WordPress napędza 43% wszystkich stron w internecie. To czyni go największym celem ataków hakerskich na świecie. Codziennie atakowanych jest ponad 90 000 stron WordPress — większość przez proste luki, które można było zablokować w 30 minut.
Nie piszę tego żeby Cię straszyć. Piszę dlatego, że widziałem co się dzieje gdy strona firmowa lub sklep zostają przejęte — utrata danych klientów, kara RODO, miesiące czyszczenia szkód, reputacja w gruzach.
Poniżej minimum, które wdraża się raz i działa przez lata.
Fundamenty — bez nich nic innego nie ma sensu
Aktualizacje: WordPress, motywy, wtyczki
To jest najważniejsza rzecz. Powtórzę: najważniejsza. Większość włamań na strony WordPress to efekt exploitów w nieaktualizowanych wtyczkach — nie błędów użytkownika, nie słabych haseł.
Co robić:
- Włącz automatyczne aktualizacje dla WordPress core (minor wersje)
- Regularnie aktualizuj wtyczki — minimum raz w tygodniu
- Usuń wtyczki i motywy, których nie używasz — nieaktywna wtyczka z luką to nadal luka
- Kupuj wtyczki tylko z zaufanych źródeł (wordpress.org lub znani producenci). Piracone wtyczki "premium" to często trojany.
Silne hasła i unikalne loginy
Login "admin" + proste hasło to kombinacja, którą boty próbują co kilka sekund na milionach stron WordPress. To nie jest przesada — to rzeczywistość.
- Usuń lub zmień konto "admin" — użyj unikalnej nazwy użytkownika
- Hasło minimum 16 znaków, losowe — używaj managera haseł (1Password, Bitwarden)
- Każdy użytkownik strony powinien mieć swoje konto z odpowiednimi uprawnieniami (nie dawaj wszystkim roli Administrator)
Dwuetapowa weryfikacja (2FA)
Nawet jeśli ktoś zdobędzie Twoje hasło — 2FA blokuje dostęp. Implementacja: wtyczka WP 2FA (bezpłatna) + aplikacja Google Authenticator lub Authy na telefonie. Konfiguracja: 10 minut.
Backup — Twoja ostatnia linia obrony
Dobry backup to jedyna rzecz, która pozwoli Ci wrócić do działania po ataku bez tygodniowych strat. Zły backup — to ból i pieniądze.
Zasada 3-2-1:
- 3 kopie danych
- 2 różne nośniki/usługi
- 1 kopia poza głównym serwerem
Dla WordPress konkretnie: wtyczka UpdraftPlus (bezpłatna wersja wystarczy) + automatyczny backup codziennie + zapis na Google Drive lub Dropbox. Koszt: 0 zł, czas konfiguracji: 20 minut.
Ochrona przed atakami brute-force
Boty próbują logować się na Twoja stronę tysiące razy dziennie, testując kombinacje haseł. Dwa sposoby obrony:
Limit prób logowania
Wtyczka Limit Login Attempts Reloaded (bezpłatna) — po 3–5 nieudanych próbach zablokuj adres IP na X godzin. To eliminuje 95% ataków brute-force.
Zmiana adresu strony logowania
Domyślnie WordPress loguje się przez /wp-admin/ lub /wp-login.php. Zmień ten adres na coś nieoczywistego — wtyczka WPS Hide Login (bezpłatna, 2 minuty konfiguracji). Boty szukają domyślnych adresów — jeśli nie ma /wp-admin/, omijają stronę.
WAF — zapora aplikacyjna
Web Application Firewall (WAF) filtruje ruch zanim dotrze do WordPress. Blokuje znane wzorce ataków — SQL injection, XSS, skanowanie podatności.
Opcje:
- Cloudflare (bezpłatny plan) — podstawowy WAF + CDN + DDoS protection. Wystarczy dla większości stron firmowych.
- Wordfence (wtyczka, bezpłatna) — WAF bezpośrednio w WordPress, skaner malware, monitoring aktywności. Dobry start.
- Sucuri (płatny) — dla sklepów i stron z danymi wrażliwymi. Od ~100 USD/rok.
Monitorowanie i alerty
Chcesz wiedzieć o problemach zanim zrobi to Google lub Twój klient. Minimum:
- Uptime monitoring — UptimeRobot (bezpłatny) sprawdza co 5 minut czy strona działa i wysyła SMS/mail gdy nie działa
- Google Search Console — Google informuje Cię jeśli wykryje malware lub spam na Twojej stronie
- Wordfence (jeśli używasz) — alerty email przy podejrzanej aktywności
Co NIE jest konieczne (i za co nie warto płacić)
Na rynku jest dużo produktów "premium security for WordPress" w cenie 200–500 zł/rok, które robią głównie to co bezpłatne narzędzia. Nie potrzebujesz:
- Drogie wtyczki "all-in-one security" — kombinacja bezpłatnych robi to samo
- Usług monitorowania za tysiące złotych miesięcznie — jeśli nie jesteś bankiem
- Skanowania w czasie rzeczywistym na tanim hostingu shared — obciąży serwer bardziej niż atak
Bezpieczeństwo to nie produkt, który kupujesz raz. To proces — regularne aktualizacje, monitoring, testy. Jeden dzień zaniedbania może kosztować miesiąc odbudowy.
Szybka checklista — zrób to dziś
- Sprawdź aktualizacje WordPressa, motywu i wtyczek — zaktualizuj wszystko
- Usuń nieużywane wtyczki i motywy
- Zmień login "admin" na unikalny
- Włącz 2FA dla wszystkich kont administratorów
- Skonfiguruj automatyczny backup na zewnętrzny storage
- Zainstaluj Limit Login Attempts Reloaded
- Skonfiguruj UptimeRobot
- Sprawdź Google Search Console — czy nie ma alertów bezpieczeństwa
To 2–3 godziny pracy raz, które mogą uchronić Cię przed tygodniami problemów.
Jeśli chcesz żebym przeprowadził audyt bezpieczeństwa Twojej strony WordPress i wdrożył te rozwiązania — napisz lub umów konsultację. Mogę to zrobić zdalnie, bez dostępu fizycznego do serwera.
