може заблокувати запит. Якщо пароль користувача скомпрометовано, спрацьовує двофакторна автентифікація. Якщо відбулася зміна файлу, виконується швидке відновлення з резервної копії. А wp-config.php у цьому ланцюжку є критичною точкою конфігурації та обмежень.
Якщо ви створюєте новий сайт на WordPress, від самого початку дотримуйтесь підходу, орієнтованого на безпеку: сплануйте надійний домен і SSL, оберіть безпечний хостинг, змініть стандартний префікс таблиць, згенеруйте унікальні ключі "солі", вимкніть редагування файлів у панелі та активуйте регулярні бекапи. Ці базові кроки запобіжать багатьом проблемам ще до їх виникнення.
Висновок: Малі налаштування — великий вплив на безпеку
Розширені налаштування безпеки, які можна зробити через файл wp-config.php, пропонують практичні та ефективні заходи для зменшення поверхні атаки вашого сайту. Оновлення ключів "солі", вимкнення редактора файлів, приховування виводу налагодження, примусове використання SSL, обмеження привілеїв бази даних та посилення прав доступу до файлів — це кроки, які приносять значну користь для більшості сайтів на WordPress.
Не поспішайте, застосовуючи ці налаштування: зробіть резервну копію, вносьте зміни по черзі та тестуйте кожен крок. Безпечна конфігурація в поєднанні з правильною інфраструктурою хостингу та регулярним обслуговуванням робить ваш сайт на WordPress набагато стійкішим. Якщо ви плануєте більш безпечну та сталу інфраструктуру, ви можете ознайомитися з рішеннями Hostragons WordPress хостинг, сертифікат SSL та Реєстрація домену, щоб визначити відправну точку, яка відповідає вашим потребам.
Часті запитання
Чи безпечно редагувати файл wp-config.php?
Так, це безпечно, якщо ви правильно робите резервну копію та впроваджуєте зміни контрольовано. Однак одна-єдина синтаксична помилка може вплинути на доступ до сайту. Тому спочатку зробіть резервну копію файлів і бази даних, а потім застосовуйте налаштування, тестуючи кожне з них.
Що станеться, якщо я зміню ключі "солі" у файлі wp-config.php?
Усі активні сесії користувачів будуть завершені, і користувачам доведеться увійти в систему заново. Ця дія не видаляє контент і не пошкоджує базу даних. Це рекомендований швидкий захід, особливо після підозрілого входу, ризику компрометації облікового запису адміністратора або порушення безпеки.
Чи потрібно залишати WP_DEBUG увімкненим на живому сайті WordPress?
Ні. Якщо WP_DEBUG увімкнено на живому сайті, повідомлення про помилки можуть розкрити відвідувачам технічну інформацію. Безпечний підхід — не показувати помилки на екрані, а використовувати контрольоване логування лише для короткострокових потреб.
Чи блокує DISALLOW_FILE_EDIT оновлення плагінів і тем?
Ні, DISALLOW_FILE_EDIT лише вимикає вбудований редактор файлів у панелі керування. Оновлення плагінів і тем продовжуються у звичайному режимі. Щоб заблокувати також і оновлення, потрібні інші, більш обмежувальні налаштування.
Які права доступу повинен мати файл wp-config.php?
Хоча це залежить від конфігурації сервера, мета полягає в тому, щоб зберігати файл із мінімально можливими правами, які не порушують роботу сайту. Значення 777 категорично не можна використовувати. У більшості середовищ можуть працювати 600, 440 або 644; після зміни прав слід протестувати сайт і панель керування.