RevealTheme logo

Poradnik · Zaktualizowano 2026

Lista kontrolna bezpieczeństwa WordPress: 30 kroków, które naprawdę mają znaczenie

Większość porad o bezpieczeństwie WordPress jest ogólnikowa, alarmistyczna i pomija to, co naprawdę ma znaczenie. Ta lista porządkuje zabezpieczenia według rzeczywistego wpływu, na podstawie rzeczywistych wzorców ataków stosowanych wobec stron WordPress (brute force, podatne wtyczki, słabe poświadczenia, nieaktualne rdzenie).

5 podstaw: zrób je najpierw

  1. Aktualizuj rdzeń WordPress, motywy i wtyczki. Podatne wtyczki to wektor ataku numer 1. Włącz automatyczne aktualizacje wersji pomniejszych (WordPress 5.6+ robi to domyślnie). W przypadku wersji większych aktualizuj w ciągu 7 dni od wydania. W przypadku wtyczek włącz automatyczną aktualizację tych zaufanych; ręcznie przeglądaj informacje o wydaniach wtyczek krytycznych.
  2. Używaj silnych, unikalnych haseł do każdego konta WordPress. Zwłaszcza administratorskich. Korzystaj z menedżera haseł (1Password, Bitwarden). Wyłącz nazwę użytkownika «admin»: utwórz nowego administratora i usuń starego.
  3. Włącz uwierzytelnianie dwuskładnikowe. Użyj Wordfence Login Security (za darmo) lub naszego Generatora Kodów QR 2FA z dowolną aplikacją TOTP. 2FA pokonuje ponad 99% ataków typu credential stuffing.
  4. Zainstaluj zaufaną wtyczkę bezpieczeństwa. Wordfence (darmowa wersja wystarcza większości stron) lub Solid Security. Nie nakładaj na siebie kilku: wchodzą ze sobą w konflikt. Wtyczka zarządza limitowaniem prób logowania, monitorowaniem integralności plików i skanowaniem w poszukiwaniu złośliwego oprogramowania.
  5. Codzienne kopie zapasowe poza witryną. UpdraftPlus → Dropbox/Google Drive. Wykonaj kopię, zanim będzie potrzebna. Przetestuj proces przywracania co najmniej raz.

Kolejnych 10: dodatkowe zabezpieczenia o dużym wpływie

  1. Wymuś HTTPS. Let's Encrypt jest darmowy na każdym nowoczesnym hostingu. Przekierowuj HTTP na HTTPS na poziomie serwera.
  2. Zmień prefiks tabel bazy danych. WordPress domyślnie używa wp_; zmień go na coś niestandardowego podczas instalacji. Nie zapobiega atakom, ale utrudnia niektóre wzorce ataków.
  3. Wyłącz XML-RPC, jeśli go nie używasz. XML-RPC to częsty wektor amplifikacji brute force. Jeśli nie używasz aplikacji mobilnej Jetpack ani publikacji zdalnej, wyłącz go za pomocą .htaccess lub wtyczki.
  4. Limituj próby logowania. Wordfence robi to automatycznie. Zapobiega credential stuffingowi metodą brute force.
  5. Rotuj klucze/sole uwierzytelniania WordPress. Użyj naszego Generatora Soli WordPress. Rotuj je po każdym podejrzeniu kompromitacji, po usunięciu skompromitowanego administratora oraz rutynowo co 6–12 miesięcy.
  6. Do transferu plików używaj SSH lub SFTP, nigdy zwykłego FTP. FTP przesyła poświadczenia zwykłym tekstem.
  7. Ogranicz dostęp do wp-admin według adresu IP, jeśli to możliwe. Jeśli Twój zespół używa stałych adresów IP (biuro, VPN), ogranicz wp-admin tylko do tych adresów IP. Za pomocą .htaccess lub konfiguracji Nginx.
  8. Wyłącz edycję plików w wp-config.php. Dodaj: define('DISALLOW_FILE_EDIT', true); Uniemożliwia atakującym edytowanie motywów/wtyczek z panelu, jeśli skompromitują konto.
  9. Ukryj numer wersji WordPress. Usuń metaznacznik generator. Nie zapobiega atakom, ale ogranicza fingerprinting.
  10. Zablokuj uprawnienia plików. Pliki 644, katalogi 755, wp-config.php 600. Większość hostingów zarządzanych robi to automatycznie; na VPS skonfiguruj to jawnie.

