Kompletny przewodnik po bezpieczeństwie WordPress – krok po kroku (2025)

Każdy właściciel strony WordPress, którego znamy, miał ten moment paniki, kiedy zdaje sobie sprawę, że ich strona internetowa może być narażona na ataki hakerów. My nauczyliśmy się tej lekcji w trudny sposób na początku naszej drogi, kiedy zobaczyliśmy, co naruszenia bezpieczeństwa mogą zrobić firmom.

Dlatego przez lata skutecznie chroniliśmy WPBeginner przed powtarzającymi się atakami, korzystając z najlepszych wtyczek bezpieczeństwa i stosując najlepsze praktyki bezpieczeństwa WordPress.

Bezpieczeństwo WordPress nie musi być skomplikowane ani drogie. Większość właścicieli witryn myśli, że potrzebują zatrudnić ekspertów lub wydać tysiące na narzędzia bezpieczeństwa, ale to po prostu nieprawda. Dzięki odpowiedniemu podejściu i sprawdzonym strategiom możesz chronić swoją witrynę tak samo, jak my chronimy nasze.

Spędziliśmy lata na testowaniu wtyczek zabezpieczających, wdrażaniu najlepszych praktyk i pomaganiu tysiącom użytkowników WordPress w zabezpieczaniu ich witryn. W tym przewodniku przeprowadzimy Cię przez każdy krok, który stosujemy, aby utrzymać naszą witrynę bezpieczną, dzięki czemu możesz spać spokojnie, wiedząc, że Twoja witryna WordPress jest chroniona.

Chociaż podstawowe oprogramowanie WordPress jest bardzo bezpieczne i jest regularnie audytowane przez setki programistów, nadal wiele trzeba zrobić, aby utrzymać bezpieczeństwo Twojej witryny.

W WPBeginner wierzymy, że bezpieczeństwo to nie tylko eliminacja ryzyka. To także jego redukcja. Jako właściciel strony internetowej możesz zrobić wiele, aby poprawić bezpieczeństwo swojego WordPressa, nawet jeśli nie jesteś biegły technicznie.

Dlatego przygotowaliśmy listę kontrolną bezpieczeństwa WordPress zawierającą praktyczne kroki, które możesz podjąć, aby chronić swoją stronę internetową przed lukami w zabezpieczeniach.

Aby ułatwić Ci nawigację, przygotowaliśmy spis treści, który pomoże Ci łatwo poruszać się po naszym obszernym przewodniku po bezpieczeństwie WordPress.

Spis treści

Podstawy bezpieczeństwa WordPress

• Dlaczego bezpieczeństwo WordPress jest ważne
• Aktualizuj WordPress
• Używaj silnych haseł i uprawnień użytkowników
• Zrozum rolę hostingu WordPress

Bezpieczeństwo WordPress w prostych krokach (bez kodowania)

• Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress
• Zainstaluj renomowaną wtyczkę bezpieczeństwa WordPress
• Włącz zaporę aplikacji internetowej (WAF)
• Przenieś swoją stronę WordPress na SSL/HTTPS

Bezpieczeństwo WordPress dla użytkowników DIY

• Zmień domyślną nazwę użytkownika administratora
• Wyłącz edycję plików
• Wyłącz wykonywanie plików PHP w określonych katalogach WordPress
• Ogranicz próby logowania
• Dodaj uwierzytelnianie dwuskładnikowe (2FA)
• Zmień prefiks bazy danych WordPress
• Chroń hasłem panel administracyjny i stronę logowania WordPress
• Wyłącz indeksowanie i przeglądanie katalogów
• Wyłącz XML-RPC w WordPress
• Automatycznie wyloguj nieaktywnych użytkowników w WordPress
• Dodaj pytania zabezpieczające do logowania WordPress
• Skanowanie WordPressa pod kątem złośliwego oprogramowania i luk
• Napraw zhakowaną witrynę WordPress

Gotowi? Zacznijmy.

Dlaczego bezpieczeństwo witryny jest ważne

Zhakowana strona WordPress może spowodować poważne szkody dla przychodów i reputacji Twojej firmy. Hakerzy mogą kraść informacje o użytkownikach i hasła, instalować złośliwe oprogramowanie, a nawet rozpowszechniać malware wśród Twoich użytkowników.

Co gorsza, możesz znaleźć się w sytuacji, w której będziesz płacić okup hakerom, tylko po to, aby odzyskać dostęp do swojej strony internetowej.

Codziennie Google ostrzega 12-14 milionów użytkowników, że strona internetowa, którą próbują odwiedzić, może zawierać złośliwe oprogramowanie lub kraść informacje.

