Menu
Szybki wybór
Najtańszy w drugim roku Pomóż mi wybrać
Hosting Domeny VPS SSL Kalkulator Porównania FAQ
Aktywne kody
Wszystkie kody rabatowe

Bezpieczeństwo WordPress na hostingu — checklist

Opublikowano: 7 kwietnia 2026 · Kategoria: Bezpieczeństwo

Krótka odpowiedź: 80% włamań na WordPress to efekt przestarzałych wtyczek. Priorytety: aktualizuj wszystko automatycznie, zmień login z "admin" na unikalne konto, zainstaluj Wordfence (firewall + skaner), włącz 2FA i rób codzienny backup na zewnętrzny storage.

Checklist bezpieczeństwa WordPress

Poziom 1 — Krytyczne (zrób od razu)

Zmień login admina z "admin"
Utwórz nowego użytkownika z rolą Administratora i unikalnym loginem. Usuń konto "admin". Atakujący domyślnie próbują loginu admin/administrator.
Silne hasło admina (16+ znaków)
Użyj generatora haseł WordPress lub menedżera (Bitwarden, KeePass). Hasło admina to główny cel ataków brute force.
Zainstaluj Wordfence lub iThemes Security
Wordfence Free: firewall WAF, skan malware, blokada brute force. Aktywuj natychmiast po instalacji WP.
Wymuś HTTPS na cały serwis
W Ustawienia → Ogólne ustaw adresy URL na https://. Dodaj redirect w .htaccess: RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
Automatyczne aktualizacje WordPress + wtyczki
W Pulpicie → Aktualizacje włącz automatyczne aktualizacje drobne (bezpieczeństwo). Sprawdzaj co tydzień większe aktualizacje wtyczek.

Poziom 2 — Ważne (zrób w ciągu tygodnia)

Włącz 2FA (uwierzytelnienie dwuskładnikowe)
Wtyczka Wordfence (ma wbudowane 2FA), Google Authenticator lub Two Factor. 2FA uniemożliwia zalogowanie nawet przy skradzionym haśle.
Ogranicz liczbę prób logowania
Wordfence automatycznie blokuje brute force. Alternatywnie: wtyczka Limit Login Attempts Reloaded. Ustaw blokadę po 5 nieudanych próbach.
Wyłącz XML-RPC jeśli nie używasz
XML-RPC jest często atakowany. Wyłącz przez .htaccess: <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> lub wtyczkę Disable XML-RPC.
Ukryj wersję WordPress
Usuń tag <meta generator> i wersję z feedów RSS. W functions.php: remove_action('wp_head', 'wp_generator'). Atakujący szukają konkretnych podatnych wersji.
Skonfiguruj codzienne backup na zewnętrzny storage
UpdraftPlus (darmowy) + Google Drive lub Dropbox. Backup bazy danych co 24h, pełny backup co tydzień. Test przywracania co miesiąc.

Poziom 3 — Zaawansowane (dla serwisów biznesowych)

Zmień domyślny prefix tabel bazy danych
Domyślne wp_ ułatwia SQL injection na całe tabele. Użyj wtyczki Change Table Prefix (BACKUP bazy PRZED). Efekt: ataki SQL injection na wp_users przestają działać.
Zabezpiecz plik wp-config.php
Dodaj w .htaccess: <Files wp-config.php> Order deny,allow Deny from all </Files>. Przenieś wp-config.php o jeden poziom wyżej niż public_html (WordPress automatycznie go znajdzie).
Wyłącz edytor plików w panelu admina
W wp-config.php: define('DISALLOW_FILE_EDIT', true). Usuwa menu Wygląd → Edytor i Wtyczki → Edytor. Atakujący z dostępem do konta admin nie może edytować kodu PHP.
Cloudflare WAF (darmowy)
Cloudflare Free Plan zawiera podstawowy firewall i ochronę DDoS. Ustaw regułę: blokuj ruch do /wp-login.php z krajów, z których nie zarządzasz stroną. Patrz artykuł o CDN i Cloudflare.
Monitoring integralności plików
Wordfence skanuje pliki WordPress i wykrywa zmiany w plikach core/wtyczek. Alternatywnie: wtyczka Sucuri Security. Alert na zmianę = szybkie wykrycie włamania.

Rola hostingu w bezpieczeństwie WordPress

Cecha hostingu Dlaczego ważna Co szukać
Izolacja kont Jedno zainfekowane konto nie infekuje sąsiadów CloudLinux / CageFS (LH.pl, CyberFolks)
PHP w trybie FastCGI/FPM Każde konto ma własny proces PHP — izolacja uprawnień Deklarowane w specyfikacji hostingu
Skaner malware serwerowy Hosting sam skanuje pliki i blokuje malware ImunifyAV, Imunify360
Firewall aplikacyjny (WAF) Blokuje znane exploity zanim dotrą do PHP ModSecurity, LiteSpeed native WAF
Automatyczny backup Przywrócenie po ataku bez utraty danych Codzienny backup, retencja 7–30 dni
Aktualne wersje PHP PHP 8.1+ ma łatki bezpieczeństwa niedostępne w 7.4 PHP 8.1 lub nowszy
LH.pl — CloudLinux + ImunifyAV + LiteSpeed WAF
PHP 8.2 · NVMe · DirectAdmin · izolacja CageFS
Sprawdź LH.pl
CyberFolks — własna infrastruktura + bezpieczeństwo
PHP 8.1+ · NVMe · DirectAdmin · polskie DC
Sprawdź CyberFolks

Najczęstsze pytania

Jakie są największe zagrożenia bezpieczeństwa WordPress? +
Główne zagrożenia: (1) Brute force na /wp-login.php — ataki słownikowe na panel admina. (2) Przestarzałe wtyczki/motywy z lukami CVE — najczęstsza przyczyna włamań. (3) Słabe hasła (admin/admin, password123). (4) PHP injection przez niezaktualizowane pluginy. (5) XML-RPC exploitation. (6) SQL injection przez podatne pluginy. Statystyki: ok. 90% ataków WordPress to automat szukający znanych podatności w starych wersjach pluginów.
Czy darmowe certyfikaty SSL wystarczą do zabezpieczenia WordPressa? +
Tak, darmowy certyfikat SSL Let's Encrypt (dostępny w LH.pl, zenbox.pl, CyberFolks i innych) zapewnia szyfrowanie TLS 1.3 identyczne z płatnymi certyfikatami DV. SSL chroni transmisję danych, ale nie chroni przed atakami na aplikację (SQL injection, XSS, brute force). Do bezpieczeństwa aplikacji używaj wtyczek bezpieczeństwa i aktualizuj WordPress.
Czy Wordfence Free wystarczy do zabezpieczenia WordPress? +
Wordfence Free jest solidną opcją dla większości stron: blokada brute force, firewall aplikacyjny (z opóźnieniem 30 dni dla nowych reguł), skaner malware, monitoring integralności plików. Wordfence Premium (ok. 99$/rok) dodaje reguły firewall w czasie rzeczywistym i listę IP reputacyjnych. Dla stron biznesowych warto rozważyć Premium; dla blogów Free wystarczy.
Jak zmienić prefix tabel WordPress dla bezpieczeństwa? +
Domyślny prefix wp_ jest znany atakującym. Zmień go podczas instalacji: w Softaculous wybierz niestandardowy prefix (np. x7k_). Dla istniejącej instalacji użyj wtyczki Change Table Prefix lub iThemes Security (funkcja Change DB Prefix). Pamiętaj o backupie bazy PRZED zmianą — błąd w tym procesie może zepsuć stronę.

Sprawdź oferty pasujące do tego scenariusza

Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne.