phpMyAdmin — konfiguracja i bezpieczeństwo

phpMyAdmin to najpopularniejszy webowy interfejs MySQL — i jeden z najczęściej atakowanych elementów serwerów hostingowych. Niezabezpieczony panel to otwarte drzwi do całej bazy danych. Konfiguracja zajmuje 15 minut i eliminuje 99% automatycznych ataków.

Opublikowano: 8 kwietnia 2026

config.inc.php — kluczowe ustawienia bezpieczeństwa

Główny plik konfiguracyjny to /etc/phpmyadmin/config.inc.php (VPS Debian/Ubuntu) lub config.inc.php w katalogu instalacji. Minimalna konfiguracja bezpieczeństwa:

<?php
// Unikalny losowy string (min 32 znaki) — wygeneruj: openssl rand -base64 32
$cfg['blowfish_secret'] = 'ZMIEN_NA_LOSOWY_STRING_32_ZNAKI';

// Wymagaj SSL do logowania
$cfg['ForceSSL'] = true;

// Ukryj wersję phpMyAdmin
$cfg['ShowPhpInfo'] = false;
$cfg['VersionCheck'] = false;

// Bezpieczne cookie (tylko HTTPS)
$cfg['CookieSameSite'] = 'Strict';

// Wyłącz połączenia do dowolnego serwera MySQL
$cfg['AllowArbitraryServer'] = false;

// Timeout sesji — 30 minut
$cfg['LoginCookieValidity'] = 1800;
$cfg['LoginCookieDeleteAll'] = true;

Ograniczenie dostępu przez .htaccess (Apache)

Najskuteczniejsza metoda — zezwól tylko na konkretne adresy IP. Stwórz lub edytuj plik .htaccess w katalogu phpMyAdmin:

# Tylko te IP mają dostęp do phpMyAdmin
Order Deny,Allow
Deny from All
Allow from 203.0.113.10    # Twoje stałe IP biurowe
Allow from 203.0.113.20    # Twoje IP domowe

# Lub cały zakres sieci (np. biuro z dynamicznymi IP)
# Allow from 203.0.113.0/24

Dynamiczne IP: Jeśli Twój ISP przydziela dynamiczne IP, rozważ VPN (Tailscale jest darmowy dla małych zespołów) lub SSH tunneling zamiast whitelist IP. SSH tunnel: ssh -L 8080:localhost:80 user@serwer — potem otwórz localhost:8080/phpmyadmin w przeglądarce.

HTTP Basic Auth — dodatkowa warstwa uwierzytelniania

Basic Auth dodaje okno dialogowe przeglądarki przed formularzem logowania phpMyAdmin — boty atakujące /phpmyadmin/ zobaczą 401 zamiast strony logowania:

# Dodaj do .htaccess w katalogu phpMyAdmin:
AuthType Basic
AuthName "Restricted Access"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user

# Wygeneruj plik .htpasswd:
# htpasswd -c /etc/phpmyadmin/.htpasswd admin_username

Zmiana URL — ukrycie standardowego adresu

Automatyczne boty skanują /phpmyadmin/, /pma/, /mysql/ i dziesiątki podobnych ścieżek. Zmiana aliasu na niestandardowy (np. /db-c8f2e1/) eliminuje tę kategorię ataków. Na Apache w /etc/apache2/conf-enabled/phpmyadmin.conf:

# Zmień:
Alias /phpmyadmin /usr/share/phpmyadmin
# Na:
Alias /db-c8f2e1 /usr/share/phpmyadmin

# Następnie:
systemctl reload apache2

Lista kontrolna zabezpieczeń phpMyAdmin

blowfish_secret — ustaw losowy string 32+ znaków (nie domyślny pusty)
Zmień URL — nie używaj /phpmyadmin/, /pma/, /mysql/
HTTP Basic Auth — okno dialogowe przed formularzem logowania
Whitelist IP — przez .htaccess lub Nginx allow/deny
ForceSSL = true — połączenia tylko przez HTTPS
AllowArbitraryServer = false — tylko skonfigurowane serwery MySQL
Aktualizuj phpMyAdmin — sprawdzaj CVE i aktualizuj regularnie
Wyłącz gdy nieużywany — systemctl disable phpmyadmin lub usuń alias

