Jak zabezpieczyć WordPressa? Przewodnik krok po kroku

Kategoria: 
WordPress
Opublikowane: 
Czas czytania
: 13 min

Ponad 95% stron internetowych, które są celem hakerów, to witryny na WordPressie – tak wynika z danych zebranych przez twórców platformy Sucuri. Powodem nie jest to, że sam WordPress jest źle napisanym CMS-em – wręcz przeciwnie – tylko fakt, że właściciele wielu stron podchodzą do bezpieczeństwa witryny dość powierzchownie, podczas gdy w rzeczywistości jest to cały proces. Dlatego przygotowaliśmy przewodnik, w którym podpowiemy, jak zabezpieczyć WordPressa na kilku poziomach.

Przewodnik jak zabezpieczyć WordPress

Dlaczego hakerzy atakują strony na WordPressie?

Są trzy główne powody, dla których ataki na WordPressa są aż tak częste:

  1. Według danych W3Techs oraz BuiltWith, na WordPressie działa niecałe 37 milionów stron WWW – czyli 42% wszystkich witryn w internecie. Przestępcom po prostu opłaca się szukać podatności w środowisku WordPressa, bo każda odkryta luka daje od razu dostęp do dziesiątek, setek tysięcy stron.
  2. Żaden inny CMS nie ma tak rozbudowanego ekosystemu; w bibliotece WP znajdziemy ponad 60 tysięcy pluginów, które są różnej jakości. Obok wtyczek wspieranych przez firmy z całymi zespołami developerów mamy pluginy rozwijane „po godzinach” albo takie, które ostatnią aktualizację otrzymały półtora roku temu. Tylko w 2024 roku w całym środowisku WP znaleziono 8 tysięcy luk bezpieczeństwa - 96% z nich kryło się właśnie w pluginach (wg raportu PathStack, State of WordPress Security).
  3. Ogromna część wordpressowych witryn… nie jest regularnie aktualizowana. Najdobitniej pokazują to statystyki udostępnianie przez WordPress.org: w lutym 2026 prawie 35% stron działało na nieaktualnej wersji WP.

Wszystko to sprawia, że WordPress jest bardzo atrakcyjnym celem dla hakerów, czego efekty widzimy niestety regularnie. W październiku ubiegłego roku specjaliści z Wordfence – eksperci ds. bezpieczeństwa WordPressa i twórcy jednego z najpopularniejszych pluginów w bibliotece WP – poinformowali, że w ciągu niecałych 48 godzin ich system zablokował… 1,6 miliona prób ataków. W skali roku naruszeń bezpieczeństwa WordPressa są dziesiątki milionów

  • złamania słabych haseł – na przykład techniką brute force;
  • wstrzyknięcia złośliwego kodu JavaScript przez niezabezpieczone formularze, pola komentarzy itp. – według przytoczonego już raportu PathStack, w 2024 r. aż 47,7% wykrytych luk bezpieczeństwa to były podatności właśnie na ataki XSS (cross-site scripting);
  • manipulacji zapytaniami do bazy danych MySQL – czyli tzw. SQL injection.

Pytanie brzmi więc, jak zabezpieczyć stronę na WordPressie, aby się przed tymi atakami obronić?

Przeczytaj także

Jakie są fundamenty bezpieczeństwa WordPressa?

Zanim przejdziemy do konkretnych wskazówek, zacznijmy od podstaw. Jeśli ochrona WordPressa przed atakami ma być skuteczna, to o te pięć kwestii musisz zadbać w pierwszej kolejności:

1. Bezpieczny hosting

Jeżeli dopiero zastanawiasz się nad wyborem hostingodawcy albo bierzesz pod uwagę migrację na inny serwer – nie należy się tego obawiać! – koniecznie przeanalizuj, jak różni dostawcy podchodzą do kwestii bezpieczeństwa. Dobry hosting (w tym przypadku obojętnie, czy pod WordPressa, czy nie), powinien zapewniać:

  • automatyczne skanowanie plików pod kątem malware’u;
  • własną zaporę sieciową;
  • izolację kont, jeśli mówimy o serwerze współdzielonym;
  • wsparcie dla najnowszej wersji PHP – obowiązkowo.

