WordPress napędza ponad 40% wszystkich stron internetowych na świecie – i właśnie dlatego jest najchętniej atakowaną platformą. Hakerzy nie celują w Ciebie personalnie. Używają zautomatyzowanych botów, które skanują miliony witryn w poszukiwaniu znanych luk. Jeśli Twoja strona nie jest zaktualizowana albo ma słabe hasło – wystarczy kilka sekund.
Przejąta strona to nie tylko problem techniczny. To utrata danych klientów, blokada w Google, zniszczona reputacja i nierzadko dziesiątki godzin pracy nad przywróceniem witryny do stanu sprzed ataku. Widziałem to wiele razy.
⚠ Statystyka, która robi wrażenie: według danych Sucuri ponad 90% zainfekowanych stron WordPress było niezaktualizowanych lub używało podatnych na ataki wtyczek.
Poniżej 10 konkretnych kroków – część możesz wdrożyć samodzielnie w kilka minut, część wymaga programisty. Przy każdym oznaczam poziom trudności.
10 kroków do bezpiecznego WordPressa
1
Aktualizuj WordPress, wtyczki i motywy regularnie łatwe
To najważniejszy krok i najczęściej pomijany. Każda aktualizacja łata znane luki bezpieczeństwa. Włącz automatyczne aktualizacje drobnych wersji (np. 6.4.1 → 6.4.2) i sprawdzaj większe co kilka tygodni. Nieużywane wtyczki i motywy – usuń, nie tylko dezaktywuj.
2
Zmień domyślną nazwę użytkownika „admin" łatwe
Boty próbują logować się na konto „admin" automatycznie. Jeśli Twój login to „admin" – zmień go natychmiast. Stwórz nowe konto administratora z unikalną nazwą, zaloguj się na nie, a stare usuń. Transferuj posty na nowe konto.
3
Używaj silnego hasła i managera haseł łatwe
Hasło do WordPressa powinno mieć minimum 16 znaków, zawierać wielkie i małe litery, cyfry i znaki specjalne. Użyj generatora wbudowanego w WordPress lub managera haseł jak Bitwarden (darmowy). Nigdy nie używaj tego samego hasła na dwóch serwisach.
4
Włącz uwierzytelnianie dwuskładnikowe (2FA) łatwe
Nawet jeśli ktoś zdobędzie hasło – bez drugiego składnika (kod z telefonu) nie zaloguje się. Wtyczka WP 2FA lub Google Authenticator – instalacja zajmuje 5 minut i działa z aplikacjami Authy, Google Authenticator, Microsoft Authenticator.
5
Zainstaluj certyfikat SSL (HTTPS) łatwe
Strona bez HTTPS jest oznaczana przez Chrome jako „Niezabezpieczona" – to odstrasza klientów i szkodzi SEO. Let's Encrypt jest darmowy i dostępny u większości polskich hostingów (cyber_Folks, LH.pl, Aftermarket) jednym kliknięciem w panelu.
6
Ogranicz liczbę prób logowania łatwe
Domyślnie WordPress pozwala na nieograniczoną liczbę prób logowania – boty to wykorzystują (atak brute force). Wtyczka Limit Login Attempts Reloaded (darmowa) blokuje IP po kilku nieudanych próbach. Ustaw limit na 3–5 prób.
7
Rób regularne kopie zapasowe średnie
Kopia zapasowa to ostatnia linia obrony – jeśli wszystko inne zawiedzie, możesz przywrócić stronę. UpdraftPlus (darmowy) automatycznie zapisuje kopie na Google Drive lub Dropbox. Ustaw codzienne kopie bazy danych i tygodniowe pełne kopie plików. Kopia na tym samym serwerze nie liczy się jako backup.
8
Ukryj wersję WordPressa i informacje systemowe średnie
Domyślnie WordPress ujawnia swoją wersję w kodzie źródłowym – co ułatwia atakującym znalezienie odpowiednich exploitów. Dodaj do pliku
functions.php swojego motywu: remove_action('wp_head', 'wp_generator'). Wtyczka Wordfence robi to automatycznie.9
Zmień domyślny prefiks tabel bazy danych wymaga programisty
Domyślny prefiks tabel WordPressa to „wp_" – znany każdemu atakującemu. Zmiana na losowy ciąg znaków (np. „xk7m_") utrudnia ataki SQL injection. To wymaga edycji pliku wp-config.php i bazy danych – najlepiej zlecić programiście przy nowych instalacjach.
10
Zainstaluj wtyczkę bezpieczeństwa i monitoruj średnie
Wordfence (darmowa wersja wystarczy na start) oferuje firewall aplikacyjny, skaner złośliwego kodu, alerty mailowe o podejrzanej aktywności i blokowanie podejrzanych IP. Skanuj stronę minimum raz w tygodniu. W wersji premium dodaje blacklistę IP aktualizowaną w czasie rzeczywistym.
Co zrobić, jeśli strona została już zainfekowana?
Nie panikuj – to da się naprawić. Kroki w odpowiedniej kolejności:
- Nie usuwaj niczego sam – możesz zniszczyć dowody i utrudnić czyszczenie.
- Odizoluj stronę – wyłącz ją tymczasowo lub postaw tryb konserwacji.
- Przywróć kopię zapasową sprzed infekcji (jeśli masz).
- Jeśli nie masz kopii – użyj Wordfence Site Cleaning lub zleć programiście ręczne usunięcie malware.
- Zmień wszystkie hasła: WordPress, hosting, FTP, baza danych.
- Sprawdź, czy Google nie oznaczył Twojej strony jako niebezpieczną – w Google Search Console w sekcji „Problemy z bezpieczeństwem".
- Po oczyszczeniu wdroż wszystkie 10 kroków powyżej.
Moja zasada: bezpieczeństwo to nie jednorazowa akcja, lecz rutyna. 30 minut miesięcznie na aktualizacje i przegląd logów wystarczy, żeby uniknąć 95% problemów.
Chcesz, żebym sprawdził bezpieczeństwo Twojej strony?
Robię audyt bezpieczeństwa WordPress – sprawdzam konfigurację, wtyczki, uprawnienia plików i bazę danych. Dostajesz raport z konkretnymi zaleceniami i mogę wdrożyć poprawki od razu. Napisz – omówimy zakres.