Przejdź do treści
Breachroad
Wróć do bloga
Bezpieczeństwo web

Bezpieczeństwo WordPress: 10 kroków dla właściciela strony

WordPress napędza większość stron w sieci i jest głównym celem ataków. Dziesięć praktycznych kroków, które zabezpieczą Twoją stronę bez wiedzy programistycznej.

KR
Karol Rapacz
5 czerwca 2026 · 11 min czytania
Bezpieczeństwo WordPress: 10 kroków dla właściciela strony

WordPress napędza ogromną część stron w internecie — od blogów po sklepy i strony firmowe. Ta popularność ma jednak drugą stronę: WordPress jest najczęściej atakowanym systemem CMS na świecie. Dobra wiadomość jest taka, że zdecydowana większość włamań nie wykorzystuje wyrafinowanych luk, lecz te same, powtarzalne zaniedbania: nieaktualne wtyczki, słabe hasła, brak kopii zapasowej. Poniżej dziesięć kroków, które właściciel strony może wdrożyć samodzielnie i które zamykają najczęstsze drogi ataku.

Skąd bierze się ryzyko

Sam „rdzeń” WordPressa jest dziś dość dobrze zabezpieczony i regularnie łatany. Problemem są przede wszystkim wtyczki i motywy — to w nich znajduje się większość luk wykorzystywanych w atakach. Typowa strona ma kilkanaście–kilkadziesiąt wtyczek różnej jakości, a każda nieaktualna czy porzucona przez autora to potencjalne wejście. Do tego dochodzą ataki na hasła (bruteforce na /wp-login.php) i automatyczne skanery, które nieustannie przeczesują internet w poszukiwaniu podatnych instalacji.

Dziesięć kroków, które robią różnicę

1. Aktualizuj wszystko — rdzeń, wtyczki, motywy. To pojedyncza najważniejsza rzecz. Większość zhakowanych stron padła przez znaną lukę, na którą łatka istniała od tygodni. Włącz automatyczne aktualizacje przynajmniej dla poprawek bezpieczeństwa.

2. Usuń to, czego nie używasz. Każda nieaktywna wtyczka i motyw to powierzchnia ataku — nawet wyłączone bywają podatne. Skasuj (nie tylko dezaktywuj) wszystko, czego nie potrzebujesz.

3. Mocne hasła i MFA dla logowania. Konta administratora chroń długimi, unikalnymi hasłami z menedżera haseł i włącz uwierzytelnianie dwuskładnikowe (wtyczką MFA). To zamyka ataki bruteforce i logowanie wykradzionym hasłem.

4. Zmień domyślną nazwę administratora. Konto „admin” to połowa pracy dla atakującego. Utwórz konto administratora o unikalnej nazwie, a stare „admin” usuń.

5. Ogranicz próby logowania i ukryj panel. Wtyczka limitująca nieudane logowania i ewentualna zmiana adresu /wp-admin albo ograniczenie dostępu po IP drastycznie zmniejszają skuteczność automatów.

6. Zainstaluj wtyczkę bezpieczeństwa / WAF. Renomowana wtyczka (Wordfence, Sucuri, iThemes) dodaje firewall aplikacyjny, monitoring plików i skanowanie złośliwego kodu. To pierwsza linia obrony przed masowymi skanerami.

7. Wymuś HTTPS. Certyfikat TLS to dziś standard i darmowy (Let’s Encrypt). Wymuś przekierowanie całego ruchu na HTTPS — sprawdzisz to naszym skanerem bezpieczeństwa.

8. Rób kopie zapasowe (i testuj je). Automatyczna kopia bazy i plików w zewnętrznej lokalizacji to Twoja polisa na wypadek włamania czy błędu aktualizacji. Zasada 3-2-1 obowiązuje też małą stronę. Kopia nietestowana to tylko założenie.

9. Ogranicz uprawnienia i wykonywanie plików. Redaktorzy nie potrzebują praw administratora. Wyłącz edytor plików w panelu (DISALLOW_FILE_EDIT) i zablokuj wykonywanie PHP w katalogu uploads — to zamyka typowy webshell po wgraniu złośliwego pliku.

