Jak zabezpieczyć WordPress przed atakami – 15 kroków do bezpiecznej strony

WordPress nie jest dziurawy z natury – jest popularny. Skoro napędza ponad 40% wszystkich stron w sieci, to dla automatów skanujących internet stanowi najgrubszy cel zbiorczy. Bot nie wybiera Twojej firmy. Skanuje miliony adresów, szukając jednej znanej luki, którą wykorzysta masowo.

Kluczowy podział: prawie wszystkie skuteczne włamania to nie genialne ataki na rdzeń WordPressa, tylko wejście przez nieaktualną wtyczkę, słabe hasło albo źle ustawiony hosting. Sam silnik łata zespół setek deweloperów w ciągu godzin od wykrycia podatności. Problemem jest to, co dokładasz wokół niego.

Ważne rozróżnienie na start: ten poradnik dotyczy prewencji i hardeningu, czyli zabezpieczania zdrowej strony, zanim coś się stanie. Jeśli Twoja strona jest już zainfekowana (przekierowania na obce domeny, spam w Google, ostrzeżenie przeglądarki), to osobny scenariusz – usuwanie skutków infekcji, nie zapobieganie. Tutaj budujemy mury, nie gasimy pożar.

Aktualizacje to pierwsza i najtańsza linia obrony – większość ataków automatycznych celuje w luki, które zostały już załatane. Atakujący korzysta z publicznej bazy podatności (CVE) i szuka stron, które nie nadążyły z aktualizacją. Każdy dzień zwłoki to otwarte drzwi opisane w instrukcji.

Co i jak często aktualizować

• Rdzeń WordPress – włącz automatyczne aktualizacje minor (poprawki bezpieczeństwa). Wersje major (np. 6.x na 6.y) wgrywaj ręcznie po backupie.
• Wtyczki – przegląd raz w tygodniu. Każda wtyczka to dodatkowa powierzchnia ataku.
• Motywy – aktualizuj aktywny, usuń nieużywane (nieaktywny motyw z luką nadal jest plikiem na serwerze).
• PHP – trzymaj wersję wspieraną (PHP 8.2+). Stare PHP nie dostaje już łatek bezpieczeństwa.

Najczęstszy błąd: martwe wtyczki

W naszych audytach widzimy go nagminnie – dezaktywowana wtyczka zostaje na serwerze przez lata. Dezaktywacja nie usuwa kodu. Jeśli ta wtyczka ma lukę, atakujący może ją wykorzystać bez względu na to, czy jest włączona w panelu. Zasada jest prosta: nie używasz – usuwasz, nie dezaktywujesz.

Przed aktualizacją major zawsze rób backup – konflikt wtyczek potrafi zepsuć stronę. UpdraftPlus (darmowy) robi kopię jednym kliknięciem, a przywrócenie zajmuje kilka minut zamiast wieczoru ręcznego grzebania w plikach.

Ataki brute force – automatyczne wpisywanie tysięcy kombinacji loginu i hasła – to najczęstszy typ ataku na panel WordPressa. Bot uderza w /wp-login.php, bo ten adres jest taki sam na milionach stron. Obrona polega na warstwach: utrudnij zgadnięcie, ogranicz liczbę prób i schowaj sam formularz.

Silne hasło i 2FA – fundament

• Hasło minimum 16 znaków, generowane i trzymane w menedżerze haseł (Bitwarden, 1Password). Człowiek nie wymyśli losowego ciągu, którego sam nie zapamięta – i o to chodzi.
• Włącz uwierzytelnianie dwuskładnikowe (2FA) – wtyczka WP 2FA lub mechanizm w Wordfence/Solid Security. To pojedynczo najskuteczniejszy bloker przejęcia konta, bo samo hasło przestaje wystarczać.
• Nigdy login admin, administrator ani nazwa domeny. Połowa pracy bota to zgadnięcie loginu – nie dawaj mu go za darmo.

Limit prób i zmiana adresu logowania

Wtyczka Limit Login Attempts Reloaded (darmowa) blokuje IP po kilku nieudanych próbach – bot, który miał wykonać 10 000 prób, zostaje odcięty po piątej. Dodatkowo WPS Hide Login przenosi panel z /wp-login.php na dowolny adres (np. /panel-x7f2), przez co boty pukające do standardowego adresu trafiają na 404.

Ochrona na poziomie serwera

Najmocniejsza opcja to ograniczenie dostępu do wp-login.php przez plik .htaccess – do wskazanego IP lub za dodatkowym hasłem (HTTP Basic Auth). Bot jest wtedy odbijany przez serwer, zanim w ogóle załaduje się WordPress. Jeśli logujesz się ze stałego biura, to domyka temat brute force niemal w całości.

Pokrewny temat rozwijamy w artykule cloudflare w wordpress - instalacja i konfiguracja.

Jedna porządna wtyczka bezpieczeństwa zastępuje kilka mniejszych i, co ważniejsze, nie wchodzi sobie w drogę. Łączenie dwóch wtyczek typu all-in-one to przepis na konflikty i spowolnienie strony. Wybierz jedną i skonfiguruj ją porządnie.

Różnica techniczna ma znaczenie. Wordfence i Solid Security działają na Twoim serwerze – widzą ruch dopiero, gdy ten do nich dotrze, więc przy ataku obciążają hosting. Sucuri filtruje ruch w chmurze, przed serwerem – złośliwe zapytania nie zużywają Twoich zasobów, ale rozwiązanie jest droższe.