Ponadto, Google umieszcza na czarnej liście ponad 10 000 witryn dziennie z powodu złośliwego oprogramowania lub phishingu.

Tak jak właściciele firm posiadający fizyczną lokalizację są odpowiedzialni za zabezpieczenie swojej własności, tak właściciele firm internetowych muszą zwracać szczególną uwagę na bezpieczeństwo swojego WordPressa.

[Powrót na górę ↑]

Aktualizuj WordPress

WordPress to oprogramowanie open-source, które jest regularnie utrzymywane i aktualizowane. Domyślnie WordPress automatycznie instaluje drobne aktualizacje.

W przypadku głównych wydań musisz ręcznie zainicjować aktualizację.

WordPress oferuje również tysiące wtyczek i motywów, które można zainstalować na swojej stronie internetowej. Te wtyczki i motywy są utrzymywane przez zewnętrznych deweloperów, którzy regularnie wydają również aktualizacje.

Te aktualizacje WordPress są kluczowe dla bezpieczeństwa i stabilności Twojej witryny WordPress. Musisz upewnić się, że Twój rdzeń WordPress, wtyczki i motyw są aktualne.

[Powrót na górę ↑]

Używaj silnych haseł i uprawnień użytkowników

Najczęstsze próby włamań na WordPress wykorzystują skradzione hasła. Możesz jednak utrudnić to, używając silniejszych, unikalnych haseł do swojej strony internetowej.

Nie mówimy tylko o obszarze administracyjnym WordPress. Pamiętaj, aby tworzyć silne hasła do swoich kont FTP, baz danych, kont hostingowych WordPress i niestandardowych adresów e-mail, które korzystają z nazwy domeny Twojej witryny.

Wielu początkujących nie lubi używać silnych haseł, ponieważ trudno je zapamiętać. Dobrą wiadomością jest to, że nie musisz już pamiętać haseł, ponieważ możesz po prostu użyć menedżera haseł.

Zobacz nasz przewodnik na temat zarządzania hasłami do WordPressa, aby uzyskać więcej informacji.

Innym sposobem na zmniejszenie ryzyka jest nieudzielanie nikomu dostępu do konta administratora WordPress, chyba że absolutnie musisz.

Jeśli masz duży zespół lub autorów gościnnych, upewnij się, że rozumiesz role i uprawnienia użytkowników w WordPressie, zanim dodasz nowe konta użytkowników i autorów do swojej witryny WordPress.

[Powrót na górę ↑]

Zrozum rolę hostingu WordPress

Twoja usługa hostingu WordPress odgrywa najważniejszą rolę w bezpieczeństwie Twojej witryny WordPress. Dobry dostawca hostingu współdzielonego, taki jak Hostinger, Bluehost lub SiteGround, podejmuje dodatkowe środki w celu ochrony swoich serwerów przed powszechnymi zagrożeniami.

Oto tylko kilka sposobów, w jakie dobre firmy hostingowe działają w tle, aby chronić Twoje strony internetowe i dane:

• Ciągle monitorują swoją sieć pod kątem podejrzanej aktywności.
• Wszystkie dobre firmy hostingowe posiadają narzędzia zapobiegające masowym atakom DDoS.
• Utrzymują swoje oprogramowanie serwerowe, wersje PHP i sprzęt aktualne, aby zapobiec wykorzystywaniu przez hakerów znanych luk bezpieczeństwa w starych wersjach.
• Mają gotowe do wdrożenia plany odzyskiwania po awarii i wypadkach, które pozwalają im chronić Twoje dane w przypadku poważnego wypadku.

Na współdzielonym planie hostingowym dzielisz zasoby serwera z wieloma innymi klientami. Istnieje ryzyko zanieczyszczenia między witrynami, gdzie haker może wykorzystać sąsiednią witrynę do zaatakowania Twojej witryny.

W przeciwieństwie do tego, korzystanie z usługi zarządzanego hostingu WordPress zapewnia bezpieczniejszą platformę dla Twojej strony. Firmy oferujące zarządzany hosting WordPress zapewniają automatyczne kopie zapasowe, automatyczne aktualizacje WordPressa i bardziej zaawansowane konfiguracje bezpieczeństwa w celu ochrony Twojej strony.

Polecamy SiteGround jako naszego preferowanego dostawcę hostingu WordPress. Mają responsywne wsparcie, szybkie serwery i doskonałą niezawodność.

Upewnij się, że uzyskasz najlepszą ofertę, korzystając z naszego specjalnego kuponu SiteGround.