2. Aktualizacje

Nie trzeba tego wyjaśniać; update’y wtyczek, motywów, PHP oraz samego core WordPressa publikowane są nie tylko po to, żeby dodawać nowe funkcje, ale przede wszystkim, aby łatać luki bezpieczeństwa. Dowiedz się więcej o tym, jak aktualizować WordPressa.

3. Silne hasła

Tak jak powiedzieliśmy, ataki brute force cały czas są jednym z głównych narzędzi w rękach hakerów. Jest jeden sposób, aby się przed nimi obronić – wymusić na użytkownikach ustawianie trudnych do złamania haseł. To znaczy takich, które:

  • mają min. 12 znaków;
  • są kombinacją małych i wielkich liter, cyfr oraz symboli;
  • nie używają wyrazów, które można znaleźć w słowniku ani nazw własnych.

4. Zarządzanie uprawnieniami użytkowników

Zawsze warto trzymać się zasady minimalnych uprawnień, to znaczy: każdy, kto ma wgląd do panelu administracyjnego strony, powinien posiadać dostęp tylko i wyłącznie do tych funkcji, których faktycznie potrzebuje. Praca redaktora, który tylko dodaje treści na firmowego bloga, na pewno nie wymaga uprawnień na poziomie administratora.

5. Kopie zapasowe

Jeśli hakerom uda się przeprowadzić skuteczny atak na stronę, a nawet ją przejąć, to mając w pogotowiu backup, da się ją przywrócić do działania w ciągu kilku minut. Tu z kolei radzimy przestrzegać reguły „3-2-1” i przygotować trzy kopie danych, na dwóch różnych nośnikach, z których przynajmniej jeden znajduje się w zupełnie innej lokalizacji niż serwer strony.

Przeczytaj także
WordPress - fundamenty bezpieczeństwa

Jak skutecznie zabezpieczyć logowanie do panelu administratora?

Najczarniejszy scenariusz dla właściciela strony to ten, w którym przestępcy zyskują dostęp do całego panelu administracyjnego witryny, co – niestety – może się zdarzyć, nawet jeśli admin ma naprawdę silne hasło; wystarczy, że np. padnie ofiarą phishingu.

Dlatego warto zabezpieczyć panel administratora uwierzytelnianiem dwuskładnikowym. W bibliotece WordPressa jest sporo wtyczek, które pozwalają łatwo wdrożyć 2FA – większość działa tak, że oprócz hasła wymusza na użytkowniku weryfikację tożsamości za pomocą aplikacji na telefonie (np. Google Authenticator albo Authy) lub kodu przesyłanego na maila. O tym, jakie konkretnie pluginy polecamy, powiemy za moment.

Są też inne problemy – choćby to, że domyślnie WordPress nie stawia żadnych przeszkód botom, które próbują zalogować się do panelu admina, wypróbowując tysiące kombinacji haseł jedna po drugiej; tak właśnie wyglądają ataki brute force. Rozwiązanie jest proste: narzucić limit prób logowania, tak aby po określonej liczbie prób adres IP został tymczasowo zablokowany – to również można zrobić przy pomocy pluginów. Podobnie zresztą można (i warto!) ustawić automatyczne wylogowanie z sesji, jeśli użytkownik jest nieaktywny przez kilka/kilkanaście minut.

Czy warto stosować wtyczki bezpieczeństwa?

Tak, warto korzystać z pluginów – tylko trzeba to robić z głową, ponieważ nadmiar wtyczek potrafi bardzo mocno obciążyć serwer i tym samym spowolnić stronę.

Najlepiej wybrać z biblioteki WordPressa jedną, maksymalnie dwie wtyczki bezpieczeństwa, które od razu oferują cały pakiet funkcji: działają jako firewall, skanują pliki pod kątem malware’u, monitorują logi, pozwalają wdrożyć 2FA, automatycznie weryfikują integralność plików po aktualizacjach i tak dalej.

Jakie wtyczki możemy polecić?