Dla większości stron WordPress darmowy Wordfence w pełni wystarcza. Płatna wersja opłaca się tam, gdzie strona zarabia – w sklepach reguły real-time (zamiast opóźnionych o 30 dni) blokują świeże ataki, zanim trafią do darmowej bazy. Dla zwykłej strony firmowej dokładanie 800 zł/rok za Sucuri zwykle nie ma uzasadnienia.

Największy zysk daje hardening na poziomie plików i wp-config.php, bo zamyka drogę, którą wtyczki bezpieczeństwa często pomijają. To ustawienia jednorazowe – wgrywasz raz i działają w tle bez obciążania strony.

Wyłączenie edytora plików w panelu

Domyślnie WordPress pozwala edytować kod motywu i wtyczek z poziomu kokpitu. To znaczy, że ktokolwiek przejmie konto admin, ma od ręki edytor PHP na serwerze. Wyłączasz to jedną linią w wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Uprawnienia, prefiks i ukrycie wersji

• Katalogi 755, pliki 644, a wp-config.php 600 lub 640. Uprawnienia 777 (zapis dla wszystkich) to częsty błędny skrót z poradników – nigdy ich nie zostawiaj na produkcji.
• Domyślny prefiks tabel wp_ ułatwia automatyczne ataki SQL injection. Zmień go na losowy przy instalacji (np. x7f2_).
• Ukryj numer wersji WordPressa i wtyczek – atakujący nie dostaje gotowej mapy, którą lukę wypróbować.

XML-RPC – cichy wektor ataku

Plik xmlrpc.php służy do zdalnej publikacji i aplikacji mobilnej, ale jest też ulubionym narzędziem do ataku amplifikacyjnego brute force (jedno zapytanie testuje setki haseł naraz) oraz DDoS przez pingback. Jeśli nie korzystasz z aplikacji WordPress ani Jetpacka, wyłącz XML-RPC – wtyczka Disable XML-RPC albo reguła w .htaccess.

WAF (Web Application Firewall) filtruje ruch, zanim dotrze do strony, i jest najsensowniejszą warstwą, gdy strona generuje przychód. Blokuje znane wzorce ataków – SQL injection, próby exploitów, złośliwe boty – na podstawie reguł aktualizowanych centralnie.

Najprostsza droga to Cloudflare. Darmowy plan daje podstawową ochronę DDoS i zarządzane reguły, a plan płatny – pełny WAF z regułami aplikacyjnymi. Ruch przechodzi przez sieć Cloudflare, więc złośliwe zapytania nie zjadają zasobów Twojego hostingu. To rozwiązanie sieciowe, działające niezależnie od wtyczek WordPressa.

Alternatywą jest WAF wbudowany we wtyczkę (Wordfence) lub w hosting. Różnica: WAF chmurowy odbija atak przed serwerem, WAF aplikacyjny – już na serwerze. Dla sklepu lub strony pod realnym ruchem warstwa chmurowa to wyraźna przewaga; dla małego bloga darmowy Cloudflare plus skaner wtyczki w zupełności wystarczy.

Backup nie zapobiega włamaniu – decyduje o tym, jak szybko po nim wstaniesz. To różnica między stroną niedostępną przez godzinę a ręcznym czyszczeniem plików przez kilka dni. Bez działającego backupu każdy inny punkt z tej listy jest tylko połowiczny.

Zasada 3-2-1

• 3 kopie danych,
• na 2 różnych nośnikach (serwer + chmura),
• 1 kopia poza serwerem strony (Google Drive, Dropbox, S3).

Najważniejszy jest ten trzeci punkt: kopia na tym samym serwerze co strona zginie razem z nią, jeśli atak obejmie cały hosting. Częstotliwość dobierz do strony: strona firmowa z rzadkimi zmianami – raz w tygodniu, blog – codziennie, sklep – baza co godzinę, pliki codziennie.

Testuj przywracanie

Backup, którego nigdy nie odtwarzałeś, jest założeniem, nie zabezpieczeniem. Raz na kwartał przetestuj przywrócenie na środowisku testowym – inaczej dowiesz się, że kopia jest uszkodzona, w najgorszym możliwym momencie.

SSL to dziś minimum

Certyfikat SSL szyfruje transmisję między przeglądarką a serwerem – bez niego dane logowania lecą otwartym tekstem. Let's Encrypt jest darmowy, a przeglądarki oznaczają stronę bez HTTPS jako niezabezpieczoną, co odbija się też na zaufaniu i SEO.

Temat rozwijamy w bezpiecznym przewodniku po aktualizacjach WordPress oraz w bezpieczeństwo WordPress - jak skutecznie zabezpieczyć stronę.

Dlatego kolejność działań ma znaczenie. Najpierw rzeczy darmowe i o największym efekcie: 2FA, silne hasło, usunięcie martwych wtyczek, limit logowań i backup poza serwerem. Dopiero potem warstwy techniczne – hardening wp-config.php, WAF, ukrywanie wersji. Wtyczka bezpieczeństwa za 400 zł nie naprawi loginu admin i hasła 12345.

Bezpieczeństwo to proces, nie jednorazowy przełącznik. Jeśli chcesz, żebyśmy przejrzeli konfigurację Twojej strony WordPress i wdrożyli komplet zabezpieczeń, skontaktuj się z nami – zaczniemy od audytu, a nie od sprzedania kolejnej wtyczki.