Bezpieczeństwo WordPress - kompletny przewodnik ochrony strony

WordPress napędza ponad 40% stron w internecie, co czyni go głównym celem hakerów. Dobra wiadomość? Większość ataków można łatwo powstrzymać stosując podstawowe zasady bezpieczeństwa.

Spis treści

Dlaczego WordPress jest atakowany?
12 kroków do bezpiecznego WordPress
Lista kontrolna bezpieczeństwa WordPress
Co robić po ataku?
Podsumowanie

Dlaczego WordPress jest atakowany?

WordPress nie jest z natury niebezpieczny. Problemy wynikają z:

Popularności - duża baza użytkowników = atrakcyjny cel
Przestarzałego oprogramowania - brak aktualizacji
Słabych haseł - “admin123” to nadal popularne hasło
Źle napisanych wtyczek - luki w kodzie
Taniego hostingu - brak zabezpieczeń na poziomie serwera

12 kroków do bezpiecznego WordPress

1. Silne hasła i unikalne loginy

Nigdy nie używaj “admin” jako nazwy użytkownika. To pierwsza rzecz, którą sprawdzają boty.

Wymagania dla silnego hasła:

Minimum 16 znaków
Wielkie i małe litery
Cyfry i znaki specjalne
Unikalne dla każdego serwisu

Narzędzia: Używaj menedżera haseł (1Password, Bitwarden, LastPass).

2. Dwuskładnikowe uwierzytelnianie (2FA)

Nawet jeśli haker pozna Twoje hasło, nie zaloguje się bez drugiego składnika.

Jak włączyć:

Zainstaluj wtyczkę (Wordfence, WP 2FA, Google Authenticator)
Zeskanuj kod QR aplikacją na telefonie
Zapisz kody zapasowe w bezpiecznym miejscu

Rekomendacja: Wymagaj 2FA dla wszystkich administratorów.

3. Regularne aktualizacje

90% zhakowanych stron WordPress działało na przestarzałych wersjach. To statystyka, która mówi wszystko.

Co aktualizować:

Rdzeń WordPress
Wszystkie wtyczki
Motyw (nawet jeśli go nie używasz - usuń nieużywane)
Wersję PHP (min. 8.1)

Jak często: Sprawdzaj co tydzień lub włącz automatyczne aktualizacje dla mniejszych wersji. Szczegóły znajdziesz w artykule o tym, dlaczego regularne aktualizacje WordPress są kluczowe.

4. Certyfikat SSL (HTTPS)

SSL szyfruje komunikację między przeglądarką a serwerem. Google traktuje HTTPS jako czynnik rankingowy. Szczegóły konfiguracji (łącznie z rozwiązywaniem mixed content) — w osobnym artykule o SSL w WordPressie.

Jak sprawdzić: Kłódka w pasku adresu przeglądarki.

Jak uzyskać:

Darmowy: Let’s Encrypt (większość hostingów oferuje)
Płatny: Dla dodatkowego zaufania (certyfikaty OV/EV)

5. Firewall aplikacji webowej (WAF)

Firewall blokuje złośliwy ruch zanim dotrze do Twojej strony.

Rekomendowane rozwiązania:

Wordfence - wtyczka z wbudowanym WAF
Cloudflare - ochrona na poziomie DNS (darmowy plan)
Sucuri - dedykowany firewall dla WordPress

6. Ograniczenie prób logowania

Domyślnie WordPress pozwala na nieograniczoną liczbę prób logowania. To otwarte zaproszenie dla ataków brute-force.

Rozwiązanie:

Limit Login Attempts Reloaded (darmowa wtyczka)
Wordfence (wbudowana funkcja)

Ustawienia: Blokada po 3-5 nieudanych próbach na 15-30 minut.

7. Zmiana adresu logowania

Domyślny adres /wp-admin i /wp-login.php jest znany wszystkim. Zmiana utrudnia automatyczne ataki.

Jak zmienić:

WPS Hide Login (prosta, darmowa wtyczka)
Wordfence (funkcja ukrywania logowania)

Uwaga: Zapisz nowy adres! Bez niego sam nie zalogujesz się do panelu.

