Zabezpieczenie WordPress
Jak zabezpieczyć WordPress przed atakami — 2FA, plugin Wordfence, ukrycie wp-admin, silne hasła, regular updates, file permissions, security headers.
WordPress to #1 cel ataków w internecie (43% stron światowych — duża powierzchnia ataku). Większość włamań to proste zaniedbania — domyślne hasła, outdated plugins, brak 2FA. 30 minut konfiguracji = 95% ochrony.
Co zyskasz
- Skonfigurujesz 10 najważniejszych zabezpieczeń WP.
- Włączysz 2FA, security plugin, ukryjesz wp-admin.
- Ustawisz file permissions, security headers.
- Rozpoznasz oznaki włamania.
Wymagania wstępne
- WordPress na IQHost.
10 priorytetów zabezpieczenia
Wskazówka
Wykonaj wszystkie 10 punktów. Każdy bez którego strona jest dużo bardziej podatna.
1. Aktualizacje
WordPress core, plugins, themes — zawsze aktualne.
WP-admin → Updates → zaznacz wszystko → Update Now.
Auto-updates:
// wp-config.php
define('WP_AUTO_UPDATE_CORE', 'minor'); // tylko bezpieczeństwo
Plus plugin Easy Updates Manager — automatic plugin/theme updates.
2. 2FA (Dwuetapowa weryfikacja)
Plugin Wordfence lub Two-Factor:
- Install plugin
- Skonfiguruj 2FA dla admina
- Authy / Google Authenticator app
- Kody odzyskiwania zachowaj
Bez 2FA wystarczy zgadnąć hasło. Z 2FA — atakujący musi mieć też Twój telefon.
3. Silne hasło + niestandardowy login
- NIE
adminjako login - NIE
12345,password, imię firmy jako hasło - TAK generowane losowo (16+ znaków, menedżer haseł)
Zmień istniejące hasło administratorów: WP-admin → Users → Wszyscy admini → Edit → New Password.
4. Ukrycie wp-admin URL
Plugin WPS Hide Login:
- Install + Activate
- Settings → WPS Hide Login
- Zmień URL z
/wp-adminna/admin-mojafirma(random)
Boty 99% atakuje /wp-admin i /wp-login.php. Zmiana = 99% mniej ataków.
5. Limit Login Attempts
Plugin Limit Login Attempts Reloaded:
- Install + Activate
- Settings: 4 failed attempts → 20 min lockout
- Blocked IP visible w logach
Brute-force = atakujący próbuje 1000 haseł. Plugin blokuje po 4.
6. Security plugin (Wordfence / Sucuri)
Wordfence (najpopularniejszy darmowy):
- Install + Activate
- Dashboard → konfiguracja Wizard
- Firewall → Enable
- Scan → run weekly
Co robi:
- Firewall (WAF) — blokuje ataki w real-time
- Malware scan — sprawdza pliki cyklicznie
- Login security — brute-force protection
- Live traffic — kto jest na stronie
Premium ($99/year) — real-time threat intelligence.
7. File Permissions
# Foldery: 755
find /home/host36592/domains/mojafirma.pl/public_html/ -type d -exec chmod 755 {} \;
# Pliki: 644
find /home/host36592/domains/mojafirma.pl/public_html/ -type f -exec chmod 644 {} \;
# wp-config.php: 600 (only owner)
chmod 600 wp-config.php
Patrz Uprawnienia (chmod).
8. Disable file editing in WP
// wp-config.php
define('DISALLOW_FILE_EDIT', true);
Wp-admin nie ma już opcji edycji functions.php. Atakujący z dostępem do admina nie może włożyć kodu przez edytor.
9. Security headers
.htaccess (public_html/.htaccess):
# HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
# X-Frame-Options (clickjacking)
Header always set X-Frame-Options "SAMEORIGIN"
# X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"
# Referrer Policy
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# Permissions Policy
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
# CSP (advanced — może łamać niektóre features)
# Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'"
10. Backups (już omawiane)
Patrz Strategia backupów. Bez backupu — w razie włamania zostajesz bez niczego.
Imunify360 + WAF (server side)
Niezależnie od WP-pluginów, IQHost ma server-side:
- ModSecurity (WAF) — patrz WAF
- Imunify360 — skanowanie plików — patrz Imunify360
Razem z plugin Wordfence = warstwowa ochrona.
Sygnały włamania
Po infekcji widzisz:
- Strange admin users w
wp_users - Modified
wp-config.php(random injected code) - Files
wp-content/uploads/*.php— backdoory - Cron jobs niewiadomego pochodzenia
- Spam emails od Twojej domeny (sklep Viagra, etc.)
- Strange
<script>tags w postach / theme - Google Search Console ostrzeżenia o malware
- Slowa strona (cryptominer w background)
Co robić po włamaniu
- Stop: zmień wszystkie hasła (DA, FTP, DB, admin WP)
- Backup obecnego stanu (forensics)
- Restore z backupu sprzed włamania (IQBackups, patrz Przywracanie)
- Aktualizuj wszystko
- Scan — Wordfence, Imunify360
- Audyt users, cron jobs, files
- Monitor — sprawdzaj codziennie kolejne 30 dni
Jeśli nie umiesz sam — zgłoś ticket do supportu IQHost.
Najczęstsze problemy
1. „Wordfence blokuje legalny ruch (admin / klienty)"
- Whitelist Twoje IP w Wordfence
- Sprawdź Blocking rules — może masz tam coś agresywnego
2. „Po zmianie wp-admin URL nie mogę zalogować"
URL został zmieniony przez WPS Hide Login. Sprawdź w wp-options → whl_page value, lub disable plugin przez FTP (zmień nazwę folderu).
3. „2FA action nie działa — kody nie pasują"
- Time skew telefonu (sprawdź czy zegar synchronizowany)
- Authy app — re-sync
- Kody odzyskiwania zawsze działają (jeśli masz)
4. „File permissions 600 zepsuło stronę"
- 600 dla wp-config.php OK
- 600 dla całego site ZŁY (Apache nie czyta) — wróć do 644/755
5. „Security plugin spowalnia stronę"
Wordfence ma overhead (~50-100ms per request). Akceptowalne. Jeśli zbyt wolno — tylko firewall, wyłącz live traffic.
6. „Strona zhakowana mimo wszystkich zabezpieczeń"
Najczęściej:
- Vulnerable plugin (zero-day)
- Słabe hasło u jednego z adminów
- Komputer admina zhakowany (keylogger) — kradzież hasła
100% bezpieczeństwa nie ma. 95% chronisz dobrze ustawiając podstawy.
7. „Czy WordPress jest bezpieczny w 2026?"
TAK, gdy:
- Aktualny WP core + plugins
- Tylko trusted plugins (sprawdzaj review)
- 2FA
- Strong passwords
- Backups
Lekceważone = łatwy target.
Słowniczek
- WAF — Web Application Firewall.
- 2FA — Two-Factor Authentication.
- Brute-force — atak zgadywania haseł.
- Backdoor — ukryta furtka dostępu.
- Zero-day — vulnerability bez patch, exploitowana publicznie.
Related
Feedback
Czy ten artykuł pomógł?