[Powrót na górę ↑]

Bezpieczeństwo WordPress w kilku prostych krokach (bez kodowania)

Wiemy, że poprawa bezpieczeństwa WordPressa może być przerażającą myślą dla początkujących, zwłaszcza jeśli nie jesteś techniczny. Zgadnij co – nie jesteś sam.

Pomogliśmy tysiącom użytkowników WordPressa w zabezpieczeniu ich systemów WordPress.

Pokażemy Ci, jak możesz poprawić bezpieczeństwo WordPress za pomocą zaledwie kilku kliknięć (bez kodowania).

Jeśli potrafisz wskazać i kliknąć, potrafisz to zrobić!

1. Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPressa

Kopie zapasowe są Twoją pierwszą obroną przed jakimkolwiek atakiem na WordPress. Pamiętaj, nic nie jest w 100% bezpieczne. Jeśli strony rządowe mogą zostać zhakowane, to Twoja również.

Kopie zapasowe pozwalają szybko przywrócić Twoją stronę WordPress w przypadku wystąpienia czegoś złego.

Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress, których możesz użyć. Najważniejszą rzeczą, którą musisz wiedzieć w kwestii kopii zapasowych, jest to, że musisz regularnie zapisywać pełne kopie zapasowe witryny w zdalnej lokalizacji (nie na swoim koncie hostingowym).

Zalecamy przechowywanie go w usłudze chmurowej, takiej jak Amazon, Dropbox, lub w prywatnych chmurach, takich jak Stash.

W zależności od tego, jak często aktualizujesz swoją stronę, idealnym ustawieniem może być tworzenie kopii zapasowych raz dziennie lub w czasie rzeczywistym.

Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak Duplicator, UpdraftPlus lub BlogVault. Obie są niezawodne i co najważniejsze łatwe w użyciu (nie wymagają kodowania).

Więcej szczegółów znajdziesz w naszym przewodniku jak wykonać kopię zapasową Twojej strony WordPress.

[Powrót na górę ↑]

Zainstaluj renomowaną wtyczkę bezpieczeństwa WordPress

Po wykonaniu kopii zapasowych następną rzeczą, którą musimy zrobić, jest skonfigurowanie systemu audytu i monitorowania, który śledzi wszystko, co dzieje się na Twojej stronie internetowej.

Obejmuje to monitorowanie integralności plików, nieudane próby logowania, skanowanie złośliwego oprogramowania i inne.

Na szczęście możesz łatwo sobie z tym poradzić, instalując jeden z najlepszych wtyczek zabezpieczających WordPress, takich jak Sucuri.

Musisz zainstalować i aktywować bezpłatną wtyczkę Sucuri Security. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku na temat jak zainstalować wtyczkę WordPress.

Teraz możesz przejść do Sucuri Security » Dashboard, aby sprawdzić, czy wtyczka znalazła jakieś natychmiastowe problemy z kodem WordPress.

Następną rzeczą, którą musisz zrobić, jest przejście do strony Sucuri Security » Ustawienia i kliknięcie zakładki „Utwardzanie”.

Domyślne ustawienia działają dobrze dla większości stron internetowych, więc możesz je aktywować, klikając przycisk „Zastosuj utwardzenie” dla każdej opcji.

Pomaga to zabezpieczyć kluczowe obszary, które hakerzy często wykorzystują w swoich atakach.

Po części utwardzającej, inne domyślne ustawienia wtyczki są wystarczające dla większości stron internetowych i nie wymagają żadnych zmian.

Jedyną rzeczą, którą zalecamy dostosować, są alerty e-mail, które można znaleźć w zakładce „Alerty” na stronie ustawień.

Domyślnie będziesz otrzymywać wiele alertów e-mail, które mogą zaśmiecać Twoją skrzynkę odbiorczą.

Zalecamy włączanie alertów tylko dla kluczowych działań, o których chcesz być powiadamiany, takich jak zmiany wtyczek i rejestracje nowych użytkowników.

Ta wtyczka zabezpieczająca WordPress jest bardzo potężna, więc przejrzyj wszystkie zakładki i ustawienia, aby zobaczyć wszystko, co robi, takie jak skanowanie złośliwego oprogramowania, logi audytu, śledzenie nieudanych prób logowania i wiele więcej.

Aby uzyskać więcej informacji, możesz zapoznać się z naszą szczegółową recenzją Sucuri.

Włącz zaporę aplikacji internetowej (WAF)

Użycie zapory sieciowej aplikacji internetowej (WAF) to najłatwiejszy sposób na ochronę Twojej witryny i pewność co do bezpieczeństwa WordPress.

Zapora sieciowa blokuje cały złośliwy ruch, zanim jeszcze dotrze do Twojej witryny.