  • Wordfence Security – zdecydowanie najpopularniejszy plugin tego typu. Nie bez powodu; nawet w darmowej wersji oferuje rozbudowaną zaporę sieciową (WAF), skaner malware i luk bezpieczeństwa we wtyczkach, ochronę przed atakami brute force oraz szczegółowy podgląd ruchu na stronie w czasie rzeczywistym; w wersji premium opcji jest jeszcze więcej;
  • All-In-One Security – ciekawa alternatywa dla Wordfence, z podobnym zakresem funkcji, ale przyjaźniejsza dla początkujących i mocno nastawiona na wydajność. W zamian za to ma ograniczone opcje konfiguracji firewalla oraz mniej zaawansowany skaner zagrożeń, ale dla małych-średnich stron może w zupełności wystarczyć;
  • Solid Security – jest nieco mniej „wszechstronny”, bo skupia się głównie na zabezpieczeniach panelu administracyjnego. Natomiast jeśli szukasz narzędzia do konfiguracji systemu logowania, trudno znaleźć lepszą opcję. Tym bardziej, że Solid Security ma sześć zoptymalizowanych presetów zabezpieczeń, każdy dla innego typu strony. Możesz więc korzystać z innego zestawu, jeśli prowadzisz e-sklep, a innego, lżejszego, jeśli zarządzasz firmową stroną-wizytówką;
  • Sucuri Security – to z kolei wtyczka, która przyda się przede wszystkim przy audytach bezpieczeństwa, jako że w darmowej wersji Sucuri udostępnia bardzo dobry skaner zagrożeń i narzędzie do weryfikowania integralności plików. Za niewielką opłatą (20 dolarów miesięcznie) otrzymujesz także dostęp do hostowanego w chmurze firewalla.

Jak zabezpieczyć WordPressa na poziomie serwera i plików?

Zabezpieczenia strony internetowej na WordPressie nie powinny kończyć się na kilku wtyczkach. Część pracy trzeba wykonać samemu, zwłaszcza po stronie serwera. Co jest ważne i jak to zrobić?

  1. Certyfikat SSL/TLS

    Każda strona powinna taki certyfikat posiadać. SSL i TLS to protokoły sieciowe, które szyfrują połączenie między przeglądarką użytkownika a serwerem, dzięki czemu dane przesyłane np. przez formularz kontaktowy albo panel logowania nie mogą zostać przechwycone przez osoby trzecie. Nawet jeśli się tego nie obawiasz – co jest błędem! – to musisz pamiętać o tym, że wszystkie przeglądarki oznaczają strony bez certyfikatu jako niezabezpieczone i przy próbie wejścia wyświetlają stosowny komunikat… co odstrasza wielu użytkowników.

  2. PHP

    Jak większość CMS-ów, cały WordPress opiera się na języku PHP. W każdej chwili ma on 3-4 wersje stabilne, które są wspierane przez twórców i otrzymują regularne łatki bezpieczeństwa; starsze wydania tego wsparcia nie mają, więc wykryte w nich podatności będą już zawsze stanowiły zaproszenie dla hakerów.

    Koniecznie zadbaj, aby na hostingu zawsze zainstalować którąś z najnowszych wersji stabilnych PHP. Tego, które wydania są teraz rekomendowane przez twórców WordPressa, dowiesz się najszybciej tutaj.

  3. Plik .htaccess

    Jeśli hostujesz stronę na Apache – tak jak większość witryn w Polsce – to .htaccess jest najważniejszym plikiem na serwerze (przynajmniej poza plikami strony). Służy do konfiguracji serwera i wystarczy umieścić w nim kilka reguł, aby zablokować hakerom całe ścieżki ataku na witrynę. Oto trzy, które naszym zdaniem warto dodać zawsze. Aby zablokować dostęp z zewnątrz do pliku wp-config.php, czyli głównego pliku konfiguracyjnego WordPressa, zawierającego m.in. dane dostępowe do całej bazy danych, użyj reguły: 

    <files wp-config.php>
order allow,deny
deny from all
</files>

    Jeśli nie korzystasz z aplikacji mobilnej WordPressa ani z narzędzi do zdalnego publikowania, warto też zablokować interfejs XML-RPC; dawniej często służył do zdalnego zarządzania WordPressem, a dziś jest wykorzystywany głównie przez hakerów do ataków brute force i DDoS. Reguła wygląda podobnie:

