Autor: [Monika Wojciechowska](/autorzy/monika-wojciechowska) Specjalistka SEO i treści webowych · Zweryfikowano Kwiecień 2026
1. [Strona główna](/) ›
2. [Baza wiedzy](/baza-wiedzy/) ›
3. WordPress hardening — bezpieczeństwo
# WordPress hardening — bezpieczeństwo krok po kroku
Opublikowano: 8 kwietnia 2026 · Kategoria: WordPress / Bezpieczeństwo
WordPress to cel 90% ataków na strony WWW — ze względu na popularność i nieaktualizowane wtyczki. Hardening to seria konfiguracji zmniejszających powierzchnię ataku. Ten artykuł opisuje praktyczne kroki bez utraty funkcjonalności.
## Prawa dostępu do plików
\# Ustaw prawa dostępu (uruchom z katalogu instalacji WordPress)
find /var/www/html/twojadomena.pl -type f -exec chmod 644 {} \\;
find /var/www/html/twojadomena.pl -type d -exec chmod 755 {} \\;
# Krytyczne pliki — bardziej restrykcyjne
chmod 600 wp-config.php
chmod 600 .htaccess
# Sprawdź prawa (nie powinno być plików 777 lub 666)
find . -type f -perm 777 -ls
find . -type d -perm 777 -ls
## Bezpieczna konfiguracja wp-config.php
// Wyłącz edycję plików z dashboardu (zapobiega modyfikacji przez XSS)
define('DISALLOW\_FILE\_EDIT', true);
// Wyłącz instalację wtyczek/motywów (opcjonalne, rekomendowane na produkcji)
define('DISALLOW\_FILE\_MODS', true);
// Wymuś HTTPS w panelu admina
define('FORCE\_SSL\_ADMIN', true);
// Ogranicz czas sesji (w sekundach, domyślnie 2 dni)
define('AUTH\_COOKIE\_EXPIRATION', 3600); // 1 godzina
// Wyłącz debugowanie na produkcji
define('WP\_DEBUG', false);
define('WP\_DEBUG\_LOG', false);
define('WP\_DEBUG\_DISPLAY', false);
## Ochrona /wp-admin przez .htaccess
\# Ogranicz dostęp do /wp-admin po IP (umieść w /wp-admin/.htaccess)
order deny,allow
deny from all
allow from TWÓJ\_IP\_BIURO
allow from TWÓJ\_IP\_DOM
# Zablokuj xmlrpc.php (jeśli nie używasz Jetpack ani mobilnej apki WP)
# (umieść w głównym .htaccess)
order deny,allow
deny from all
# Zablokuj dostęp do wp-config.php
order allow,deny
deny from all
# Ukryj wersję WordPress (usuń z nagłówków)
Header unset X-Powered-By
## Dwuskładnikowe uwierzytelnianie (2FA)
\# Wtyczka WP 2FA (darmowa, zalecana)
# 1. Zainstaluj: wp plugin install wp-2fa --activate --allow-root
# 2. Skonfiguruj przez: Użytkownicy → Twój profil → 2FA
# Alternatywa: WP-CLI + Google Authenticator
wp plugin install google-authenticator --activate --allow-root
# Po instalacji — wymuś 2FA dla ról admina:
# Ustawienia → WP 2FA → Wymuś 2FA dla: Administrator
## Zmiana prefiksu tabel bazy danych
\# UWAGA: Przed zmianą zrób PEŁNY backup bazy danych!
