Silne hasła i 2FA - fundament zabezpieczenia WordPress

Według raportów Wordfence i Patchstack około 80% udanych włamań do WordPress zaczyna się od słabego hasła lub przejętych danych logowania. Boty testują tysiące kombinacji na minutę. "admin123" pada w sekundę.

Minimum to 16 znaków - wielkie i małe litery, cyfry, znaki specjalne. Generuj je w menedżerze haseł, nie wymyślaj sam. Bitwarden działa za darmo, 1Password kosztuje 3 USD miesięcznie. Oba szyfrują bazę lokalnie - nawet jeśli ich serwer padnie, Twoje hasła zostają u Ciebie.

Drugi krok to uwierzytelnianie dwuskładnikowe (2FA). Nawet jeśli ktoś wykradnie hasło - bez kodu z telefonu lub klucza sprzętowego nie wejdzie. Włącz to dziś, nie jutro.

3 sprawdzone pluginy do 2FA w WordPress

• Wordfence Login Security - darmowe 2FA wbudowane w plugin firewall, obsługuje Google Authenticator i Authy
• WP 2FA - lekki plugin tylko do 2FA, SMS w wersji Premium (50 USD/rok)
• Two-Factor - oficjalny plugin współtworzony przez core teamu WordPress, FIDO U2F i klucze sprzętowe

Application Passwords - oddzielne hasła dla aplikacji

Od WordPress 5.6 masz natywne Application Passwords. Generujesz oddzielne hasło dla każdej aplikacji łączącej się z REST API (mobilna apka, integracja n8n, eksport do CSV). Główne hasło zostaje nietknięte, a integrację możesz wyłączyć jednym kliknięciem.

Ostatnia rzecz w tym kroku: zmień domyślną nazwę użytkownika admin. To pierwsze, czego szukają boty. Załóż nowego usera w roli Administrator, zaloguj się na niego, usuń starego admina i przepisz jego treści na nowe konto.

Aktualizacje WordPress, motywu i pluginów co tydzień

Patchstack w rocznym raporcie 2025 podaje, że ponad 50% włamań do WordPress wykorzystuje znane luki w przestarzałych pluginach. Łatka istnieje od miesięcy - tylko nikt jej nie wgrał.

Sprawdzaj aktualizacje raz w tygodniu w stały dzień. U mnie to poniedziałek rano. Kolejność jest ważna: najpierw backup, potem core WordPress, potem motyw, na końcu pluginy.

Auto-update tylko dla pluginów drugorzędnych

Dla pluginów drugorzędnych (Contact Form 7, Yoast, Akismet) włącz auto-update w Kokpit → Wtyczki. Krytyczne (Divi, Elementor, WooCommerce, twoja platforma e-commerce) aktualizuj ręcznie po backupie i teście na środowisku staging.

• Tygodniowy harmonogram - lepiej regularnie niż "jak będzie czas"
• Backup PRZED aktualizacją - zawsze, bez wyjątków
• Staging dla dużych zmian - testuj zanim wgrasz na produkcję
• Powiadomienia o lukach - włącz alerty Wordfence lub subskrybuj newsletter Patchstack

Pluginy nieaktualizowane przez deweloperów od 6+ miesięcy usuwaj bez sentymentu. Porzucony kod to luka, której nikt nie załata - hakerzy o tym wiedzą i celują w nią pierwszą.

Limit prób logowania i blokada brute-force

Boty atakują stronę logowania /wp-admin setkami zapytań na minutę. Bez limitu prób w końcu trafią hasło - to tylko kwestia czasu i mocy obliczeniowej.

Rozwiązanie kosztuje 0 zł. Wystarczy plugin Limit Login Attempts Reloaded z ponad 2 milionami aktywnych instalacji. Ustawienia, które polecam: 4 próby, blokada 60 minut, eskalacja przy ponownym ataku do 24 godzin.

Wordfence robi to samo plus pełny firewall WAF (Web Application Firewall). Działa na ponad 5 milionach stron na świecie - z dobrym powodem.

reCAPTCHA, ukryty URL logowania i wyłączenie XML-RPC

Dodaj Google reCAPTCHA v3 do /wp-login.php i każdego formularza kontaktowego. Boty się odbijają, prawdziwy użytkownik nawet nie zauważa pytania.

