Autor: [Monika Wojciechowska](/autorzy/monika-wojciechowska) Specjalistka SEO i treści webowych · Zweryfikowano Kwiecień 2026

1.  [HostGrade.pl](/)
2.  ›
3.  [Baza wiedzy](/baza-wiedzy/)
4.  ›
5.  Bezpieczeństwo WordPress

# Bezpieczeństwo WordPress na hostingu — checklist

Opublikowano: 7 kwietnia 2026 · Kategoria: [Bezpieczeństwo](/baza-wiedzy/)

**Krótka odpowiedź:** 80% włamań na WordPress to efekt przestarzałych wtyczek. Priorytety: **aktualizuj wszystko automatycznie**, zmień login z "admin" na unikalne konto, zainstaluj **Wordfence** (firewall + skaner), włącz **2FA** i rób codzienny backup na zewnętrzny storage.

## Checklist bezpieczeństwa WordPress

### Poziom 1 — Krytyczne (zrób od razu)

⚠

Zmień login admina z "admin"

Utwórz nowego użytkownika z rolą Administratora i unikalnym loginem. Usuń konto "admin". Atakujący domyślnie próbują loginu admin/administrator.

⚠

Silne hasło admina (16+ znaków)

Użyj generatora haseł WordPress lub menedżera (Bitwarden, KeePass). Hasło admina to główny cel ataków brute force.

⚠

Zainstaluj Wordfence lub iThemes Security

Wordfence Free: firewall WAF, skan malware, blokada brute force. Aktywuj natychmiast po instalacji WP.

⚠

Wymuś HTTPS na cały serwis

W Ustawienia → Ogólne ustaw adresy URL na https://. Dodaj redirect w .htaccess: RewriteRule ^(.\*)$ https://%{HTTP\_HOST}%{REQUEST\_URI} \[L,R=301\].

⚠

Automatyczne aktualizacje WordPress + wtyczki

W Pulpicie → Aktualizacje włącz automatyczne aktualizacje drobne (bezpieczeństwo). Sprawdzaj co tydzień większe aktualizacje wtyczek.

### Poziom 2 — Ważne (zrób w ciągu tygodnia)

●

Włącz 2FA (uwierzytelnienie dwuskładnikowe)

Wtyczka Wordfence (ma wbudowane 2FA), Google Authenticator lub Two Factor. 2FA uniemożliwia zalogowanie nawet przy skradzionym haśle.

●

Ogranicz liczbę prób logowania

Wordfence automatycznie blokuje brute force. Alternatywnie: wtyczka Limit Login Attempts Reloaded. Ustaw blokadę po 5 nieudanych próbach.

●

Wyłącz XML-RPC jeśli nie używasz

XML-RPC jest często atakowany. Wyłącz przez .htaccess: <Files xmlrpc.php> Order Deny,Allow Deny from all </Files> lub wtyczkę Disable XML-RPC.

●

Ukryj wersję WordPress

Usuń tag <meta generator> i wersję z feedów RSS. W functions.php: remove\_action('wp\_head', 'wp\_generator'). Atakujący szukają konkretnych podatnych wersji.

●

Skonfiguruj codzienne backup na zewnętrzny storage

UpdraftPlus (darmowy) + Google Drive lub Dropbox. Backup bazy danych co 24h, pełny backup co tydzień. Test przywracania co miesiąc.

### Poziom 3 — Zaawansowane (dla serwisów biznesowych)

✓

Zmień domyślny prefix tabel bazy danych

Domyślne wp\_ ułatwia SQL injection na całe tabele. Użyj wtyczki Change Table Prefix (BACKUP bazy PRZED). Efekt: ataki SQL injection na wp\_users przestają działać.

✓

Zabezpiecz plik wp-config.php

Dodaj w .htaccess: <Files wp-config.php> Order deny,allow Deny from all </Files>. Przenieś wp-config.php o jeden poziom wyżej niż public\_html (WordPress automatycznie go znajdzie).

✓

Wyłącz edytor plików w panelu admina

W wp-config.php: define('DISALLOW\_FILE\_EDIT', true). Usuwa menu Wygląd → Edytor i Wtyczki → Edytor. Atakujący z dostępem do konta admin nie może edytować kodu PHP.

✓

Cloudflare WAF (darmowy)

Cloudflare Free Plan zawiera podstawowy firewall i ochronę DDoS. Ustaw regułę: blokuj ruch do /wp-login.php z krajów, z których nie zarządzasz stroną. Patrz artykuł o CDN i Cloudflare.

✓

Monitoring integralności plików

Wordfence skanuje pliki WordPress i wykrywa zmiany w plikach core/wtyczek. Alternatywnie: wtyczka Sucuri Security. Alert na zmianę = szybkie wykrycie włamania.

