Bezpieczny WordPress – jak zabezpieczyć stronę krok po kroku

WordPress to najpopularniejszy system zarządzania treścią na świecie – a to oznacza jedno: jest również najczęstszym celem ataków. Dobra wiadomość jest taka, że większości zagrożeń można łatwo uniknąć, stosując kilka sprawdzonych zasad.

Bezpieczeństwo strony zaczyna się nie od wtyczek, ale od świadomych decyzji – wyboru hostingu, konfiguracji konta i podstawowych zabezpieczeń.

Krok 1: Wybór odpowiedniego hostingu

Hosting to fundament bezpieczeństwa Twojej strony. Nawet najlepsze wtyczki nie pomogą, jeśli serwer jest źle skonfigurowany.

Na co zwrócić uwagę?

Support

• czy odpowiada szybko?
• czy pomaga technicznie, czy tylko „odsyła do instrukcji”?

W krytycznej sytuacji support = ratunek

Wersja PHP

• minimum: PHP 8.0+
• najlepiej: możliwość wyboru wersji

Starsze wersje = większe ryzyko ataku

Separacja domen

• czy konta są izolowane?
• czy jedna zhakowana strona nie „ciągnie” innych?

Bardzo ważne przy kilku stronach

Ochrona DDoS

• czy hosting ma system blokujący ataki?
• czy współpracuje z firewallami?

Dostęp SFTP / SSH

• bezpieczne połączenie z serwerem
• nie używaj zwykłego FTP (jest podatny na przechwycenie)

Opinie użytkowników

Sprawdź:

• Trustpilot
• Google Opinie
• grupy na Facebooku / fora

Backupy

• jak często są robione? (min. 1x dziennie)
• jak długo są przechowywane?
• czy hosting przywraca backup, czy robisz to sam?

Idealnie, gdy backup jest automatyczny + możliwość przywrócenia jednym kliknięciem

Osobiście polecam moim Klientom 2 hostingi – lh.pl oraz zenbox.pl

Krok 2: Instalacja Certyfikatu SSL (https)

SSL zabezpiecza dane użytkowników:

• loginy
• hasła
• płatności

Bez SSL Twoja strona jest NIEBEZPIECZNA

Obydwa polecane przeze mnie hostingi lh.pl oraz zenbox.pl oferują darmowy certyfikat Let’s Encrypt. 

Krok 3: Instalacja WordPress – nieoczywisty login i mocne hasło to podstawa

Przy zakładaniu konta na hostingu czy instalacji wordpress NIGDY nie używaj prostych haseł typu:

• admin123
• haslo123

Skorzystaj z generatorów haseł:

• https://1password.com/
• https://gdata.pl/generator-bezpiecznych-hasel

Instalacja wordpress – nieoczywisty login

Zamiast: admin ustaw: losowy login (np. mk_admin_92)

Zmiana loginu admin w WordPress

Jeśli posiadasz już login typu admin na zainstalowanym WordPress – wciąż możesz to zmienić.

1. Wejdź w WordPress Użytkownicy → Dodaj nowego
2. Utwórz nowego administratora
3. Zaloguj się na nowe konto
4. Usuń stare konto 

Zmień pseudonim autora

1. Wejdź w WordPress Edytuj profil (prawy górny róg)
2. W profilu ustaw Imię, nazwisko, pseudonim, przedstawiaj mnie jako (wybierz inne nazwy niż admin)
3. Zaktualizuj profil

Manager haseł

Warto używać zewnętrznych narzędzi do zapamiętywania haseł i logowania się na strony. Bezpłatne rozwiązanie:

• https://bitwarden.com/

Krok 4: Backupy – Twoje ubezpieczenie

Zasada: „Jeśli nie masz backupu – nie masz strony”

Rodzaje backupów:

• backupy z hostingu
• własne backupy (np. w chmurze)

Polecane wtyczki:

• WPvivid Backup & Migration
• UpdraftPlus

Ustaw automatyczne backupy (np. codziennie)

Krok 5: Aktualizacje – absolutna podstawa

Regularnie aktualizuj:

• WordPress
• motywy
• wtyczki

Stare wersje = największe źródło ataków 

Krok 6: Wtyczki zabezpieczające 

Firewall

• Wtyczka: All In One WP Security & Firewall

Ukrycie wersji WordPress

• Wtyczka: Meta Generator and Version Info Remover

Podwójna weryfikacja (2FA)

• Wtyczka: Two-Factor

Nawet jeśli ktoś pozna hasło – nie zaloguje się

Limit prób logowania

• Wtyczka blokująca brute force: Limit Login Attempts Reloaded

Krok 6: Dodatkowe zabezpieczenia

CAPTCHA

• Google reCAPTCHA

Zabezpiecza formularze kontaktowe przed spamem

Wyłącz niepotrzebne funkcje

Jeśli nie masz kursu online – wyłącz rejestrację użytkowników i możliwość dodawania komentarzy.

Mniej funkcji = mniejsze ryzyko

Krok 7: Ostatni krok – sprawdź bezpieczeństwo swojej strony

Użyj: https://sitecheck.sucuri.net/

Sprawdzisz: malware, blacklisty, podatności

Strona, na której jesteś – jest w pełni bezpieczna!