TL;DR
- WordPress bezpieczeństwo 2026 opiera się na trzech filarach: aktualizacje, dostęp i backup. Wszystko inne to zaawansowanie.
- 60% włamań do WordPress wynika z nieaktualnych wtyczek, nie z ataków zero-day.
- 12 konkretnych kroków z wtyczkami i komendami. Bez ogólników w stylu "używaj silnych haseł".
- Czas implementacji wszystkich 12 kroków: 4-6 godzin. Koszt wtyczek: $0-100/rok.
- Audyt bezpieczeństwa i RODO od 6 000 PLN netto dla firm które potrzebują pełnej weryfikacji.
Dlaczego standardowe porady o wordpress bezpieczeństwo nie działają?
Większość artykułów o wordpress bezpieczeństwo kończy się listą "zainstaluj Wordfence, używaj silnych haseł, rób backupy". To prawda, ale brakuje konkretów: jaką konfigurację Wordfence, jakie hasła, jak często backupy i gdzie je trzymać.
Poniżej 12 kroków z konkretnymi narzędziami, komendami i ustawieniami. Bez teorii.
Co zmienił 2026 w wordpress bezpieczeństwo?
Trzy trendy zmieniły krajobraz w ostatnich 12 miesiącach. Po pierwsze: automatyczne skanowanie wtyczek przez boty. Atakujący nie szukają już ręcznie podatnych instalacji, masowo skanują wszystkie publiczne instalacje WordPress w poszukiwaniu znanych CVE. Czas między opublikowaniem podatności a pierwszymi atakami skrócił się do kilku godzin.
Po drugie: ataki na łańcuch dostaw (supply chain). Kilka popularnych wtyczek z milionami instalacji zostało przejętych przez złośliwy kod wstrzyknięty w update. Weryfikacja wydawcy wtyczki jest dziś tak ważna jak weryfikacja samej wtyczki.
Po trzecie: automatyczne narzędzia do testów penetracyjnych są dostępne za darmo. Ktokolwiek może uruchomić WPScan i znaleźć lukę w Twojej instalacji w 5 minut.
12 kroków do bezpiecznego WordPress w 2026
Krok 1: Aktualizuj automatycznie core, motywy i wtyczki
WordPress statystyki pokazują, że większość exploitowanych podatności jest znana i załatana. Problem: admini nie aktualizują.
Włącz automatyczne aktualizacje minor w wp-config.php:
define('WP_AUTO_UPDATE_CORE', 'minor');
Dla wtyczek: w panelu WordPress, w każdej wtyczce, ikona "auto-updates" → "Enable auto-updates". Dla motywu: to samo w Appearance > Themes.
Wyjątek: wtyczki stworzone na zamówienie lub mocno zmodyfikowane. Tam aktualizacja może zepsuć customizację. Testuj na staging przed auto-update.
Krok 2: Usuń nieużywane wtyczki i motywy
Każda zainstalowana wtyczka (nawet dezaktywowana) to potencjalny wektor ataku. Patchstack database pokazuje dziesiątki podatności w popularnych wtyczkach miesięcznie.
Zasada: jeśli nie używasz wtyczki od 3+ miesięcy, usuń. Domyślne motywy WordPress (Twenty Twenty-X): usuń wszystkie poza aktualnie używanym.
Krok 3: Zmień prefiks tabel bazy danych
Domyślny prefiks wp_ jest znany każdemu atakującemu. Zmień go przy instalacji lub przez wtyczkę np. Brozzme DB Prefix. Nowy prefiks: losowy ciąg znaków (np. k7q3_).
Uwaga: zmiana po instalacji wymaga backupu przed i weryfikacji po. Nie wykonuj bez testów na staging.
Krok 4: Zabezpiecz plik wp-config.php
wp-config.php zawiera credentials bazy danych. Przenieś go katalog wyżej niż public_html (WordPress automatycznie go znajdzie). W .htaccess dodaj:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Krok 5: Ogranicz dostęp do wp-admin
Jeśli administrujesz z jednego IP (stałe łącze firmowe): ogranicz dostęp do /wp-admin/ i wp-login.php przez .htaccess:
<Files wp-login.php>
order deny,allow
deny from all
allow from TW_IP
</Files>
Bez stałego IP: użyj wtyczki Loginizer lub Login LockDown. Blokuj IP po 3-5 nieudanych próbach logowania.