• WPS Hide Login - zmień URL logowania (np. /moje-biuro). To kosmetyka, ale eliminuje 70-80% automatycznych botów
• Whitelist swojego IP w Wordfence - zero false positive dla Ciebie, nawet przy agresywnych regułach
• Wyłącz xmlrpc.php jeśli nie używasz Jetpack ani aplikacji mobilnej WordPress - to jeden z najczęstszych wektorów ataków brute-force
• Wyłącz edycję plików w panelu - dodaj define('DISALLOW_FILE_EDIT', true); w wp-config.php

Backup automatyczny do chmury (zasada 3-2-1)

Backup to nie luksus, tylko plan B na dzień, w którym wszystko inne zawiedzie. Bez niego po włamaniu zostaje czysta strona i miesiące pracy do odtworzenia od zera.

Branżowa zasada 3-2-1 mówi: 3 kopie danych, na 2 różnych nośnikach, 1 poza siedzibą. W praktyce dla WordPress oznacza to: hosting (1), drugi backup u dostawcy zewnętrznego jak Google Drive (2), trzeci na dysku lokalnym albo w S3 (3).

UpdraftPlus - bezpłatne backupy do chmury w 10 minut

UpdraftPlus robi backup za darmo do Google Drive, Dropbox, OneDrive lub Amazon S3. Konfiguracja zajmuje 10 minut. Wersja Premium (70 USD/rok) dodaje multisite, kopie inkrementalne i bezpośrednią migrację między serwerami. Jak skonfigurować ją krok po kroku, pokazuję w poradniku kopia zapasowa WordPress.

• Baza danych - codziennie lub minimum raz w tygodniu, w zależności od tempa zmian
• Pełny backup (pliki + baza) - raz w miesiącu, plus zawsze przed dużą aktualizacją
• Retencja - przechowuj minimum 30 dni wstecz, nie nadpisuj wczorajszej kopii
• Test restore - raz na kwartał odtwórz backup na środowisko staging i sprawdź czy działa

Backup, którego nigdy nie testowałeś, to nie backup - to nadzieja. U swoich klientów sprawdzam co kwartał, że plik się otwiera i baza ładuje się bez błędów. 2 razy w karierze złapałem uszkodzony plik zanim był potrzebny do realnego ratunku.

Hosting też robi backupy (Hostinger, OVH, MyDevil, cyber_Folks). Nie ufaj im jako jedynemu źródłu. Awaria po stronie dostawcy potrafi zabrać Twoją stronę i kopię razem w jednej godzinie. Drugi backup poza hostingiem to nie paranoja, to higiena.

Plugin bezpieczeństwa WordPress: Wordfence, Solid Security, Sucuri

Plugin bezpieczeństwa to firewall, skaner malware, blokada brute-force i monitoring w jednym. W 2026 roku trzy opcje warte uwagi dla małej i średniej firmy.

Co skonfigurować w pierwszych 30 minutach po instalacji

1. Włącz firewall na poziomie WordPress (nie czekaj na konfigurację serwera - to dodatkowa warstwa)
2. Uruchom pełny skan plików - Wordfence sprawdza zmiany w core WordPress, motywie i pluginach względem oryginałów
3. Powiadomienia mailem o krytycznych zdarzeniach: nieudane logowanie admina, zmiana w pliku core, błąd bazy danych
4. Country blocking - zablokuj kraje, z których nie masz klientów (najczęściej Chiny, Rosja, Wietnam, Korea Północna)
5. Login Security - włącz 2FA dla wszystkich administratorów i edytorów, nie tylko dla głównego usera

Ważne: jeden plugin bezpieczeństwa wystarczy. Dwa naraz oznaczają konflikt reguł firewall, false positive w skanerze i wolniejszą stronę. Wybierz jeden i skonfiguruj go porządnie.

HTTPS i certyfikat SSL - obowiązkowe minimum

Bez HTTPS Chrome wyświetla ostrzeżenie "Niezabezpieczone" obok adresu. Klient widzi to zanim zobaczy Twoją ofertę. Konwersja spada o 30-40% - sprawdzone w setkach raportów Google Analytics z polskich małych firm.

Certyfikat Let's Encrypt jest darmowy i wydany przez non-profit Internet Security Research Group. Hostinger, OVH, cyber_Folks i MyDevil instalują go jednym kliknięciem w panelu. Auto-renew co 90 dni - zero pracy z Twojej strony.

• Force HTTPS - przekierowanie 301 z http na https w .htaccess lub przez plugin Really Simple SSL
• HSTS header - wymusza HTTPS przy każdej kolejnej wizycie nawet jeśli ktoś wpisze http://
• Mixed content check - sprawdź Why No Padlock czy nic nie ładuje się po starym protokole
• Aktualizacja URL w bazie - plugin Better Search Replace zamieni stare adresy http na https w jednej operacji

HTTPS to także sygnał rankingowy Google od 2014 roku. Strona bez SSL przegrywa w wynikach z konkurencją, która ma certyfikat - to potwierdzony oficjalnie przez Google fakt, nie SEO mit.