Dopracowanie: dobre, ale niekrytyczne

  1. Niestandardowy adres URL logowania (np. WPS Hide Login). Przede wszystkim redukuje szum ruchu botów; to nie jest prawdziwe bezpieczeństwo.
  2. CAPTCHA w formularzach logowania. Lekka przeszkoda dla zautomatyzowanych ataków.
  3. Wyłącz wykonywanie PHP w /uploads/. Uniemożliwia uruchamianie przesłanych powłok PHP.
  4. Użyj WAF Cloudflare (darmowy poziom). Filtruje złośliwy ruch, zanim dotrze do Twojego serwera.
  5. Skonfiguruj alert e-mail dla administratora o aktualizacjach wtyczek/rdzenia.
  6. Użyj wstępnego ładowania HSTS, aby wymusić HTTPS na poziomie przeglądarki.
  7. Wyłącz enumerację użytkowników przez REST API (Solid Security lub Wordfence to obsługują).
  8. Używaj nagłówków Polityki Bezpieczeństwa Treści (CSP).
  9. Wyłącz przeglądanie katalogów (większość hostingów robi to domyślnie).
  10. Monitoruj dostępność + integralność za pomocą usługi zewnętrznej (darmowy poziom UptimeRobot + cotygodniowy Sucuri SiteCheck).
  11. Ogranicz role użytkowników do minimum uprawnień. Większość współpracowników nie potrzebuje dostępu na poziomie redaktora.
  12. Szyfrowanie kopii zapasowych bazy danych (oferuje je UpdraftPlus Premium).
  13. Hostowanie obrazów poza domeną za pomocą CDN (redukuje powierzchnię ataku).
  14. Okresowy przegląd dziennika audytu bezpieczeństwa.
  15. Coroczny test penetracyjny, jeśli strona generuje znaczące przychody.

Mity o bezpieczeństwie WordPress: pomiń je

Kilka mocno polecanych zabezpieczeń «bezpieczeństwa» oferuje minimalną realną ochronę: (1) «Ukrywanie wersji WordPress»: znajomość Twojej wersji nieznacznie pomaga atakom celowanym, ale prawdziwym rozwiązaniem jest aktualizacja, a nie ukrywanie. (2) «Przenoszenie wp-config.php powyżej public_html»: daje zasadniczo zerową korzyść bezpieczeństwa; plik jest już chroniony przez .htaccess. (3) «Wyłączanie REST API»: psuje wiele wtyczek, a blokuje niewiele. Zamiast tego limituj konkretne punkty końcowe. (4) «Nakładanie kilku wtyczek bezpieczeństwa»: wchodzą w konflikt i się pokrywają. Jedna zaufana wtyczka (Wordfence lub Solid Security) pokrywa to, co zrobiłyby trzy. (5) «Zmiana nazwy wp-login.php»: bezpieczeństwo przez zaciemnianie; atakujący łatwo znajdują nowy adres URL przez przekierowania.