    <files xmlrpc.php>
order allow,deny
deny from all
</files>

    Serwery stron WWW mają też to do siebie, że jeśli brakuje na nich prostego pliku index.php lub index.html (od nich przeglądarki zaczynają renderowanie witryny), to gdy ktoś – na przykład haker – poda odnośnik do katalogu strony, automatycznie… wyświetlają listę plików w tym katalogu. Od razu widać, że to kopalnia informacji o strukturze witryny – ale znów, da się to zablokować jedną linijką:

    Options -Indexes

  4. Uprawnienia plików

    Reguły uprawnień plików można bardzo łatwo ustawić w panelu do zarządzania serwerem, w menedżerze plików (obojętnie, czy będzie to cPanel, Plesk albo DirectAdmin) – i zdecydowanie polecamy to zrobić, tak aby nikt z zewnątrz nie mógł modyfikować plików strony na serwerze.

    Większość administratorów ustawia uprawnienia tak:

    • dla katalogów – właściciel może je odczytywać, zapisywać i wykonywać, pozostali – tylko odczytywać i wykonywać; kod uprawnień, który wpisujemy w ustawieniach katalogu to 755;
    • dla plików – właściciel może je odczytywać i zapisywać, pozostali – tylko odczytywać; kod uprawnień to 644;
    • dla pliku wp-config.php – tylko właściciel może go odczytywać i zapisywać; kod uprawnień to 600.

  5. Zmiana prefiksu bazy danych

    I jeszcze jedna wskazówka – WordPress nazywa wszystkie swoje tabele w bazie danych z prefiksem wp_, o czym hakerzy doskonale wiedzą i wykorzystują to przy atakach typu SQL injection.

    Aby im to utrudnić, wystarczy zmienić prefiks – co można zrobić albo pluginem (np. Solid Security ma taką funkcję), albo od razu na etapie instalacji WP.

Jakie dobre nawyki chronią stronę przed wirusami?

Warto wspomnieć też o czymś, co moglibyśmy określić mianem „higieny pracy z WordPressem”. Prawda jest taka, że spora część problemów z bezpieczeństwem bierze się z niedopatrzeń po stronie właściciela strony albo administratora, a wystarczyłoby trzymać się kilku dobrych zasad:

  • nigdy nie instaluj wtyczek spoza oficjalnej biblioteki WordPressa;
  • przed instalacją nowej wtyczki – także z biblioteki – koniecznie ją zweryfikuj. Sprawdź, kiedy była ostatnio aktualizowana, ile ma aktywnych instalacji (popularność wtyczki zazwyczaj idzie w parze z tym, jak dobre ma wsparcie community) i, oczywiście, jak wyglądają recenzje
  • Regularnie usuwaj wtyczki i motywy, z których nie korzystasz – nie wystarczy ich tylko wyłączyć, ponieważ wtedy ich pliki dalej są na serwerze i mogą stanowić entry-point dla hakerów;
  • Gdy łączysz się z serwerem, żeby przesłać lub pobrać pliki, używaj protokołu SFTP zamiast FTP; ten pierwszy szyfruje dane na tej samej zasadzie, jak protokół SSL/TLS;
  • Stale monitoruj ruch na stronie – polecamy na przykład wtyczkę WP Activity Log, która w bardzo przejrzystym „dzienniku” odnotowuje, kto się loguje do strony, kiedy oraz jakie zmiany wprowadza w plikach i ustawieniach.
WordPress - dobre nawyki w użytkowaniu

Co zrobić, jeśli podejrzewasz wirusa lub włam?

W najgorszym wypadku, jeśli zabezpieczenia WordPressa nie zadziałały i podejrzewasz, że komuś udało się np. wstrzyknąć złośliwy kod do plików Twojej strony – po pierwsze, nie panikuj, a po drugie, od razu przejdź do działania.

