Zarządzanie stroną na WordPressie to nie tylko dbanie o wygląd i funkcjonalność, ale przede wszystkim o bezpieczeństwo. Niewystarczająca ochrona prowadzi do utraty danych, modyfikacji treści przez osoby trzecie, a w skrajnych przypadkach do przejęcia całej witryny przez złośliwe oprogramowanie.
Według danych W3Techs WordPress zasila ponad 43% wszystkich stron internetowych, co daje mu przeszło 60% udziału w rynku CMS-ów. Tak duża popularność sprawia, że jest najczęstszym celem ataków, nie dlatego że jest mniej bezpieczny od innych systemów, ale dlatego że jest powszechnie używany, więc każda znaleziona luka opłaca się napastnikom.
W tym przewodniku pokazujemy, jak skutecznie zabezpieczyć stronę WordPress i sklep WooCommerce, od podstaw aż po zaawansowany hardening. Jeśli wolisz od razu listę punktów do odhaczenia, mamy też dedykowaną checklistę zabezpieczeń WordPress i WooCommerce. Tu chodzi o zrozumienie, dlaczego każda warstwa zabezpieczeń ma znaczenie.
Silne hasła, 2FA i limit prób logowania
Domyślny adres /wp-admin jest publicznie znany, a boty atakują go nieustannie. Pierwsza warstwa obrony zaczyna się od poświadczeń logowania.
Silne hasło.
Dobre hasło do panelu administratora ma minimum 12 znaków, łączy litery, cyfry i znaki specjalne, i jest unikalne, czyli nieużywane w żadnym innym serwisie. Łatwe hasła w stylu „admin123″ boty łamią w sekundę. Stosuj menedżer haseł (Bitwarden, 1Password, KeePass), bo długich unikalnych haseł nikt nie zapamięta w głowie.
Uwierzytelnianie dwuetapowe (2FA).
Druga warstwa, która zatrzymuje napastnika nawet wtedy, gdy wykradnie hasło. Polega na podaniu krótkiego kodu z aplikacji (Google Authenticator, Authy) po wpisaniu hasła. Mechanizm wyjaśniamy szczegółowo we wpisie o tokenie uwierzytelniającym, a samo wdrożenie w WordPressie odbywa się przez wtyczki, między innymi Wordfence Login Security i miniOrange.
Limit prób logowania.
Wtyczki bezpieczeństwa (Limit Login Attempts Reloaded, wbudowane moduły Wordfence i iThemes Security) blokują adres IP po kilku nieudanych próbach, skutecznie psując ataki brute force, w których boty próbują tysięcy haseł na sekundę.
Cały temat dostępu do panelu rozszerzamy w artykule o logowaniu do WordPressa, gdzie znajdziesz także diagnostykę problemów z logowaniem i reset hasła krok po kroku.
Aktualizacje WordPressa, wtyczek i motywów
Aktualizacje to najczęściej pomijany, a jednocześnie najważniejszy aspekt bezpieczeństwa. WordPress jest aktywnie rozwijany, a luki bezpieczeństwa wykrywane są regularnie, zarówno w rdzeniu, jak i w popularnych wtyczkach i motywach. Każda znaleziona i upubliczniona luka to praktycznie publiczna instrukcja dla napastników, na które wersje atakować.
Co aktualizować:
- rdzeń WordPressa,
- wszystkie aktywne motywy (nieaktywne lepiej usunąć, mniej kodu to mniejsza powierzchnia ataku),
- wszystkie wtyczki, łącznie z integracjami WooCommerce (płatności, wysyłka, fakturowanie),
- wersję PHP na hostingu (stare wersje też mają znane luki).
Jak robić to bezpiecznie. Włącz auto-update dla mniejszych aktualizacji bezpieczeństwa, które rzadko coś psują. Większe wersje, zwłaszcza majory wtyczek z dużym wpływem na funkcjonalność, wprowadzaj po backupie i, jeśli to możliwe, najpierw na środowisku testowym. Po każdej aktualizacji sprawdź kluczowe funkcje strony, zanim pójdziesz dalej.