Jeśli zostałeś zhakowany: lista kontrolna odzyskiwania

  1. Nie panikuj; nie usuwaj niczego od razu. Najpierw zrób migawkę bieżącego stanu na potrzeby analizy śledczej.
  2. Wyłącz stronę z sieci (wtyczka trybu konserwacji lub przekierowanie .htaccess na statyczną stronę).
  3. Zmień wszystkie hasła administratorów i rotuj sole WordPress.
  4. Skontroluj konta użytkowników: natychmiast usuń nierozpoznane konta administratorów.
  5. Przeskanuj w poszukiwaniu złośliwego oprogramowania za pomocą Wordfence Premium lub Sucuri.
  6. Porównaj bieżące pliki z czystym pobraniem WordPress: różnica ujawnia zmodyfikowane pliki rdzenia.
  7. Przejrzyj tabelę wp_options bazy danych w poszukiwaniu nieoczekiwanych wpisów (często zawiera wstrzyknięty JS).
  8. Przywróć z najnowszej czystej kopii zapasowej (właśnie dlatego codzienne kopie mają znaczenie).
  9. Po przywróceniu skontroluj każdą wtyczkę: usuń nieużywane, zaktualizuj wszystkie i zastąp każdą z publicznymi CVE.
  10. Zaktualizuj rdzeń WordPress do najnowszej wersji.
  11. Ponownie włącz stronę i obserwuj pod kątem ponownej infekcji przez 30 dni.
Wygeneruj teraz nowe sole WordPress

Najczęściej zadawane pytania

Czy WordPress jest mniej bezpieczny niż inne systemy CMS?
Nie z natury. Reputacja WordPressa jako zagrożenia bezpieczeństwa wynika z dwóch czynników: napędza 43% sieci, więc atakujący biorą go na cel; oraz przypadkowi użytkownicy instalują podatne wtyczki bez ich audytu. Utrzymywana strona WordPress ze zweryfikowanymi wtyczkami jest tak samo bezpieczna jak Drupal czy Joomla. Porzucona strona WordPress z 30 nieaktualnymi wtyczkami to łatwy cel.
Czy potrzebuję płatnej wtyczki bezpieczeństwa?
Większość stron nie. Wordfence Free pokrywa to, czego potrzebuje 90% stron WordPress: zaporę, skanowanie złośliwego oprogramowania, bezpieczeństwo logowania, integralność plików. Wersja Premium dodaje aktualizacje zagrożeń w czasie rzeczywistym (zamiast 30-dniowego opóźnienia), blokowanie według kraju i priorytetowe wsparcie: warta zachodu dla stron z realnymi przychodami, opcjonalna w pozostałych przypadkach.
Jak często powinienem aktualizować WordPress?
Wersje pomniejsze (5.6.1 → 5.6.2): automatycznie, od razu. Wersje większe (5.x → 6.x): w ciągu 7 dni od wydania. Aktualizacje wtyczek: cotygodniowy przegląd; automatyczna aktualizacja, jeśli masz kopie zapasowe; ręczny przegląd dla wtyczek krytycznych (bezpieczeństwo, e-commerce, kod niestandardowy).
Jaki jest najczęstszy sposób, w jaki hakowane są strony WordPress?
Podatne wtyczki, odpowiedzialne za ~55% udanych ataków na WordPress według dorocznych raportów Wordfence. Sam kod wtyczki ma podatność, którą atakujący wykorzystuje. Łagodzenie: aktualizuj wtyczki, usuwaj nieużywane i instaluj tylko wtyczki od zaufanych deweloperów.
Czy powinienem korzystać z hostingu z wbudowanym bezpieczeństwem WordPress?
Hostingi zarządzane WordPress (Kinsta, WP Engine, Pressable) zawierają WAF, skanowanie złośliwego oprogramowania i automatyczne aktualizacje rdzenia: znaczące dodatki. To, czy uzasadniają cenę premium, zależy od Twojego ruchu i profilu zagrożeń. Dla strony małej firmy darmowa instalacja Wordfence na hostingu współdzielonym pokrywa większość zagrożeń.

Powiązane lektury

Zapisz się na aktualizacje

Nie sprzedajemy Twojego adresu e-mail. Nie wysyłamy spamu.

© 2026 RevealTheme. All rights reserved.