Jak zabezpieczyc WordPress przed atakami – 15 krokow do bezpiecznej strony

Ponad 90% wlaman na WordPress wynika z nieaktualnych wtyczek i motywow. To najwazniejszy krok.

Co aktualizowac

• Rdzen WordPress – wlacz automatyczne aktualizacje drobne (minor updates)
• Wtyczki – aktualizuj co tydzien, usun nieuzywane
• Motywy – aktualizuj i usun nieaktywne motywy
• PHP – uzyj PHP 8.2 lub nowszego (stare wersje maja luki)

Automatyczne aktualizacje

W WordPress 6.x mozesz wlaczyc automatyczne aktualizacje wtyczek w Wtyczki > Zainstalowane. Dla waznych stron lepiej aktualizowac recznie po zweryfikowaniu kompatybilnosci.

Przed aktualizacja

Zawsze zrob kopie zapasowa przed wiekszymi aktualizacjami. Wtyczka UpdraftPlus (darmowa) pozwala zrobic backup jednym kliknieciem. Jesli aktualizacja zepsuje strone – przywrocisz z backupu w 5 minut.

Ataki brute force (probowanie tysiecy hasel) to najpopularniejszy typ ataku na WordPress.

Silne hasla i 2FA

• Uzyj hasla minimum 16 znakow z cyframi, literami i znakami specjalnymi
• Wlacz uwierzytelnianie dwuskladnikowe (2FA) – wtyczka WP 2FA (darmowa)
• Nigdy nie uzywaj loginu "admin" – zmien na unikalny

Ograniczenie prob logowania

• Zainstaluj Limit Login Attempts Reloaded (darmowa)
• Domyslnie: 3 proby, 20 minut blokady
• Po 4 blokadach: 24 godziny blokady

Zmiana adresu logowania

Domyslny /wp-admin i /wp-login.php to pierwsze adresy, ktore atakuja boty. Wtyczka WPS Hide Login pozwala zmienic URL logowania na dowolny (np. /moje-logowanie).

Ochrona na poziomie serwera

Dodaj w .htaccess ograniczenie dostepu do wp-login.php po IP lub dodaj HTTP Basic Auth. To skutecznie blokuje boty, zanim dotra do formularza logowania.

Jedna dobra wtyczka bezpieczenstwa zastepuje kilka mniejszych.

Wordfence (rekomendowana) - Darmowa wersja: firewall, skaner malware, ochrona logowania - Premium: 400 zl/rok – real-time reguly firewalla, skanowanie co godzine - Najpopularniejsza wtyczka bezpieczenstwa (4 mln+ instalacji) - Plusy: kompletne rozwiazanie, szczegolowe logi - Minusy: moze obciazac serwer

Sucuri Security - Darmowa wersja: audyt aktywnosci, skaner malware, hardening - Premium: od 800 zl/rok – CDN, WAF, czyszczenie po wlamaniu - Plusy: firewall na poziomie DNS (nie obciaza serwera) - Minusy: drozsza niz Wordfence

Solid Security (dawniej iThemes Security) - Darmowa wersja: podstawowa ochrona, 2FA, wymuszanie silnych hasel - Pro: od 350 zl/rok - Plusy: prosta konfiguracja - Minusy: mniej zaawansowany niz Wordfence

Dla wiekszosci stron WordPress darmowy Wordfence wystarczy. Premium oplaca sie przy stronach generujacych przychod (np. sklepy e-commerce).

Backup to polisa ubezpieczeniowa – nie zapobiega wlamaniu, ale pozwala szybko przywrocic strone.

Zasada 3-2-1 - 3 kopie danych - 2 rozne media (serwer + chmura) - 1 kopia off-site (np. Google Drive, Dropbox)

Rekomendowane wtyczki

• UpdraftPlus (darmowa) – backup do Google Drive, Dropbox, S3
• BlogVault (od 300 zl/rok) – automatyczne codzienne backupy + staging
• All-in-One WP Migration – do recznych backupow i migracji

Jak czesto robic backup

• Strona firmowa (malo zmian): raz na tydzien
• Blog z regularnymi wpisami: codziennie
• Sklep internetowy: co godzine (baza danych) + codziennie (pliki)

Testuj przywracanie

Backup, ktorego nie testujesz, moze nie dzialac. Raz na kwartal przetestuj przywracanie na srodowisku testowym. UpdraftPlus ma opcje przywracania jednym kliknieciem.

Po wdrozeniu podstaw mozesz dodac kolejne warstwy ochrony.

Zmiana prefiksu bazy danych Domyslny prefiks wp_ to informacja dla atakujacego. Zmien go na losowy (np. x7f2_) podczas instalacji lub wtyczka Brozzme DB Prefix.

Wylaczenie edytora plikow Dodaj w wp-config.php:

define('DISALLOW_FILE_EDIT', true);

To uniemozliwia edycje plikow motywu/wtyczek z panelu WP – nawet jesli ktos uzyska dostep admin.

Cloudflare WAF Firewall na poziomie DNS blokuje zlosliwy ruch zanim dotrze do serwera. Darmowy plan Cloudflare daje podstawowa ochrone, Pro (ok. 80 zl/mies.) – zaawansowany WAF.

Regularne skanowanie Ustaw Wordfence na automatyczne skanowanie raz dziennie. Sprawdzaj raporty raz w tygodniu.

Certyfikat SSL SSL szyfruje transmisje danych miedzy przegladarka a serwerem. W 2026 to absolutne minimum – bez SSL Google oznacza strone jako "niezabezpieczona".

Bezpieczenstwo to proces, nie jednorazowe dzialanie. Jesli potrzebujesz profesjonalnego zabezpieczenia strony WordPress, skontaktuj sie z nami – przeprowadzimy audyt i wdrozymy kompletna ochrone.