Jak zapewnić bezpieczeństwo WooCommerce w WordPress?

Certyfikat SSL szyfruje komunikację między przeglądarką klienta a Twoim serwerem - bez niego dane karty płatniczej lecą otwartym tekstem. W 2026 roku SSL nie jest opcją, a absolutną koniecznością. Google Chrome oznacza strony bez SSL jako "Niebezpieczne", co natychmiast odstrasza klientów. Większość hostingów oferuje darmowy SSL od Let's Encrypt - aktywacja zajmuje minuty. W WooCommerce przejdź do Ustawienia > Zaawansowane i zaznacz opcję wymuszania HTTPS na stronach kasy i konta. Sprawdź, czy mieszana zawartość (mixed content) nie blokuje ikony kłódki - narzędzie SSL Labs pozwoli Ci przetestować konfigurację certyfikatu i upewnić się, że szyfrowanie działa prawidłowo na każdej podstronie sklepu.

Ponad 90% włamań do stron WordPress następuje przez podatności w nieaktualnych wtyczkach i motywach. W WooCommerce problem jest poważniejszy, bo każda wtyczka płatności, wysyłki czy integracji z ERP to potencjalne drzwi wejściowe dla atakującego. Zasada jest prosta: aktualizuj natychmiast, gdy pojawia się patch bezpieczeństwa. Włącz automatyczne aktualizacje dla wtyczek bezpieczeństwa (Wordfence, Sucuri). Dla wtyczek WooCommerce i samego rdzenia WooCommerce testuj aktualizacje najpierw na kopii staging, bo zmiana w bramce płatności może zablokować kasy. Usuwaj nieużywane wtyczki i motywy - nawet dezaktywowana wtyczka z podatnością może zostać wykorzystana. Ogranicz liczbę wtyczek do minimum niezbędnego do działania sklepu.

Strona /wp-admin/ i /wp-login.php to najczęściej atakowane punkty WordPressa. Zabezpiecz je wielowarstwowo. Po pierwsze, zmień domyślny adres logowania za pomocą wtyczki WPS Hide Login - atakujący nie znajdzie formularza pod standardowym URL. Po drugie, włącz uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich kont administracyjnych - wtyczka WP 2FA lub Google Authenticator. Po trzecie, ogranicz liczbę prób logowania (wtyczka Limit Login Attempts Reloaded) do 3-5 prób, po czym blokuj IP na 30 minut. Po czwarte, nadawaj minimalne uprawnienia - kasjer sklepu nie potrzebuje roli administratora. W WooCommerce używaj ról Shop Manager dla pracowników obsługujących zamówienia.

Backup to Twoje ubezpieczenie na wypadek najgorszego scenariusza. Dla sklepu WooCommerce z aktywną sprzedażą backupy muszą być wykonywane co najmniej raz dziennie - utrata danych zamówień z całego dnia to realna strata finansowa. UpdraftPlus w wersji premium pozwala na automatyczny backup co godzinę z wysyłką do chmury (Google Drive, Dropbox, S3). BlogVault oferuje inkrementalne backupy, które nie obciążają serwera. Kluczowe: testuj przywracanie backupów co najmniej raz na kwartał. Sam plik backupu jest bezwartościowy, jeśli nie wiesz, czy działa przywracanie. Przygotuj też plan reagowania na incydent: kto powiadamia klientów, kto kontaktuje UODO, kto przywraca stronę z backupu.

Wtyczka Wordfence w wersji premium oferuje WAF (Web Application Firewall), który blokuje znane wektory ataku zanim dotrą do WordPressa. Sucuri Security działa jako reverse proxy - ruch przechodzi przez ich serwery, gdzie jest filtrowany. Dla WooCommerce warto włączyć powiadomienia o: nieudanych próbach logowania, zmianach w plikach rdzeniowych, nowych kontach administracyjnych i modyfikacjach pliku wp-config.php. Cloudflare (darmowy plan) dodaje kolejną warstwę ochrony - blokuje boty, ataki DDoS i skanery podatności. Monitoruj logi dostępu - nagły wzrost żądań do /wp-admin/ lub /xmlrpc.php to sygnał, że ktoś próbuje się włamać. Wyłącz XML-RPC, jeśli nie korzystasz z aplikacji mobilnej WordPress.