wp db export backup-przed-zmiana-prefiksu.sql --allow-root
# Metoda 1: Wtyczka Better Search Replace lub Brozzme DB Prefix
# Zmień wp\_ na twojprefiks\_ w wp-config.php i bazie
# Metoda 2: Ręcznie w wp-config.php
# $table\_prefix = 'twojprefiks\_'; (zmień z domyślnego 'wp\_')
# TYLKO dla nowych instalacji — przy istniejącej bazie użyj wtyczki
# lub specjalistycznego skryptu (możliwość błędów przy nieumiejętnej zmianie)
## Monitoring i reagowanie na incydenty
\# Skanowanie malware (Wordfence)
wp plugin install wordfence --activate --allow-root
# Następnie: Wordfence → Scan → Start New Scan
# Sprawdź zmodyfikowane pliki (podejrzane pliki zmienione w ostatnich 24h)
find /var/www/html/twojadomena.pl -newer /var/www/html/twojadomena.pl/wp-config.php \\
-not -path '\*/wp-content/uploads/\*' -type f
# Sprawdź nieznane pliki PHP w uploads (typowy wstrzyknięty malware)
find /var/www/html/twojadomena.pl/wp-content/uploads -name '\*.php' -type f
# Log nieudanych logowań (Apache)
grep '403\\|401' /var/log/apache2/access.log | grep 'wp-login' | tail -20
## Najczęstsze pytania
Jakie są najważniejsze kroki w hardeningu WordPress? +
Najważniejsze kroki: (1) Zmień prefiks tabel bazy danych (nie wp\_). (2) Ukryj stronę logowania — zmień /wp-admin przez wtyczkę. (3) Włącz dwuskładnikowe uwierzytelnianie (2FA). (4) Ustaw prawa dostępu: pliki 644, katalogi 755, wp-config.php 600. (5) Zablokuj edycję plików z dashboardu (DISALLOW\_FILE\_EDIT). (6) Wyłącz xmlrpc.php jeśli nie potrzebujesz. (7) Regularny backup i aktualizacje.
Jak zabezpieczyć wp-config.php? +
Przenieś wp-config.php poziom wyżej niż katalog public\_html (WordPress automatycznie go znajdzie). Ustaw chmod 600 na pliku. Dodaj do .htaccess: order allow,deny deny from all . Używaj unikalnych kluczy AUTH\_KEY, SECURE\_AUTH\_KEY itd. — wygeneruj na wordpress.org/support/article/editing-wp-config-php/.
Jak chronić stronę logowania WordPress? +
Metoda 1: Zmień URL logowania przez wtyczkę (WPS Hide Login, Perfmatters). Metoda 2: Ogranicz dostęp do /wp-admin po IP w .htaccess. Metoda 3: Włącz 2FA (WP 2FA, Google Authenticator). Metoda 4: Limit prób logowania (Limit Login Attempts Reloaded). Kombinacja wszystkich czterech metod skutecznie eliminuje ataki brute-force.
Które wtyczki bezpieczeństwa WordPress są najlepsze? +
Wordfence Security (firewall + skanowanie malware, darmowa wersja wystarczy dla większości). Sucuri Security (monitoring + firewall WAF — płatny). iThemes Security (dawniej Better WP Security, kompleksowy hardening). WP 2FA (dwuskładnikowe logowanie). WPS Hide Login (zmiana URL logowania). Nie instaluj kilku wtyczek bezpieczeństwa naraz — konfliktują i spowalniają stronę.
## Sprawdź oferty pasujące do tego scenariusza
Poniżej masz szybkie przejścia do ofert i stron z kodami rabatowymi tam, gdzie są dostępne.
zenbox.pl
Hosting WordPress z LiteSpeed, OPcache i darmowym SSL
LiteSpeed + SSL
[Aktywuj rabat →](/out/zenbox)
#Reklama · link partnerski
[Zobacz kod rabatowy →](/kody-rabatowe/zenbox)
LH.pl
Hosting z izolacją kont i PHP 8.3
Izolacja kont
[Aktywuj rabat →](/out/lh-pl)
#Reklama · link partnerski
[Zobacz kod rabatowy →](/kody-rabatowe/lh-pl)
Smarthost
Hosting z certyfikatem ISO 27001 i cPanel
ISO 27001
[Aktywuj rabat →](/out/smarthost)
#Reklama · link partnerski
[Zobacz kod rabatowy →](/kody-rabatowe/smarthost)
## Powiązane strony
- [Bezpieczeństwo WordPress na hostingu](/baza-wiedzy/bezpieczenstwo-wordpress-hosting)
- [SSL Let's Encrypt — automatyzacja](/baza-wiedzy/ssl-lets-encrypt-automatyzacja)
- [UFW firewall — konfiguracja na VPS](/baza-wiedzy/ufw-firewall-konfiguracja-vps)
- [Strategia backupu — 3-2-1 dla hostingu](/baza-wiedzy/backup-strategia-hosting)
- [Wszystkie artykuły](/baza-wiedzy/)