• Zapora sieciowa na poziomie DNS kieruje ruch Twojej witryny przez swoje serwery proxy w chmurze. Pozwala to wysyłać tylko prawdziwy ruch do Twojego serwera internetowego.
• Zapora sieciowa na poziomie aplikacji analizuje ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Ta metoda nie jest tak wydajna jak zapora sieciowa na poziomie DNS w zmniejszaniu obciążenia serwera.

Aby dowiedzieć się więcej, zobacz naszą listę najlepszych wtyczek zapory sieciowej WordPress.

Przez wiele lat używaliśmy Sucuri w WPBeginner i nadal polecamy ją jako jedną z najlepszych zapór aplikacji internetowych dla WordPress. Niedawno przeszliśmy z Sucuri na Cloudflare, ponieważ potrzebowaliśmy większej sieci CDN z funkcjami bardziej skoncentrowanymi na klientach korporacyjnych.

Możesz przeczytać o tym, jak Sucuri pomogło nam zablokować 450 000 ataków na WordPress w miesiąc.

Najlepsze w zaporze sieciowej Sucuri jest to, że zawiera ona również gwarancję czyszczenia złośliwego oprogramowania i usuwania z czarnych list. Oznacza to, że jeśli zostaniesz zhakowany pod ich nadzorem, gwarantują naprawę Twojej witryny, niezależnie od liczby stron.

To dość mocna gwarancja, ponieważ naprawa zhakowanych stron internetowych jest kosztowna. Eksperci ds. bezpieczeństwa zazwyczaj pobierają ponad 250 USD za godzinę, podczas gdy cały pakiet bezpieczeństwa Sucuri można uzyskać za 199 USD na cały rok.

Biorąc to pod uwagę, Sucuri nie jest jedynym dostawcą zapory sieciowej na poziomie DNS. Innym popularnym konkurentem jest Cloudflare. Zobacz nasze porównanie Sucuri vs. Cloudflare (Plusy i minusy).

[Powrót na górę ↑]

Przenieś swoją stronę WordPress na SSL/HTTPS

SSL (Secure Sockets Layer) to protokół, który szyfruje transfer danych między Twoją witryną a przeglądarką użytkownika. Szyfrowanie to utrudnia podsłuchiwanie i kradzież informacji.

Po włączeniu SSL, adres Twojej witryny będzie używał HTTPS zamiast HTTP. Zobaczysz również ikonę kłódki lub podobny symbol obok adresu Twojej witryny w przeglądarce.

Certyfikaty SSL są zazwyczaj wydawane przez urzędy certyfikacji, a ich ceny zaczynają się od 80 USD do setek dolarów rocznie. Ze względu na dodatkowe koszty, większość właścicieli stron internetowych w przeszłości decydowała się na dalsze korzystanie z niezabezpieczonego protokołu.

Aby temu zaradzić, organizacja non-profit o nazwie Let’s Encrypt postanowiła oferować darmowe certyfikaty SSL właścicielom stron internetowych. Ich projekt jest wspierany przez Google Chrome, Facebook, Mozilla i wiele innych firm.

Rozpoczęcie korzystania z SSL dla wszystkich Twoich stron WordPress jest łatwiejsze niż kiedykolwiek. Wiele firm hostingowych oferuje teraz darmowy certyfikat SSL dla Twojej strony WordPress.

Jeśli Twoja firma hostingowa nie oferuje certyfikatu SSL, możesz go kupić od Domain.com. Mają najlepsze i najbardziej niezawodne oferty SSL na rynku. Certyfikat jest objęty gwarancją bezpieczeństwa w wysokości 10 000 USD i pieczęcią bezpieczeństwa TrustLogo.

Bezpieczeństwo WordPress dla użytkowników DIY

Jeśli zrobisz wszystko, co do tej pory wspomnieliśmy, będziesz w całkiem dobrej sytuacji.

Ale jak zawsze, jest więcej rzeczy, które możesz zrobić, aby wzmocnić bezpieczeństwo swojej witryny WordPress.

Pamiętaj, że niektóre z tych kroków mogą wymagać wiedzy programistycznej.

Zmień domyślną nazwę użytkownika administratora

W dawnych czasach domyślna nazwa użytkownika administratora WordPressa brzmiała „admin”. Ponieważ nazwy użytkowników stanowią połowę danych uwierzytelniających logowania, ułatwiało to hakerom przeprowadzanie ataków siłowych.

Na szczęście WordPress od tego czasu się zmienił i teraz wymaga od Ciebie wybrania niestandardowej nazwy użytkownika podczas instalacji WordPress.

