Przejdź do treści
WordPress i Strony WWW Poradnik

WordPress Security Hardening - zaawansowane zabezpieczenia

Opublikowano: 17 stycznia 2026

Podstawowe zabezpieczenia WordPress to dopiero początek. Hardening to zaawansowane techniki utrudniające ataki. Od modyfikacji plików konfiguracyjnych po ochronę bazy danych. Dla tych, którzy chcą maksymalnego bezpieczeństwa.

Krótka odpowiedź

Hardening WordPress: ukryj wersję WP, zablokuj edycję plików w panelu, chroń wp-config.php i .htaccess, ogranicz dostęp do wp-admin (IP), wyłącz XML-RPC jeśli nieużywane, zmień prefiks tabel bazy danych. Każda warstwa utrudnia atak.

Usługi KC Mobile

Sprawdź naszą ofertę

Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.

WordPress i Strony WWW Strony internetowe

Ukrywanie informacji o WordPress

Ukryj wersję WordPress:

// functions.php
remove_action('wp_head', 'wp_generator');

add_filter('the_generator', '__return_empty_string');

Ukryj wersję w RSS:

add_filter('the_generator', '__return_null');

Usuń wersje z CSS/JS:

add_filter('style_loader_src', 'remove_version_query', 9999);
add_filter('script_loader_src', 'remove_version_query', 9999);
function remove_version_query($src) {
    return $src ? remove_query_arg('ver', $src) : $src;
}

Wyłącz readme.html i license.txt:
- Usuń te pliki lub ogranicz dostęp w .htaccess

Wolisz, żebyśmy zrobili to za Ciebie?

Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.

  • Wdrożenie krok po kroku przez doświadczony zespół
  • Konkretny timeline + cena dopasowana do projektu
  • 20+ lat doświadczenia w projektów w 15+ lat
Zamów wdrożenie 604 939 140

Ochrona plików konfiguracyjnych

wp-config.php w .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Przenieś wp-config.php:
- Możesz przenieść poziom wyżej (poza public_html)
- WordPress automatycznie znajdzie

Ochrona .htaccess:

<files .htaccess>
order allow,deny
deny from all
</files>

Blokada dostępu do includes:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Hardening wp-config.php

Wyłącz edycję plików w panelu:

define('DISALLOW_FILE_EDIT', true);

Wyłącz instalację wtyczek/motywów:

define('DISALLOW_FILE_MODS', true);

Wymuś SSL dla admina:

define('FORCE_SSL_ADMIN', true);

Unikalne klucze (sekrety):
- Wygeneruj nowe: https://api.wordpress.org/secret-key/1.1/salt/
- Zmiana unieważnia wszystkie sesje

Limit rewizji i autosave:

define('WP_POST_REVISIONS', 3);
define('AUTOSAVE_INTERVAL', 300);

Tryb debug tylko lokalnie:

define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);

Ochrona wp-admin i logowania

Ograniczenie dostępu do wp-admin (IP):

# .htaccess w /wp-admin/
<Files "*">
Order Deny,Allow
Deny from all
Allow from 123.456.789.0
</Files>

Ograniczenie wp-login.php:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.0
</Files>

Zmiana URL logowania (wtyczka):
- WPS Hide Login - zmienia /wp-admin na /custom-login
- Utrudnia ataki brute force

Wyłączenie XML-RPC:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Lub wtyczka: Disable XML-RPC

Two-Factor Authentication:
- Wtyczka Two Factor lub Wordfence
- TOTP (Google Authenticator)
- Backup codes

Potrzebujesz pomocy ekspertów?

Wdrożenie tego, o czym piszemy w artykule, wymaga doświadczenia i czasu. Jeśli wolisz, by zajęli się tym specjaliści, sprawdź naszą ofertę WordPress lub ofertę stron internetowych.

Możesz też napisać do nas bezpośrednio – umów bezpłatną konsultację, a my przeanalizujemy Twoją sytuację i zaproponujemy najlepsze rozwiązanie.

Powiązane pojęcia z bazy wiedzy

Słownik pojęć

WordPressPHPXMLKnowledge PanelMozHTTPSFTPSieć reklamowa Google

Wspomniane narzędzia

Wordfence WPS Hide Login htaccess wp-config

Potrzebujesz pomocy z WordPress?

Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 20+ lat doświadczenia w projektów.

Zamów wycenę Nasze usługi WordPress

Najczęściej zadawane pytania

Czy hardening może zepsuć stronę?
Tak, jeśli zablokujesz coś potrzebnego. Wyłączenie XML-RPC może zepsuć Jetpack i aplikacje mobilne. Blokada IP admina przy dynamicznym IP = sam się zablokujesz. Testuj każdą zmianę. Miej backup i dostęp FTP na wypadek problemów.
#wordpress#bezpieczeństwo#hardening#htaccess#security
Zdjęcie autora: Krzysztof Czapnik
O autorze

Krzysztof Czapnik

Founder & Technical Lead, KC Mobile

20 lat WordPress + 12 lat WooCommerce. Specjalizuję się w technicznej stronie e-commerce: automatyzacje WooCommerce, Google Ads dla SMB, migracje sklepów i optymalizacja konwersji. Realizacje dla 500+ klientów.

Potrzebujesz pomocy z tym tematem? Napisz – odpowiem osobiście w 24h.

Napisz do mnie 604 939 140

Potrzebujesz pomocy?

🌐 Strony internetowe Strony WWW od 3000 zł, 20+ lat doświadczenia Sprawd\u017a WordPress Strony WordPress, szybkie i bezpieczne Sprawd\u017a 🛒 Sklepy internetowe Sklepy WooCommerce od 5000 zł Sprawd\u017a 🔍 Pozycjonowanie SEO SEO od 2000 zł/mies., bez długich umów Sprawd\u017a

Wolisz, żebyśmy zrobili to za Ciebie?

Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.

  • Wdrożenie krok po kroku przez doświadczony zespół
  • Konkretny timeline + cena dopasowana do projektu
  • 20+ lat doświadczenia w projektów w 15+ lat
Zamów wdrożenie 604 939 140

Potrzebujesz pomocy specjalisty?

Skorzystaj z naszych usług w największych miastach Polski

Strony internetowe Poznań Strony internetowe Wrocław Strony internetowe Katowice Strony internetowe Łódź Strony internetowe Kraków Strony internetowe Szczecin
Więcej z kategorii WordPress i Strony WWW Wszystkie kategorie
Zadzwoń Bezpłatna wycena
Bezpłatna wycena