Z naszej praktyki nieaktualne wtyczki to dziś najczęstsza przyczyna włamań na WordPressa. Boty masowo skanują sieć w poszukiwaniu stron na starych wersjach popularnych dodatków, dla których znane są publiczne exploity.
Kopie zapasowe
Backup to ostatnia linia obrony, kiedy zawiodą wszystkie poprzednie. Nawet najlepiej zabezpieczona strona może paść ofiarą awarii hostingu, błędu ludzkiego albo nieoczywistej luki w nowo zainstalowanej wtyczce. Systematyczne kopie zapasowe minimalizują ryzyko przestoju i strat.
Sensowny backup to:
- automatyczny harmonogram (codziennie dla sklepów, przynajmniej raz w tygodniu dla stron statycznych),
- pliki i baza danych w komplecie, a nie tylko jedno z dwóch,
- przechowywanie poza serwerem produkcyjnym (Google Drive, Dropbox, S3, własny dysk), żeby awaria serwera nie zabrała ze sobą również kopii,
- regularny test odtwarzania, bo backup, którego nigdy nie przywróciłeś, nie wiesz, czy w ogóle działa.
Temat backupu w pełni rozkładamy w naszym przewodniku o backupie WordPress, a o samych narzędziach piszemy w porównaniu najlepszych wtyczek do backupu.
Certyfikat SSL i zabezpieczenia HTTPS
Wdrożenie certyfikatu SSL to obecnie standard, nie luksus. Brak HTTPS oznacza nie tylko obniżone zaufanie użytkowników i ostrzeżenia w przeglądarce, ale również niższe pozycje w wynikach wyszukiwania (Google jawnie premiuje strony szyfrowane).
Co daje HTTPS.
Szyfruje dane przesyłane między przeglądarką a serwerem, więc zapobiega przechwyceniu loginu, haseł, danych płatniczych i innych poufnych informacji. Dla sklepu WooCommerce to wymóg absolutnie podstawowy, bo bez szyfrowania nie wolno realnie przyjmować płatności online.
Jak wdrożyć:
- automatycznie przez hosting, najczęściej z darmowego Let’s Encrypt (większość polskich hostingów ma to wbudowane),
- wtyczką Really Simple SSL, która upraszcza zarówno samą konfigurację certyfikatu, jak i przekierowania HTTP na HTTPS,
- ręcznie, dodając przekierowanie w pliku
.htaccessi podmieniając wszystkie wewnętrzne odwołania na wersję HTTPS.
Po włączeniu SSL koniecznie zaktualizuj adres strony w Ustawieniach WordPressa (Adres WordPressa, Adres witryny) z http:// na https://, inaczej część zasobów może się ładować z błędem mixed content.
Zaawansowane zabezpieczenia, czyli warstwa firewalla, skanów i hardeningu
Podstawowe zabezpieczenia (hasła, aktualizacje, backup, SSL) wystarczą zaskakująco często, ale przy bardziej eksponowanych stronach warto dołożyć kolejne warstwy.
Web Application Firewall (WAF).
Bariera, która filtruje ruch przychodzący do strony i odrzuca podejrzane zapytania (SQL Injection, XSS, masowe próby logowania) jeszcze zanim dotrą do WordPressa. Sprawdzone rozwiązania to Cloudflare, Sucuri Firewall i wbudowany WAF w Wordfence. Działa na dwóch poziomach: jako filtr przed wejściem (na poziomie DNS lub serwera) albo jako filtr aplikacyjny wewnątrz WordPressa.
Skany malware. Wtyczki bezpieczeństwa (Wordfence, MalCare, Sucuri SiteCheck) regularnie skanują pliki i bazę pod kątem złośliwego oprogramowania i nieautoryzowanych zmian. Włącz automatyczne, codzienne skany i powiadomienia e-mail przy wykryciu zagrożenia.