Jednak niektóre instalatory WordPress typu „1 kliknięcie” nadal ustawiają domyślną nazwę użytkownika administratora na „admin”. Jeśli zauważysz, że tak jest, prawdopodobnie dobrym pomysłem będzie zmiana hostingu.

Ponieważ WordPress domyślnie nie pozwala na zmianę nazw użytkowników, istnieją trzy metody, których możesz użyć do zmiany nazwy użytkownika.

1. Utwórz nową nazwę użytkownika administratora i usuń starą.
2. Użyj wtyczki Username Changer
3. Zmień nazwę użytkownika z phpMyAdmin

Omówiliśmy wszystkie trzy z nich w naszym szczegółowym przewodniku na temat prawidłowej zmiany nazwy użytkownika WordPress.

[Powrót na górę ↑]

Wyłącz edycję plików

WordPress posiada wbudowany edytor kodu, który pozwala na edycję plików motywu i wtyczek bezpośrednio z panelu administracyjnego WordPress.

W niepowołanych rękach ta funkcja może stanowić ryzyko bezpieczeństwa, dlatego zalecamy jej wyłączenie.

Możesz to łatwo zrobić, dodając następujący kod do swojego pliku wp-config.php lub za pomocą pluginu do fragmentów kodu, takiego jak WPCode (zalecane):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Pokażemy Ci, jak to zrobić krok po kroku w naszym przewodniku na temat wyłączania edytorów motywów i wtyczek z panelu administracyjnego WordPress.

Alternatywnie, możesz to zrobić jednym kliknięciem, korzystając z funkcji Hardening w darmowej wtyczce Sucuri wspomnianej powyżej.

[Powrót na górę ↑]

Wyłącz wykonywanie plików PHP w określonych katalogach WordPress

Innym sposobem na wzmocnienie bezpieczeństwa WordPress jest wyłączenie wykonywania plików PHP w katalogach, gdzie nie jest to potrzebne, takich jak /wp-content/uploads/.

Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik, i wklejając ten kod:

<Files *.php>
deny from all
</Files>

Następnie musisz zapisać ten plik jako .htaccess i przesłać go do folderu /wp-content/uploads/ na swojej stronie internetowej za pomocą klienta FTP.

Aby uzyskać bardziej szczegółowe wyjaśnienie, zapoznaj się z naszym przewodnikiem na temat jak wyłączyć wykonywanie PHP w niektórych katalogach WordPress.

Alternatywnie, możesz to zrobić jednym kliknięciem, korzystając z funkcji Hardening w darmowym pluginie Sucuri, o którym wspomnieliśmy powyżej.

[Powrót na górę ↑]

Ogranicz próby logowania

Domyślnie WordPress pozwala użytkownikom próbować logować się wielokrotnie. To sprawia, że Twoja strona WordPress jest podatna na ataki typu brute-force. To właśnie wtedy hakerzy próbują złamać hasła, próbując logować się różnymi kombinacjami.

Można to łatwo naprawić, ograniczając liczbę nieudanych prób logowania, które użytkownik może wykonać. Jeśli używasz wspomnianej wcześniej zapory sieciowej aplikacji internetowej, problem ten jest automatycznie rozwiązany.

Jednak, jeśli nie masz skonfigurowanej zapory sieciowej, możesz przejść dalej, korzystając z poniższych kroków.

Najpierw musisz zainstalować i aktywować darmową wtyczkę Limit Login Attempts Reloaded. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku jak zainstalować wtyczkę WordPress.

Po aktywacji wtyczka zacznie ograniczać liczbę prób logowania, które mogą podjąć użytkownicy.

Domyślne ustawienia będą działać dla większości stron internetowych. Możesz je jednak dostosować, odwiedzając stronę Ustawienia » Limit prób logowania i klikając zakładkę „Ustawienia” na górze. Na przykład, aby być zgodnym z przepisami RODO, możesz zaznaczyć pole wyboru „Zgodność z RODO”.

Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat jak i dlaczego powinieneś ograniczyć liczbę prób logowania w WordPress.

[Powrót na górę ↑]

Dodaj uwierzytelnianie dwuskładnikowe (2FA)

Metoda uwierzytelniania dwuskładnikowego wymaga od użytkowników 2 różnych kroków do zalogowania się:

1. Pierwszym krokiem jest nazwa użytkownika i hasło.
2. Drugi krok wymaga użycia kodu z urządzenia lub aplikacji, którą posiadasz, a do której hakerzy nie mają dostępu, na przykład Twojego smartfona.

