Bezpieczeństwo strony WordPress i sklepu WooCommerce to nie pojedyncza wtyczka ani jednorazowa akcja. To proces, na który składa się prawidłowa konfiguracja i regularne działania prewencyjne. Poniższa lista zbiera dziesięć konkretnych rzeczy, które warto odhaczyć, żeby wzmocnić odporność witryny na typowe ataki i znacząco zmniejszyć ryzyko włamania.
To checklista, a nie deep dive. Jeśli któryś z punktów wymaga wyjaśnienia, dlaczego coś robić albo jak to robić w szczegółach, sprawdź nasz pełny poradnik o zabezpieczaniu WordPressa.
1. Zainstaluj i skonfiguruj wtyczkę bezpieczeństwa
Wybierz jedną dobrze rozwijaną wtyczkę bezpieczeństwa (Wordfence, iThemes Security, Sucuri lub MalCare) i skonfiguruj w niej:
- zaporę aplikacyjną (firewall),
- alerty e-mail o podejrzanej aktywności,
- automatyczne blokowanie adresów IP po kilku nieudanych próbach logowania,
- skanowanie plików pod kątem zmian.
Jedna porządnie skonfigurowana wtyczka działa lepiej niż trzy częściowo aktywne.
2. Ogranicz dostęp do logowania
Sam adres /wp-admin to publicznie znana brama. Wzmocnij ją trzema krokami:
- Zmień adres logowania (np. wtyczką WPS Hide Login na własny, np.
twojadomena.pl/wejscie-2024). - Włącz limit prób logowania (większość wtyczek bezpieczeństwa ma to wbudowane).
- Włącz uwierzytelnianie dwuetapowe (2FA) dla wszystkich kont administratora. Mechanizm tego rozwiązania wyjaśniamy we wpisie o tokenie uwierzytelniającym.
3. Wyłącz lub zabezpiecz plik xmlrpc.php
Plik xmlrpc.php w katalogu głównym WordPressa to relikt jego dawnej architektury, ale dziś częściej jest celem ataków brute force niż używanym narzędziem. Jeśli nie korzystasz z aplikacji mobilnej WordPressa, Jetpacka ani z zewnętrznych integracji wywołujących xmlrpc, najlepiej go zablokować, na przykład regułą w .htaccess albo w panelu hostingu. Jeśli go potrzebujesz, ogranicz dostęp tylko do wybranych usług.
4. Aktualizuj WordPressa, motywy i wtyczki na bieżąco
Większość udanych ataków wykorzystuje znane, załatane już luki, na które ofiara nie zdążyła zainstalować poprawki. Pilnuj aktualizacji:
- rdzenia WordPressa,
- wszystkich aktywnych motywów (nieaktywne usuń),
- wszystkich wtyczek, w tym integracji WooCommerce (płatności, wysyłki, fakturowanie),
- wersji PHP na hostingu.
Włącz auto-update dla mniejszych aktualizacji bezpieczeństwa. Większe wprowadzaj po backupie i, jeśli to możliwe, najpierw na środowisku testowym.
5. Wykonuj regularne kopie zapasowe
Backup to ostatnia linia obrony, gdy wszystkie inne zawiodą. Skonfiguruj:
- automatyczny harmonogram (codziennie dla sklepów, przynajmniej raz w tygodniu dla stron statycznych),
- przechowywanie kopii poza serwerem (Google Drive, Dropbox, Amazon S3, własny dysk),
- pełną kopię w komplecie (pliki i baza danych),
- test odtwarzania raz na jakiś czas, żeby mieć pewność, że kopia faktycznie działa.
Więcej w naszym przewodniku o backupie WordPress oraz w porównaniu najlepszych wtyczek do backupu.
6. Monitoruj aktywność w panelu
Wtyczki do rejestrowania zdarzeń (WP Activity Log, Simple History, Activity Log) pokazują:
- kto i kiedy się logował,
- jakie ustawienia były zmieniane (w tym w WooCommerce),
- jakie wpisy, strony, użytkownicy lub produkty zostały dodane, edytowane lub usunięte.
Codzienny rzut oka na log zajmuje minutę, a daje obraz tego, co dzieje się na stronie, zwłaszcza jeśli ma do niej dostęp kilka osób.
7. Ogranicz uprawnienia użytkowników
WordPress ma kilka poziomów uprawnień (administrator, redaktor, autor, współpracownik, subskrybent). Nadawaj zawsze najniższy, który pozwala wykonać zadanie. Redaktor dodaje wpisy, nie musi mieć dostępu do wtyczek. Klient sklepu nie powinien mieć żadnego konta administratora.
Co kilka miesięcy przejrzyj listę użytkowników i usuń konta, które nie są używane, zwłaszcza administratorów byłych pracowników i wykonawców.
8. Zabezpiecz formularze i dane klientów (zwłaszcza w WooCommerce)
Każdy formularz na stronie (kontaktowy, logowania, rejestracji, kasowy) jest potencjalnym wektorem ataku. Dla WordPressa i WooCommerce wdroż:
- reCAPTCHA na stronach logowania, rejestracji, kontaktu i komentarzy,
- wymóg silnych haseł dla wszystkich kont (administratorów, klientów, redaktorów),
- HTTPS na całej witrynie (jeśli widzisz jeszcze gdzieś HTTP, to znak, że certyfikat nie jest poprawnie wdrożony),
- sprawdzone wtyczki płatności (Stripe, PayPal, Przelewy24, BlueMedia, tpay), bez własnych integracji z mało znanymi bramkami.
9. Patrz na sygnały, zanim staną się problemem
Większość włamań daje wczesne objawy. Regularnie sprawdzaj:
- raporty z wtyczki bezpieczeństwa (skany malware, próby logowania),
- logi serwera w panelu hostingu (dziwne wzory ruchu, IP z odległych krajów, masowe próby na
wp-login.phpto czerwony alert), - Google Search Console pod kątem wiadomości o złośliwym oprogramowaniu albo phishingu,
- maile z hostingu o przekroczeniach limitów albo automatycznych blokadach.
Im wcześniej wyłapiesz nieprawidłowość, tym mniejsza szansa, że atakujący zdąży zostawić backdoory. Praktyczne wskazówki, jak czytać logi i rozpoznawać próby włamań, znajdziesz we wpisie jak sprawdzić ataki na WordPressa i próby włamania na WooCommerce. A jeśli widzisz konkretne objawy infekcji, zajrzyj do naszego przewodnika o usuwaniu wirusów z WordPressa.
10. Jeśli któryś z punktów wymaga czasu lub wiedzy, których nie masz
Nie wszystko trzeba ogarniać samodzielnie. Najprostszą drogą bywa oddanie strony pod stałą opiekę. W ramach kompleksowej opieki WordPress odhaczamy ten zestaw za Ciebie i monitorujemy stronę na bieżąco. Cennik jest publiczny, plany są dopasowane do różnych typów witryn.
Podsumowanie
Bezpieczeństwo WordPressa to suma kilku prostych, ale konsekwentnych nawyków: aktualne oprogramowanie, sensowne hasła z 2FA, ograniczone uprawnienia, świeży backup i bieżące monitorowanie. Każdy punkt z tej listy osobno wydaje się drobiazgiem, ale razem składają się na ścianę, której większość atakujących nie próbuje nawet rozbijać, bo łatwiej znaleźć słabiej zabezpieczone cele. Chronisz wtedy nie tylko stronę, ale też pracę, którą w nią włożyłeś. A gdyby mimo wszystko doszło do infekcji, zajmiemy się usuwaniem wirusów WordPress i zabezpieczeniem strony przed kolejnym atakiem.
