Bezpieczeństwo WooCommerce – SSL, PCI DSS i kompletna checklist ochrony sklepu

Ataki na sklepy e-commerce rosną o ponad 40% rocznie. WooCommerce, jako najpopularniejsza platforma e-commerce na świecie (ponad 5 milionów aktywnych instalacji), jest naturalnym celem dla hakerów. Najczęstsze zagrożenia to: ataki brute force na stronę logowania, wstrzykiwanie złośliwego kodu przez nieaktualne wtyczki, kradzież danych klientów z niezabezpieczonej bazy danych oraz Magecart – ataki JavaScript, które przechwytują dane kart płatniczych na stronie checkout. PCI DSS v4.0, który wszedł w pełną moc w 2025 roku, wymaga od właścicieli sklepów aktywnego zarządzania skryptami JavaScript na stronach płatności. To nowy wymóg, którego wielu właścicieli sklepów jeszcze nie wdrożyło. Nawet jeśli korzystasz z zewnętrznej bramki płatności (PayU, Przelewy24, Tpay), nadal musisz zadbać o integralność kodu na stronie checkout.

Bez SSL (HTTPS) sklep nie powinien w ogóle działać. Przeglądarki oznaczą go jako "niebezpieczny", Google obniży pozycje w wynikach wyszukiwania, a klienci po prostu uciekną.

PCI DSS (Payment Card Industry Data Security Standard) to zbiór wymagań bezpieczeństwa dla firm przetwarzających dane kart płatniczych. Brzmi groźnie, ale w praktyce większość roboty bierze na siebie bramka płatności.

Poniższa lista to minimum, które powinien wdrożyć każdy sklep WooCommerce. Rozpocznij od góry – kroki są posortowane od najpilniejszych.

1. Certyfikat SSL – włącz HTTPS na całej stronie
2. Aktualizacje – WordPress, WooCommerce, wszystkie wtyczki i motyw (co tydzień)
3. Silne hasła – minimum 16 znaków, menedżer haseł (Bitwarden, 1Password)
4. 2FA dla administratorów – wtyczka Two Factor lub Wordfence (obowiązkowe!)
5. Firewall – Wordfence (darmowy, 4+ mln instalacji) lub Cloudflare WAF
6. Backup automatyczny – UpdraftPlus lub BlogVault, minimum raz dziennie
7. Ograniczenie prób logowania – Limit Login Attempts Reloaded
8. Zmiana URL logowania – WPS Hide Login (z /wp-admin/ na własny)
9. Wyłączenie XML-RPC – jeśli nie używasz aplikacji mobilnej WordPress
10. Wyłączenie edytora plików – define('DISALLOW_FILE_EDIT', true) w wp-config.php
11. Monitoring plików – Wordfence skanuje zmiany w plikach core WordPress
12. Content Security Policy – nagłówki HTTP ograniczające ładowanie zewnętrznych skryptów

Magecart to nazwa grupy ataków, w których hakerzy wstrzykują złośliwy JavaScript na strony checkout sklepów internetowych. Skrypt przechwytuje dane karty, gdy klient je wpisuje, i wysyła do serwera hakera. Tak – nawet jeśli korzystasz z PayU czy Przelewy24.

Podejrzewasz atak? Działaj natychmiast. Krok 1: włącz tryb konserwacji (wtyczka Maintenance Mode) – zatrzymaj przyjmowanie zamówień. Krok 2: zmień hasła – do WordPressa, FTP, bazy danych i panelu hostingu. Krok 3: przeskanuj stronę Wordfence lub Sucuri – zidentyfikuj złośliwy kod. Krok 4: przywróć stronę z backupu sprzed ataku (dlatego codzienny backup jest krytyczny). Krok 5: zaktualizuj WordPress, wszystkie wtyczki i motyw do najnowszych wersji. Krok 6: jeśli doszło do wycieku danych klientów – musisz powiadomić UODO (Urząd Ochrony Danych Osobowych) w ciągu 72 godzin zgodnie z RODO. Potrzebujesz audytu bezpieczeństwa swojego sklepu? Skontaktuj się z nami – przeprowadzamy audyty WooCommerce i wdrażamy pełną ochronę. Zajrzyj też do naszej oferty tworzenia sklepów internetowych i rozwiązań WordPress.

Bezpieczenstwo sklepu WooCommerce to nie kwestia jednej wtyczki – to proces. Minimum to: certyfikat SSL, regularne kopie zapasowe, dwuskładnikowe logowanie i ograniczenie prob logowania. Ale najwazniejsze to aktualizacje – 90% wlaman na WooCommerce wynika z nieaktualizowanych wtyczek. Ustawiam klientom automatyczne aktualizacje bezpieczenstwa i od lat nie mialem incydentu. Jesli potrzebujesz pomocy – napisz do nas.