Większość popularnych stron internetowych, takich jak Google, Facebook i Twitter, pozwala na włączenie tej funkcji dla Twoich kont. Możesz również dodać tę samą funkcjonalność do swojej witryny WordPress.

Najpierw musisz zainstalować i aktywować wtyczkę WP 2FA – uwierzytelnianie dwuskładnikowe. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku na temat jak zainstalować wtyczkę WordPress.

Przyjazny kreator pomoże Ci skonfigurować wtyczkę, a następnie otrzymasz kod QR.

Będziesz musiał zeskanować kod QR za pomocą aplikacji uwierzytelniającej na swoim telefonie, takiej jak Google Authenticator, Authy lub LastPass Authenticator.

Zalecamy używanie LastPass Authenticator lub Authy, ponieważ pozwalają one na tworzenie kopii zapasowych Twoich kont w chmurze. Jest to bardzo przydatne w przypadku zgubienia telefonu, jego zresetowania lub zakupu nowego telefonu. Wszystkie Twoje loginy do kont zostaną łatwo przywrócone.

Większość tych aplikacji działa w podobny sposób, a jeśli używasz Authy, po prostu kliknij przycisk „+” lub „Dodaj konto” w aplikacji uwierzytelniającej.

Pozwoli to zeskanować kod QR na komputerze za pomocą aparatu telefonu. Może być konieczne wcześniejsze udzielenie aplikacji uprawnień do dostępu do aparatu.

Po nadaniu nazwy kontu, możesz je zapisać.

Następnym razem, gdy zalogujesz się na swoją stronę internetową, po podaniu hasła zostaniesz poproszony o podanie kodu uwierzytelniania dwuskładnikowego.

Po prostu otwórz aplikację uwierzytelniającą na swoim telefonie, a zobaczysz kod jednorazowy.

Następnie możesz wprowadzić kod na swojej stronie internetowej, aby zakończyć logowanie.

[Powrót na górę ↑]

Zmień prefiks bazy danych WordPress

Domyślnie WordPress używa prefiksu wp_ dla wszystkich tabel w Twojej bazie danych WordPress.

Jeśli Twoja strona WordPress używa domyślnego prefiksu bazy danych, ułatwia to hakerom odgadnięcie nazwy Twojej tabeli. Dlatego zalecamy jej zmianę.

Możesz zmienić prefiks swojej bazy danych, postępując zgodnie z naszym samouczkiem krok po kroku na temat jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo.

[Powrót na górę ↑]

Chroń hasłem panel administracyjny i stronę logowania WordPress

Zazwyczaj hakerzy mogą żądać dostępu do Twojego folderu wp-admin i strony logowania bez żadnych ograniczeń. Pozwala im to na próbowanie swoich sztuczek hakerskich lub przeprowadzanie ataków DDoS.

Możesz dodać dodatkową ochronę hasłem na poziomie serwera, co skutecznie zablokuje te żądania.

Po prostu postępuj zgodnie z naszymi instrukcjami krok po kroku dotyczącymi jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin).

[Powrót na górę ↑]

Wyłącz indeksowanie i przeglądanie katalogów

Kiedy wpiszesz adres jednego z folderów swojej witryny w przeglądarce internetowej, zostanie wyświetlona strona internetowa o nazwie index.html, jeśli istnieje. Jeśli nie istnieje, zamiast tego zostanie wyświetlona lista plików w tym folderze. Jest to znane jako przeglądanie katalogów.

Przeglądanie katalogów może być wykorzystywane przez hakerów do sprawdzenia, czy masz pliki z znanymi lukami, aby mogli je wykorzystać do uzyskania dostępu.

Przeglądanie katalogów może być również wykorzystywane przez inne osoby do przeglądania Twoich plików, kopiowania obrazów, poznawania struktury katalogów i innych informacji. Dlatego zdecydowanie zaleca się wyłączenie indeksowania i przeglądania katalogów.

Musisz połączyć się ze swoją stroną internetową za pomocą FTP lub menedżera plików swojego dostawcy hostingu. Następnie zlokalizuj plik .htaccess w głównym katalogu swojej strony. Jeśli go tam nie widzisz, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego nie widzisz pliku .htaccess w WordPress.

Następnie musisz dodać następującą linię na końcu pliku .htaccess:

Options -Indexes

Nie zapomnij zapisać i przesłać pliku .htaccess z powrotem na swoją witrynę.

Więcej na ten temat znajdziesz w naszym artykule o tym, jak wyłączyć przeglądanie katalogów w WordPress.

[Powrót na górę ↑]

Wyłącz XML-RPC w WordPress

XML-RPC to podstawowe API WordPress, które pomaga połączyć Twoją witrynę WordPress z aplikacjami internetowymi i mobilnymi. Jest domyślnie włączone od wersji WordPress 3.5.

