---
title: "Jak zabezpieczyć WordPressa - kompletny poradnik"
description: "WordPress to najpopularniejszy CMS, a co za tym idzie najczęściej atakowany. Poznaj sprawdzone metody zabezpieczenia swojej strony."
date: 2016-12-14
category: Web Development
tags: ["WordPress", "bezpieczeństwo", "webmastering"]
url: https://uper.pl/blog/jak-zabezpieczyc-wordpress/
---

# Jak zabezpieczyć WordPressa - kompletny poradnik

WordPress jest najpopularniejszym systemem CMS na świecie, a co za tym idzie - najczęściej atakowanym. W tym poradniku przedstawiam sprawdzone metody zabezpieczenia strony WordPress.

## Dlaczego WordPress jest atakowany?

- **Popularność** - ponad 40% stron w internecie używa WordPress
- **Nieaktualizowane instalacje** - główna przyczyna włamań
- **Pirackie wtyczki i motywy** - często zawierają malware
- **Słabe hasła** - łatwe do złamania metodą brute force

## Podstawowe zabezpieczenia

### 1. Zawsze aktualizuj WordPress

To **najważniejsza** zasada. Aktualizuj:
- Rdzeń WordPress
- Wszystkie wtyczki
- Motyw (theme)

Większość ataków wykorzystuje znane luki w starszych wersjach.

### 2. Unikaj pirackich wtyczek i motywów

"Darmowe" wersje płatnych produktów często zawierają:
- Backdoory
- Kod spamiący
- Przekierowania na obce strony

Korzystaj tylko z oficjalnych źródeł.

### 3. Usuń nieużywane wtyczki i motywy

Każda wtyczka to potencjalna luka. Jeśli czegoś nie używasz - **usuń to** (nie tylko dezaktywuj).

### 4. Ukryj numer wersji WordPressa

Dodaj do `functions.php`:

```php
remove_action('wp_head', 'wp_generator');
```

## Zaawansowane zabezpieczenia

### 5. [Nagłówki bezpieczeństwa](/blog/naglowki-bezpieczenstwa-http/)

Dodaj do `.htaccess`:

```apache
# X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"

# X-Frame-Options (ochrona przed clickjacking)
Header always set X-Frame-Options "SAMEORIGIN"

# X-Content-Type-Options
Header set X-Content-Type-Options "nosniff"
```

### 6. Ogranicz dostęp do wp-admin

Możesz ograniczyć dostęp do panelu tylko dla wybranych IP. Dodaj do `.htaccess` w folderze `wp-admin`:

```apache
order deny,allow
deny from all
allow from TWOJE.IP.ADRES
```

### 7. Włącz SSL (HTTPS)

Darmowe certyfikaty SSL są dostępne przez Let's Encrypt. HTTPS chroni dane przesyłane między przeglądarką a serwerem.

### 8. Zmień prefix tabel w bazie danych

Domyślny prefix `wp_` ułatwia ataki SQL injection. Przy nowej instalacji użyj niestandardowego prefixu.

## Jak rozpoznać włamanie?

Objawy zainfekowanej strony:
- Przekierowania na obce strony
- Fałszywe pliki jQuery w nagłówku
- Funkcje `eval()` w kodzie
- Zakodowany kod PHP (base64)
- Podejrzane pliki w katalogach
- Nowi nieznani administratorzy

## Co zrobić po włamaniu?

1. **Przywróć z kopii zapasowej** (jeśli masz pewną kopię)
2. **Zablokuj dostęp** przez `.htaccess` podczas naprawy
3. **Zaktualizuj wszystko** do najnowszych wersji
4. **Zmień wszystkie hasła** (WordPress, FTP, baza danych)
5. **Przeskanuj pliki** w poszukiwaniu malware
6. **Zgłoś do Google** jeśli strona została oznaczona jako niebezpieczna

## Podsumowanie

Bezpieczeństwo WordPress to proces ciągły. Regularne aktualizacje, [kopie zapasowe](/blog/kopie-zapasowe-wordpressa/) i podstawowe zabezpieczenia znacząco zmniejszają ryzyko włamania. Pamiętaj: prewencja jest tańsza niż naprawa.