Krok 6: Zmień domyślny login administratora
Konto o loginie admin to pierwszy cel brute-force. Utwórz nowe konto z innym loginem i pełnymi prawami administratora. Usuń stare konto admin. Przypisz wszystkie posty do nowego konta przy usuwaniu.
Krok 7: Włącz dwuetapowe logowanie (2FA)
Nawet przy silnym haśle: 2FA blokuje większość ataków brute-force i phishingowych. Wtyczka: Two Factor Authentication (WP 2FA). Konfiguracja: TOTP przez Google Authenticator lub Authy. Obowiązkowe dla wszystkich kont z rolą Editor i wyżej.
Krok 8: Zainstaluj i skonfiguruj firewall WAF
Dwie opcje:
Wordfence Free: WAF blokuje znane ataki, skanuje pliki, monitoruje logowania. Konfiguracja: Extended Protection (wymaga dodania reguły do .htaccess), skanowanie raz dziennie, powiadomienia e-mail przy podejrzanej aktywności.
Cloudflare WAF ($20/mies): Filtruje ruch przed dotarciem do serwera. Szybszy niż Wordfence, bo nie obciąża PHP. Dodatkowe korzyści: CDN, DDoS protection, SSL.
Wordfence threat intelligence aktualizuje reguły w czasie rzeczywistym.
Krok 9: HTTPS i certyfikat SSL z auto-renewal
HTTPS to podstawa w 2026. Certyfikat Let's Encrypt: bezpłatny, automatycznie odnawiany co 90 dni. Sprawdź czy Twój hosting oferuje auto-renewal w panelu.
Po instalacji SSL: wymusz HTTPS przez .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Usuń mixed content: HTTP zasoby załadowane na stronie HTTPS. Wtyczka Better Search Replace do zmiany URL w bazie danych.
Krok 10: Backupy 3-2-1
Reguła 3-2-1: 3 kopie, 2 różne nośniki, 1 poza lokalizacją.
Wtyczka UpdraftPlus (Free): Backup automatyczny raz dziennie, przechowywanie w Google Drive lub Dropbox (poza serwerem). Retention: 7 wersji. Konfiguracja zajmuje 15 minut.
Sprawdź backup: raz w miesiącu uruchom restore na środowisku staging i zweryfikuj że strona działa.
Krok 11: Wyłącz XML-RPC jeśli nie używasz
XML-RPC to stary interfejs API WordPress używany przez niektóre aplikacje mobilne i narzędzia do zdalnego publishingu. W 2026 większość integracji używa REST API. XML-RPC jest często używany do ataków brute-force i DDoS przez amplifikację.
Wyłącz przez .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Lub przez wtyczkę Disable XML-RPC (jednoklinkowa konfiguracja).
Krok 12: Monitoruj logi i alerty
Zainstaluj WP Activity Log lub Simple History. Loguj: logowania, instalacje wtyczek, zmiany plików, zmiany użytkowników. Ustaw alert e-mail przy: nowej rejestracji użytkownika, instalacji wtyczki, nieudanym logowaniu (5+ razy z jednego IP).
Minimum: sprawdzaj logi raz w tygodniu. Przy podejrzanej aktywności: review od razu.
Kiedy samodzielna konfiguracja nie wystarczy?
12 kroków powyżej chroni przed 90% typowych ataków. Ale są scenariusze które wymagają głębszego audytu.
Sklep e-commerce (dane płatności klientów), firma przetwarzająca wrażliwe dane osobowe, strona organizacji publicznej: tu potrzebny jest pełny audyt bezpieczeństwa i weryfikacja RODO.
Soft Synergy przeprowadza audyty bezpieczeństwa od 6 000 PLN. Zakres: code audit, weryfikacja konfiguracji serwera, testy penetracyjne, raport z zaleceniami. Realizacja: 2-4 tygodnie.
Dodatkowe uwagi dla sklepów WooCommerce
WooCommerce dodaje kolejny wektor ataku: API płatności, dane kart klientów (przez bramki płatności), historię zamówień. Kilka dodatkowych kroków specyficznie dla e-commerce:
- PCI DSS compliance dla sklepów z kartami: upewnij się że bramka płatności (Stripe, Przelewy24) jest certyfikowana i że Twoja strona nie przechowuje danych kart
- Weryfikacja webhooków: sprawdź poprawność sygnatur Stripe/Przelewy24 przy każdym webhooku
- Osobna rola dla managera sklepu: nie dawaj pełnych uprawnień administratora komuś kto zarządza produktami
Więcej o bezpiecznym bezpiecznym e-commerce w centrum wiedzy.