Jednakże, ze względu na swoją potężną naturę, XML-RPC może znacząco wzmocnić ataki typu brute-force.

Na przykład, jeśli haker tradycyjnie chciałby wypróbować 500 różnych haseł na Twojej stronie, musiałby wykonać 500 oddzielnych prób logowania. Wtyczka Limit Login Attempts Reloaded może to wykryć i zablokować.

Ale dzięki XML-RPC haker może użyć funkcji system.multicall do próby tysięcy haseł przy użyciu powiedzmy 20 lub 50 żądań.

Dlatego, jeśli nie używasz XML-RPC, zalecamy jego wyłączenie.

Istnieją 3 sposoby na wyłączenie XML-RPC w WordPressie, a wszystkie z nich omówiliśmy w naszym samouczku krok po kroku na temat jak wyłączyć XML-RPC w WordPressie.

Alternatywnie, jest to obsługiwane automatycznie, jeśli używasz zapory sieciowej aplikacji internetowej (WAF), o której wspomnieliśmy wcześniej.

[Powrót na górę ↑]

Automatycznie wyloguj nieaktywnych użytkowników w WordPress

Zalogowani użytkownicy mogą czasami odejść od ekranu, co stanowi ryzyko bezpieczeństwa. Ktoś może przejąć ich sesję, zmienić hasła lub wprowadzić zmiany w ich koncie.

Dlatego wiele stron bankowych i finansowych automatycznie wylogowuje nieaktywnego użytkownika. Możesz ustawić podobną funkcjonalność na swojej stronie WordPress.

Będziesz musiał zainstalować i aktywować wtyczkę Inactive Logout. Po aktywacji przejdź na stronę Ustawienia » Inactive Logout, aby dostosować ustawienia wylogowania.

Po prostu ustaw czas trwania i dodaj komunikat o wylogowaniu. Następnie nie zapomnij kliknąć przycisku „Zapisz zmiany” u dołu strony, aby zapisać swoje ustawienia.

Aby uzyskać instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat automatycznego wylogowywania nieaktywnych użytkowników w WordPressie.

[Powrót na górę ↑]

Dodaj pytania zabezpieczające do ekranu logowania WordPress

Dodanie pytania zabezpieczającego do ekranu logowania WordPress sprawia, że osobie nieuprawnionej jest jeszcze trudniej uzyskać dostęp.

Możesz dodać pytania zabezpieczające, instalując wtyczkę Two Factor Authentication. Po aktywacji musisz odwiedzić stronę Multi-factor Authentication » Two Factor, aby skonfigurować ustawienia wtyczki.

Pozwoli to na dodanie różnych typów uwierzytelniania dwuskładnikowego do Twojej witryny, w tym pytań zabezpieczających.

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym poradnikiem jak dodać pytania zabezpieczające do ekranu logowania WordPress.

[Powrót na górę ↑]

Skanowanie WordPressa pod kątem złośliwego oprogramowania i luk

Jeśli masz zainstalowany plugin bezpieczeństwa WordPress, będzie on rutynowo sprawdzał pod kątem złośliwego oprogramowania i oznak naruszeń bezpieczeństwa.

Jednakże, jeśli zauważysz nagły spadek ruchu na stronie lub rankingu w wyszukiwarkach, możesz ręcznie przeskanować stronę pod kątem złośliwego oprogramowania. Możesz to zrobić za pomocą swojej wtyczki bezpieczeństwa WordPress lub jednego z najlepszych skanerów złośliwego oprogramowania i bezpieczeństwa.

Uruchamianie tych skanów online jest dość proste. Wystarczy wprowadzić adres URL swojej strony internetowej, a ich roboty przejrzą Twoją witrynę w poszukiwaniu znanego złośliwego oprogramowania i złośliwego kodu.

Pamiętaj, że większość skanerów bezpieczeństwa WordPressa może jedynie ostrzegać, jeśli Twoja witryna zawiera złośliwe oprogramowanie. Nie mogą usunąć złośliwego oprogramowania ani oczyścić zhakowanej witryny WordPress.

To prowadzi nas do następnej sekcji, czyli czyszczenia złośliwego oprogramowania i zhakowanych stron WordPress.

[Powrót na górę ↑]

Napraw zhakowaną witrynę WordPress

Wielu użytkowników WordPress nie zdaje sobie sprawy z wagi kopii zapasowych i bezpieczeństwa strony internetowej, dopóki ich strona nie zostanie zhakowana.