Monitorowanie aktywności.
Wtyczki audytujące zdarzenia (WP Activity Log, Simple History) pokazują, kto i kiedy się logował, jakie zmiany wprowadzał i jakie wtyczki instalował. To kluczowe, jeśli dostęp do strony ma kilka osób albo agencja zewnętrzna. Jeśli chcesz wejść głębiej i nauczyć się analizować logi pod kątem prób włamań, sprawdź nasz przewodnik jak sprawdzić ataki na WordPressa i próby włamania na WooCommerce.
Wyłącz lub zabezpiecz xmlrpc.php.
Plik z dawnej architektury WordPressa, dziś częściej cel ataków brute force niż realnie używane narzędzie. Jeśli nie korzystasz z aplikacji mobilnej WordPressa, Jetpacka albo integracji wywołujących xmlrpc, wyłącz go regułą w .htaccess albo z poziomu panelu hostingu.
Ogranicz uprawnienia użytkowników.
Każdemu kontu nadawaj najniższy poziom uprawnień, który pozwala wykonać zadanie. Redaktor nie musi mieć dostępu do wtyczek, klient sklepu nie powinien być administratorem. Co kilka miesięcy przejrzyj listę użytkowników i usuń konta byłych pracowników i wykonawców.
Hardening na poziomie plików.
Ustaw uprawnienia 755 dla folderów i 644 dla plików, zabezpiecz wp-config.php i .htaccess przed zapisem dla obcych, wyłącz listowanie katalogów (Options -Indexes w .htaccess), zablokuj bezpośredni dostęp do wp-includes regułami konfiguracyjnymi. To pojedyncze drobiazgi, ale w sumie składają się na zauważalnie mniejszą powierzchnię ataku.
Ochrona sklepu WooCommerce
Sklep WooCommerce to nie tylko strona WordPress z dodatkiem, ale system, który przyjmuje płatności, przechowuje dane klientów i podlega regulacjom (RODO, PSD2). Dlatego wymaga dodatkowych warstw ochrony, których strona wizytówkowa może sobie odpuścić.
Sprawdzone bramki płatności.
Korzystaj z renomowanych operatorów (Stripe, PayPal, Przelewy24, BlueMedia, tpay, Autopay), którzy mają wbudowane zabezpieczenia 3D Secure, monitoring transakcji i są zgodni z PSD2. Unikaj własnych integracji z mniej znanymi bramkami, bo to zarówno ryzyko bezpieczeństwa, jak i prawne.
Wzmocniony dostęp do panelu admin.
Dla sklepu WooCommerce 2FA na kontach administratorów to bezdyskusyjna podstawa. Dodatkowo można włączyć filtrowanie IP, żeby dostęp do /wp-admin miały tylko określone lokalizacje, choć przy zespołach bywa to zbyt restrykcyjne (sprawdza się raczej w sklepach jednoosobowych).
Monitorowanie aktywności klientów i administratorów.
WP Activity Log w wersji rozszerzonej śledzi również zdarzenia WooCommerce: kto zmienił cenę produktu, kto przyznał kupon rabatowy, kto edytował zamówienie. To krytyczne, gdy w sklepie dzieje się coś podejrzanego, bo daje ślad audytowy.
Zgodność z RODO i ochrona danych klientów.
Włącz reCAPTCHA na formularzach rejestracji i kontaktu, wymuś silne hasła dla klientów, zadbaj o pełne HTTPS na całej witrynie, regularnie audytuj listę wtyczek pod kątem tego, jakie dane przetwarzają i czy są aktywnie rozwijane.