  • Odizoluj witrynę od ruchu z zewnątrz – tak, aby hakerzy nie mogli wyrządzić szkód po stronie Twoich użytkowników. Możesz to zrobić na kilka sposobów: albo tymczasowo zawiesić działanie domeny w panelu hostingu, albo włączyć tryb konserwacji za pomocą któregoś z pluginów z biblioteki WordPressa, albo – i to jest najpewniejsza opcja – zablokować żądania HTTP ze wszystkich adresów IP poza Twoim własnym.
  • jak najszybciej zmień hasła – wszystkie, bez wyjątku: do konta administratora WordPressa, panelu hostingu, FTP/SFTP oraz bazy danych;
  • zweryfikuj konta, które mają dostęp do panelu WordPressa – jedną z pierwszych rzeczy, które niemal zawsze robią hakerzy, jest założenie własnego konta administratora, tak żeby zachować dostęp do strony nawet po wykryciu włamania – usuń te podejrzane;
  • przeskanuj stronę pod kątem złośliwego kodu – wszystkie wtyczki bezpieczeństwa, o których pisaliśmy wcześniej, mają wbudowane skanery, które porównują pliki Twojej strony z oryginalnymi plikami WordPressa, wtyczek oraz modułów z oficjalnej biblioteki. Możesz też skorzystać z darmowego skanera na stronie Sucuri;
  • sprawdź logi serwera – znajdziesz tam informacje o podejrzanych żądaniach do serwera witryny i, co najważniejsze, zobaczysz, które konkretnie pliki (i kiedy) zostały zmodyfikowane;
  • jeśli uda Ci się określić, w jaki sposób przestępcy włamali się na Twoją stronę – załataj lukę; najczęściej rozwiązaniem jest usunięcie lub zaktualizowanie problematycznej wtyczki, jako że właśnie z nich najczęściej korzystają hakerzy;
  • przywróć stronę do działania – najbezpieczniej zrobić to z kopii zapasowej sprzed włamania, oczywiście już z uwzględnieniem zmian z punktu 6;
  • jeżeli na Twojej stronie przetwarzane są dane osobowe użytkowników – bo na przykład prowadzisz sklep na WooCommerce albo zbierasz adresy e-mail w formularzach – i przestępcy mogli zdobyć do nich dostęp, zgłoś incydent do Urzędu Ochrony Danych Osobowych; zgodnie z RODO masz na to 72 godziny od wykrycia;
  • przez pierwszych kilka tygodni od incydentu warto uważniej niż kiedykolwiek monitorować stronę: śledzić logi serwera, przeprowadzać kolejne skany pod kątem malware’u itd. Jeśli przestępcom udało się raz włamać na Twoją witrynę, mogą spróbować zrobić to jeszcze raz, aby „przetestować”, czy na pewno znalazłeś i załatałeś wszystkie luki.

Najczęściej zadawane pytania

Czy wtyczki typu Wordfence/WP Cerber mogą spowolnić stronę i jak to ocenić?

Tak, mogą – dlatego warto przed i po instalacji zmierzyć wydajność strony w PageSpeed Insights oraz GTmetrix.

Czy mogę włączyć automatyczne aktualizacje i nie ryzykować awarii?

Jeśli chodzi o pomniejsze aktualizacje wersji (np. z 6.7.1 na 6.7.2), które skupiają się właśnie na łataniu luk bezpieczeństwa WordPressa – jak najbardziej możesz to zrobić, rzadko powodują one konflikty.

Inaczej jest w przypadku „dużych” update’ów, powiedzmy, z wersji 6.7 na 6.8 oraz aktualizacji wtyczek; lepiej przeprowadzać je ręcznie.

Czy da się zabezpieczyć WordPressa bez żadnych wtyczek?

Część zabezpieczeń – zwłaszcza po stronie serwera – da się wdrożyć bez wtyczek, natomiast aby skonfigurować firewalla, zautomatyzować monitoring witryny pod kątem malware’u albo podejrzanych zapytań HTTP, dobry plugin na pewno się przyda.

Jak zabezpieczyć WordPressa, gdy mam wielu redaktorów i rotację w zespole?

W takim przypadku złotą zasadą będzie reguła minimalnych uprawnień – każdy, kto ma dostęp do panelu WordPressa, powinien móc wprowadzać tylko takie zmiany, które naprawdę są konieczne w jego pracy. Czyli np. redaktor nie powinien móc w żaden sposób ingerować w konfigurację pluginów, jedynie publikować nowe treści na stronie.

O autorze
Denis Peszka

Denis Peszka

Tech Lead

Programista na pełen etat z głową pełną pomysłów. Zawsze znajdzie rozwiązanie. Posiada rzadko spotykaną zdolność konwertowania kawy w kod. W wolnych chwilach lubi pomajsterkować.

Oceń wpis
0

Chcesz stworzyć funkcjonalną i bezpieczną stronę na WordPressie?