Hakerzy instalują tylne drzwi na zainfekowanych stronach, a jeśli te tylne drzwi nie zostaną odpowiednio naprawione, Twoja witryna prawdopodobnie zostanie ponownie zhakowana.

Dla użytkowników lubiących przygody i majsterkowanie przygotowaliśmy przewodnik krok po kroku dotyczący naprawy zhakowanej witryny WordPress.

Jednak czyszczenie witryny WordPress może być bardzo trudne i czasochłonne. Naszą radą byłoby zlecenie tego profesjonaliście.

Jeśli płacisz za korzystanie z wtyczki bezpieczeństwa Sucuri, o której wspomnieliśmy powyżej, naprawa zhakowanej witryny jest wliczona w cenę.

W przeciwnym razie możesz zapoznać się z naszymi rekomendacjami najlepszych agencji wsparcia WordPress, aby znaleźć profesjonalistów, którzy mogą naprawić Twoją zhakowaną witrynę.

[Powrót na górę ↑]

Najczęściej zadawane pytania dotyczące bezpieczeństwa WordPress

Ponieważ bezpieczeństwo WordPress jest tak ważne, regularnie otrzymujemy pytania na ten temat. Oto odpowiedzi na często zadawane pytania dotyczące ochrony stron internetowych WordPress przed atakami.

Czy WordPress jest bezpieczny w użyciu?

WordPress jest zaprojektowany tak, aby był bezpieczny, zwłaszcza jeśli regularnie go aktualizujesz. Jednak ze względu na jego popularność, hakerzy często celują w strony WordPress.

Nie martw się jednak. Postępując zgodnie z prostymi wskazówkami dotyczącymi bezpieczeństwa, takimi jak te zawarte w tym artykule, możesz znacznie zmniejszyć szanse na to, że ktoś zhakuje Twoją stronę internetową.

Co może narazić moją stronę WordPress na ryzyko?

Istnieje wiele sposobów, w jakie hakerzy próbują uzyskać dostęp do stron internetowych. Niektóre powszechne zagrożenia obejmują zgadywanie haseł, instalowanie szkodliwego oprogramowania (malware) oraz znajdowanie luk w kodzie Twojej strony internetowej w celu kradzieży informacji lub przejęcia kontroli.

Jak często należy aktualizować moją stronę WordPress?

Utrzymywanie Twojej strony WordPress, motywów i wtyczek na bieżąco jest bardzo ważne. Nowe aktualizacje często zawierają poprawki problemów z bezpieczeństwem. Spróbuj użyć automatycznych aktualizacji lub sprawdzaj aktualizacje samodzielnie co najmniej raz w tygodniu i instaluj je szybko.

Czy potrzebuję specjalnej wtyczki do bezpieczeństwa?

Nie musisz używać wtyczki bezpieczeństwa, ale może ona znacznie zwiększyć bezpieczeństwo Twojej strony internetowej. Wtyczki bezpieczeństwa działają jak dodatkowi strażnicy Twojej strony, chroniąc Cię przed hakerami i złośliwym oprogramowaniem.

Jak mogę wiedzieć, czy ktoś zhakował moją stronę internetową?

Jeśli zauważysz dziwne rzeczy dziejące się na Twojej witrynie, może to być znak, że zostałeś zhakowany. Może to obejmować pojawienie się nowych użytkowników lub plików, których nie utworzyłeś, Twoja witryna przekierowuje odwiedzających do innych witryn, Twoja witryna działa wolno lub otrzymujesz ostrzeżenia od Google lub Twojego dostawcy hostingu.

Co powinienem zrobić, jeśli moja witryna zostanie zhakowana?

Jeśli myślisz, że Twoja strona została zhakowana, nie panikuj, ale działaj szybko. Możesz skontaktować się ze swoją firmą hostingową i poprosić o pomoc. Możesz również użyć wtyczki bezpieczeństwa lub poprosić eksperta ds. bezpieczeństwa o wyczyszczenie Twojej strony.

Jeśli masz kopię zapasową swojej witryny, przywróć ją z tej kopii. Pamiętaj, aby zmienić wszystkie swoje hasła, w tym te do obszaru administracyjnego WordPress, bazy danych i FTP.

Mamy nadzieję, że ten artykuł pomógł Ci poznać najlepsze praktyki ochrony Twojej strony internetowej oraz naszą rekomendowaną listę kontrolną bezpieczeństwa WordPress. Możesz również zapoznać się z naszym zestawieniem najczęstszych powodów włamań na strony WordPress oraz naszymi ekskluzywnymi wyborami najlepszych wtyczek bezpieczeństwa WordPress.

Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.