Co robić, gdy mimo zabezpieczeń doszło do włamania
Nawet najlepiej zabezpieczona strona może paść ofiarą złośliwego kodu, programu lub skryptu, o którym jeszcze nikt nie wie. Jeśli widzisz objawy infekcji (nieautoryzowane konta administratora, zmienione hasło, mail z hostingu o blokadzie, dziwne aktywności w panelu), działaj szybko. Kompletny przewodnik usuwania znajdziesz w naszym artykule o wirusach na stronie WordPress, a jeśli problem dotyczy samego dostępu do panelu, sprawdź również co robić, gdy wp-admin nie działa.
Jeśli wolisz, żeby ktoś zajął się usunięciem infekcji i zabezpieczeniem strony za Ciebie, w ramach opieki z usuwaniem wirusów i ochroną przed włamaniami ogarniemy to kompleksowo, z raportem i wdrożeniem dodatkowych zabezpieczeń. A kiedy strona jest już oczyszczona, warto zrozumieć, jak do włamania doszło, żeby uniknąć powtórki. O najczęstszych przyczynach piszemy w osobnym wpisie: 6 najczęstszych przyczyn infekcji stron.
Podsumowanie
Zabezpieczenie WordPressa to nie jednorazowy projekt, tylko trwały proces. Cztery podstawy (aktualne oprogramowanie, sensowne hasła z 2FA, świeży backup poza serwerem, wtyczka bezpieczeństwa z firewallem) wycinają większość ryzyka. Kolejne warstwy (SSL, hardening plików, monitorowanie aktywności, ochrona WooCommerce) zamykają coraz węższe luki dla atakujących.
Jeśli wolisz mieć listę punktów do odhaczenia, sprawdź dedykowaną checklistę zabezpieczeń WordPress i WooCommerce, z konkretnymi krokami w formacie do odznaczania.
A jeśli wolisz oddać sprawę specjalistom, w ramach kompleksowej opieki nad WordPressem zajmujemy się aktualizacjami, backupami, monitorowaniem i bezpieczeństwem strony, plus szybko reagujemy, gdy coś idzie nie tak. Cennik jest publiczny i dopasowany do różnych typów witryn.
Najczęściej zadawane pytania o zabezpieczenia WordPressa
Jak zabezpieczyć stronę WordPress przed atakami?
Najważniejsze są cztery warstwy: aktualne oprogramowanie, silne hasła z 2FA, regularny backup poza serwerem oraz wtyczka bezpieczeństwa z firewallem i skanowaniem malware. Te cztery razem wycinają większość typowych zagrożeń.
Czy WordPress jest bezpieczny?
Sam WordPress jest aktywnie rozwijany i regularnie łatany. Problem najczęściej leży nie w rdzeniu, tylko w nieaktualnych wtyczkach, słabych hasłach, pirackich motywach z wstrzykniętym kodem i braku monitorowania.
Jakie wtyczki zabezpieczające WordPress są najlepsze?
Najczęściej polecane to Wordfence, iThemes Security, Sucuri Security i MalCare. Każda zapewnia firewall, skany malware, alerty i podstawowe hardening. Warto wybrać jedną i porządnie ją skonfigurować, nie instalować trzech jednocześnie.
Czy hosting wystarczy do zabezpieczenia WordPressa?
Hosting odpowiada za zabezpieczenia serwera (firewall, izolacja kont, kopia infrastruktury), ale nie za bezpieczeństwo samej aplikacji WordPress. Aktualizacje, mocne hasła, wtyczki zabezpieczeń i backupy to Twoja odpowiedzialność.
Ile kosztuje zabezpieczenie WordPressa?
Podstawowe zabezpieczenie własnymi siłami nic nie kosztuje, poza ceną hostingu i ewentualnymi licencjami płatnych wtyczek (np. premium Wordfence). Profesjonalna stała opieka z zabezpieczeniami, backupem i usuwaniem wirusów to zwykle kilkadziesiąt do kilkuset złotych miesięcznie, zależnie od wielkości i typu strony.