## Rola hostingu w bezpieczeństwie WordPress

Cecha hostingu

Dlaczego ważna

Co szukać

Izolacja kont

Jedno zainfekowane konto nie infekuje sąsiadów

CloudLinux / CageFS (LH.pl, CyberFolks)

PHP w trybie FastCGI/FPM

Każde konto ma własny proces PHP — izolacja uprawnień

Deklarowane w specyfikacji hostingu

Skaner malware serwerowy

Hosting sam skanuje pliki i blokuje malware

ImunifyAV, Imunify360

Firewall aplikacyjny (WAF)

Blokuje znane exploity zanim dotrą do PHP

ModSecurity, LiteSpeed native WAF

Automatyczny backup

Przywrócenie po ataku bez utraty danych

Codzienny backup, retencja 7–30 dni

Aktualne wersje PHP

PHP 8.1+ ma łatki bezpieczeństwa niedostępne w 7.4

PHP 8.1 lub nowszy

LH.pl — CloudLinux + ImunifyAV + LiteSpeed WAF

PHP 8.2 · NVMe · DirectAdmin · izolacja CageFS

[Sprawdź LH.pl](/out/lh-pl)

CyberFolks — własna infrastruktura + bezpieczeństwo

PHP 8.1+ · NVMe · DirectAdmin · polskie DC

[Sprawdź CyberFolks](/out/cyberfolks)

## Najczęstsze pytania

Jakie są największe zagrożenia bezpieczeństwa WordPress? +

Główne zagrożenia: (1) Brute force na /wp-login.php — ataki słownikowe na panel admina. (2) Przestarzałe wtyczki/motywy z lukami CVE — najczęstsza przyczyna włamań. (3) Słabe hasła (admin/admin, password123). (4) PHP injection przez niezaktualizowane pluginy. (5) XML-RPC exploitation. (6) SQL injection przez podatne pluginy. Statystyki: ok. 90% ataków WordPress to automat szukający znanych podatności w starych wersjach pluginów.

Czy darmowe certyfikaty SSL wystarczą do zabezpieczenia WordPressa? +

Tak, darmowy certyfikat SSL Let's Encrypt (dostępny w LH.pl, zenbox.pl, CyberFolks i innych) zapewnia szyfrowanie TLS 1.3 identyczne z płatnymi certyfikatami DV. SSL chroni transmisję danych, ale nie chroni przed atakami na aplikację (SQL injection, XSS, brute force). Do bezpieczeństwa aplikacji używaj wtyczek bezpieczeństwa i aktualizuj WordPress.

Czy Wordfence Free wystarczy do zabezpieczenia WordPress? +

Wordfence Free jest solidną opcją dla większości stron: blokada brute force, firewall aplikacyjny (z opóźnieniem 30 dni dla nowych reguł), skaner malware, monitoring integralności plików. Wordfence Premium (ok. 99$/rok) dodaje reguły firewall w czasie rzeczywistym i listę IP reputacyjnych. Dla stron biznesowych warto rozważyć Premium; dla blogów Free wystarczy.

Jak zmienić prefix tabel WordPress dla bezpieczeństwa? +

Domyślny prefix wp\_ jest znany atakującym. Zmień go podczas instalacji: w Softaculous wybierz niestandardowy prefix (np. x7k\_). Dla istniejącej instalacji użyj wtyczki Change Table Prefix lub iThemes Security (funkcja Change DB Prefix). Pamiętaj o backupie bazy PRZED zmianą — błąd w tym procesie może zepsuć stronę.

## Sprawdź oferty pasujące do tego scenariusza

Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne.

dhosting.pl

Hosting WordPress z LiteSpeed i automatycznymi kopiami

WordPress + backup

[Aktywuj rabat →](/out/dhosting)

#Reklama · link partnerski

[Zobacz kod rabatowy →](/kody-rabatowe/dhosting)

SEOhost

Hosting pod WordPress z LiteSpeed i prostym panelem

WordPress + SEO

[Aktywuj rabat →](/out/seohost)

#Reklama · link partnerski

[Zobacz kod rabatowy →](/kody-rabatowe/seohost)

CyberFolks

Popularny hosting WordPress z afiliacją i promocjami

WordPress

[Aktywuj rabat →](/out/cyberfolks)

#Reklama · link partnerski

[Zobacz kod rabatowy →](/kody-rabatowe/cyberfolks)

## Powiązane artykuły

-   [Instalacja WordPress krok po kroku
    
    3 metody instalacji WP z checklistem post-install.
    
    ](/baza-wiedzy/jak-zainstalowac-wordpress-na-hostingu)
-   [Certyfikat SSL — darmowy vs płatny
    
    Let's Encrypt, DV, OV, EV — różnice i zastosowania.
    
    ](/baza-wiedzy/ssl-certyfikat-co-to-jest)
-   [Cloudflare w hostingu — CDN i WAF
    
    Jak Cloudflare chroni WordPress przed atakami.
    
    ](/baza-wiedzy/cdn-w-hostingu-cloudflare)
-   [Backup hostingu — dlaczego niezbędny
    
    Typy backupów, RPO/RTO, co zrobić po ataku.
    
    ](/baza-wiedzy/backup-hosting-dlaczego-wazny)