8. Regularne kopie zapasowe

Backup to Twoje ubezpieczenie. Nawet najlepsza ochrona może zawieść - backup pozwoli odzyskać stronę.

Zasada 3-2-1:

3 kopie danych
Na 2 różnych nośnikach
1 kopia poza siedzibą (chmura)

Częstotliwość:

Strony statyczne: co tydzień
Blogi: codziennie
Sklepy: co godzinę lub w czasie rzeczywistym

Wtyczki: UpdraftPlus, BackWPup, BlogVault

9. Bezpieczny hosting

Tani hosting to fałszywa oszczędność. Dobry hosting oferuje:

Izolację kont (Twoja strona oddzielona od innych)
Firewall na poziomie serwera
Automatyczne backupy
Wsparcie techniczne
Certyfikat SSL w cenie
Aktualne wersje PHP i MySQL

Rekomendacje: Kinsta, WP Engine, Cloudways, SiteGround

10. Uprawnienia plików i katalogów

Nieprawidłowe uprawnienia mogą pozwolić hakerom na modyfikację plików.

Prawidłowe ustawienia:

Katalogi: 755 (drwxr-xr-x)
Pliki: 644 (-rw-r—r—)
wp-config.php: 600 lub 640

11. Wyłączenie edycji plików

WordPress pozwala edytować pliki motywu i wtyczek z panelu. To ryzyko - haker z dostępem może wstrzyknąć złośliwy kod.

Jak wyłączyć: Dodaj do wp-config.php:

define('DISALLOW_FILE_EDIT', true);

12. Monitoring i skanowanie

Nie wystarczy zabezpieczyć - trzeba też monitorować.

Co monitorować:

Integralność plików (zmiany w kodzie)
Próby logowania
Ruch na stronie
Dostępność (uptime)

Narzędzia:

Wordfence (skanowanie malware)
Sucuri SiteCheck (darmowy skan online)
UptimeRobot (monitoring dostępności)

Lista kontrolna bezpieczeństwa WordPress

Zadanie	Priorytet	Status
Silne, unikalne hasła	Krytyczny	[ ]
2FA dla administratorów	Wysoki	[ ]
Aktualne WordPress, wtyczki, motywy	Krytyczny	[ ]
Certyfikat SSL	Krytyczny	[ ]
Firewall (WAF)	Wysoki	[ ]
Limit prób logowania	Wysoki	[ ]
Zmiana adresu logowania	Średni	[ ]
Automatyczne backupy	Krytyczny	[ ]
Dobry hosting	Wysoki	[ ]
Prawidłowe uprawnienia plików	Średni	[ ]
Wyłączona edycja plików	Średni	[ ]
Monitoring i skanowanie	Wysoki	[ ]

Co robić po ataku?

Jeśli Twoja strona została zhakowana:

Nie panikuj - spokój pozwala działać logicznie
Odetnij stronę - tryb konserwacji lub wyłączenie
Zmień hasła - wszystkie (WordPress, hosting, FTP, baza danych)
Przywróć z backupu - sprzed ataku
Przeskanuj - znajdź i usuń złośliwy kod
Zaktualizuj wszystko - zamknij luki
Wzmocnij zabezpieczenia - zastosuj powyższe kroki

Podsumowanie

Bezpieczeństwo WordPress to proces, nie jednorazowa czynność. Wymaga regularnej uwagi i aktualizacji.

Minimalne kroki:

Silne hasła + 2FA
Regularne aktualizacje
Automatyczne backupy
Firewall

Jeśli nie masz czasu lub wiedzy na samodzielne zabezpieczenie strony, rozważ profesjonalną opiekę WordPress. W ramach naszych pakietów dbamy o bezpieczeństwo stron klientów - aktualizujemy, monitorujemy i reagujemy na zagrożenia.

Potrzebujesz audytu bezpieczeństwa swojej strony? Skorzystaj z naszego darmowego audytu WordPress lub skontaktuj się z nami - pierwsza konsultacja jest bezpłatna.