10. Wybieraj wtyczki świadomie. Przed instalacją sprawdź: kiedy ostatnio aktualizowano, ilu ma aktywnych instalacji, czy autor odpowiada na zgłoszenia. Porzucona wtyczka z tysiącami instalacji to bomba z opóźnionym zapłonem.

Jak rozpoznać, że strona została zhakowana

Typowe objawy: nieznane konta administratora, przekierowania na obce strony, spam w treści, ostrzeżenia przeglądarki lub Google „ta strona może być niebezpieczna”, nagły spadek wydajności, nowe pliki PHP w katalogach. Jeśli to widzisz — potraktuj jak incydent: zabezpiecz kopię do analizy, zmień wszystkie hasła (WordPress, hosting, baza, FTP), przejrzyj konta i pliki, a po oczyszczeniu zrotuj klucze i sole w wp-config.php, żeby unieważnić istniejące sesje.

Kiedy warto sięgnąć po test bezpieczeństwa

Powyższe kroki to higiena, którą wykonasz sam. Jeśli jednak Twoja strona przetwarza dane klientów, obsługuje płatności albo jest ważna dla biznesu, warto pójść dalej: test penetracyjny aplikacji webowej sprawdza nie tylko znane luki wtyczek, ale też logikę, kontrolę dostępu i konfigurację — czyli rzeczy, których automatyczny skaner nie znajdzie. To szczególnie ważne dla sklepów i stron z logowaniem użytkowników.

Najczęstsze pytania (FAQ)

Czy sama wtyczka bezpieczeństwa wystarczy? Nie. Wtyczka WAF to bardzo pomocna warstwa, ale nie zastąpi aktualizacji, mocnych haseł i kopii zapasowych. Wiele zhakowanych stron miało zainstalowaną wtyczkę bezpieczeństwa — i przestarzały motyw z krytyczną luką. Bezpieczeństwo to zestaw nawyków, nie jedno narzędzie.

Jak często aktualizować WordPressa? Poprawki bezpieczeństwa — najszybciej jak się da (najlepiej automatycznie). Większe aktualizacje wtyczek warto wdrażać po krótkim teście na kopii, zwłaszcza przy sklepach. Kluczowa zasada: nie zostawiaj krytycznej luki otwartej na tygodnie, bo dokładnie tego szukają automaty.

Mam małą stronę-wizytówkę. Czy ktoś naprawdę mnie zaatakuje? Tak — ataki są zautomatyzowane i nie sprawdzają, jak duża jest Twoja firma. Skanery przeczesują internet i wykorzystują każdą podatną instalację, często po to, by rozsyłać spam, hostować phishing albo doklejać złośliwe przekierowania. Mała strona bywa atakowana tak samo jak duża.

Co zrobić, gdy hosting zablokował mi stronę za „złośliwą aktywność”? To zwykle znak, że strona została zhakowana i wykorzystywana (np. do spamu). Nie usuwaj pochopnie plików — zabezpiecz kopię, zidentyfikuj złośliwy kod i punkt wejścia, oczyść, a potem zmień wszystkie hasła i klucze. Przy poważnym włamaniu warto zlecić analizę specjaliście.

Prowadzę sklep na WordPress/WooCommerce. Czego potrzebuję ponad tę listę? Sklep przetwarza dane i płatności, więc dochodzą: regularny test bezpieczeństwa, zgodność z RODO w zakresie środków technicznych i szczególna dbałość o wtyczki płatnicze. Pomożemy przejrzeć Twój sklep pod kątem realnych ryzyk. Napisz do nas.

Podsumowanie

Bezpieczeństwo WordPressa nie wymaga wiedzy programistycznej — wymaga konsekwencji. Aktualizuj wszystko, usuwaj nieużywane wtyczki, chroń logowanie mocnym hasłem i MFA, wymuś HTTPS, rób testowane kopie i wybieraj wtyczki z głową. Te dziesięć kroków zamyka drogi, którymi realnie wchodzą automaty. A jeśli strona jest ważna dla biznesu, uzupełnij higienę o profesjonalny test — zanim zrobi to za Ciebie ktoś niepowołany.


Źródła i dalsza lektura: WordPress Security, Sekurak, OWASP.

Udostępnij artykuł

Usługi Umów konsultację