Podstawowe zabezpieczenia WordPress to dopiero początek. Hardening to zaawansowane techniki utrudniające ataki. Od modyfikacji plików konfiguracyjnych po ochronę bazy danych. Dla tych, którzy chcą maksymalnego bezpieczeństwa.
Krótka odpowiedź
Usługi KC Mobile
Sprawdź naszą ofertę
Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.
Ukrywanie informacji o WordPress
Ukryj wersję WordPress:
// functions.php
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_empty_string');Ukryj wersję w RSS:
add_filter('the_generator', '__return_null');Usuń wersje z CSS/JS:
add_filter('style_loader_src', 'remove_version_query', 9999);
add_filter('script_loader_src', 'remove_version_query', 9999);
function remove_version_query($src) {
return $src ? remove_query_arg('ver', $src) : $src;
}Wyłącz readme.html i license.txt:
- Usuń te pliki lub ogranicz dostęp w .htaccess
Ochrona plików konfiguracyjnych
wp-config.php w .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>Przenieś wp-config.php:
- Możesz przenieść poziom wyżej (poza public_html)
- WordPress automatycznie znajdzie
Ochrona .htaccess:
<files .htaccess>
order allow,deny
deny from all
</files>Blokada dostępu do includes:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>Wolisz, żeby zrobił to specjalista?
Oszczędź czas i uniknij błędów. Wdrożymy to rozwiązanie za Ciebie – profesjonalnie i szybko.
Hardening wp-config.php
Wyłącz edycję plików w panelu:
define('DISALLOW_FILE_EDIT', true);Wyłącz instalację wtyczek/motywów:
define('DISALLOW_FILE_MODS', true);Wymuś SSL dla admina:
define('FORCE_SSL_ADMIN', true);Unikalne klucze (sekrety):
- Wygeneruj nowe: https://api.wordpress.org/secret-key/1.1/salt/
- Zmiana unieważnia wszystkie sesje
Limit rewizji i autosave:
define('WP_POST_REVISIONS', 3);
define('AUTOSAVE_INTERVAL', 300);Tryb debug tylko lokalnie:
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);Ochrona wp-admin i logowania
Ograniczenie dostępu do wp-admin (IP):
# .htaccess w /wp-admin/
<Files "*">
Order Deny,Allow
Deny from all
Allow from 123.456.789.0
</Files>Ograniczenie wp-login.php:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.0
</Files>Zmiana URL logowania (wtyczka):
- WPS Hide Login - zmienia /wp-admin na /custom-login
- Utrudnia ataki brute force
Wyłączenie XML-RPC:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>Lub wtyczka: Disable XML-RPC
Two-Factor Authentication:
- Wtyczka Two Factor lub Wordfence
- TOTP (Google Authenticator)
- Backup codes
Wspomniane narzędzia
Potrzebujesz pomocy z WordPress?
Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 500+ zrealizowanych projektów.
Najczęściej zadawane pytania
Czy hardening może zepsuć stronę?
Potrzebujesz pomocy?
Wolisz, żeby zrobił to specjalista?
Oszczędź czas i uniknij błędów. Wdrożymy to rozwiązanie za Ciebie – profesjonalnie i szybko.