Najczęstsze pytania

Czy phpMyAdmin jest bezpieczny domyślnie? +

Domyślna instalacja phpMyAdmin nie jest bezpieczna — dostęp do panelu jest publiczny (każdy może próbować się zalogować), wersja oprogramowania jest widoczna (ułatwia celowane ataki), a panel często jest pod standardowym adresem /phpmyadmin/ który boty skanują automatycznie. Minimalny zestaw zabezpieczeń: zmiana URL panelu, ograniczenie dostępu do IP, HTTP Basic Auth lub VPN, ustawienie silnego blowfish_secret.

Jak zmienić adres URL phpMyAdmin? +

Na cPanel: zmień alias w konfiguracji Apache/Nginx. Na serwer VPS: w pliku /etc/apache2/conf-enabled/phpmyadmin.conf zmień Alias /phpmyadmin na /db-admin lub dowolny inny. Na DirectAdmin: zależnie od konfiguracji serwera — panel może być dostępny przez subdomenę lub dedykowany port. Niestandardowy URL nie jest wystarczającym zabezpieczeniem samym w sobie — to security through obscurity. Połącz z HTTP Basic Auth.

Czy powinienem wyłączyć phpMyAdmin na produkcji? +

Jeśli phpMyAdmin nie jest regularnie używany na serwerze produkcyjnym — rozważ wyłączenie lub dostęp tylko przez VPN/SSH tunnel. Każda dodatkowa ekspozycja interfejsu administracyjnego to dodatkowa powierzchnia ataku. Alternatywa: używaj Adminer (jeden plik PHP, łatwiejszy do usunięcia po pracy) lub zarządzaj bazą wyłącznie przez SSH/WP-CLI. Na hostingu współdzielonym phpMyAdmin jest zarządzany przez dostawcę.

Najpierw hardening, potem wybór serwera

Jeśli chcesz samodzielnie kontrolować dostęp do phpMyAdmin, rozważ VPS-y, na których ustawisz własny firewall, Nginx i Basic Auth.

Mikrus

Dobry do ćwiczeń z restrykcjami IP, SSH tunnelingiem i backupem.

VPS

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →

Contabo

Dla osób, które potrzebują więcej pamięci pod bazę i panele administracyjne.

Zasoby

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →

ProSerwer.pl

Polska alternatywa dla własnej konfiguracji dostępu administracyjnego.

PL VPS

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →

Autor: Miłka Teroy Analityk rynku hostingowego Zweryfikowano Czerwiec 2026

Specjalizuje się w dekodowaniu ofert promocyjnych hostingów — porównuje cenę startową z ceną odnowienia, żeby użytkownik wiedział, ile naprawdę zapłaci po pierwszym roku. W HostGrade.pl odpowiada za sekcje kodów rabatowych i kuponów hostingowych: śledzi rotacje promocji LH.pl, CyberFolks, Zenbox i innych dostawców. Weryfikuje realną wysokość oszczędności — "70% taniej" bywa liczone od ceny, której nikt wcześniej nie płacił. Zbiera historię cen z regulaminów i archiwów, bo dyrektywa Omnibus wymaga pokazywania najniższej ceny z 30 dni, nie ceny "zwykłej" wymyślonej na potrzeby przekreślenia. Porównuje warunki promocji: czy rabat dotyczy wszystkich planów, czy tylko miesięcznego rozliczenia, czy można łączyć kody z aktualną ofertą cenową. Uważa, że uczciwe porównanie ofert hostingowych to takie, w którym wszystkie liczby można sprawdzić w regulaminie.

Pełny profil autora →