Bezpieczeństwo WordPress

#WordPress jest najpopularniejszym CMS-em, dlatego bywa częstym celem ataków.
Dobra wiadomość?
Można go zabezpieczyć na poziomie niemal 100%.

Potrzebny jest jednak świadomy system:

• aktualizacje,
• zabezpieczenia serwera,
• silne hasła,
• firewall,
• skanery malware,
• dobre wtyczki bezpieczeństwa,
• rozsądne praktyki administratora.

Poniżej znajdziesz model bezpieczeństwa oparty o standardy OWASP.

---

13.1. Najczęstsze zagrożenia WordPress

• ataki brute-force na login administratora
• infekcje malware (kod w plikach PHP, JS)
• luki w wtyczkach i motywach
• ataki SQL Injection
• ataki XSS
• zainfekowane pliki uploadowane przez użytkowników
• słabe hasła
• brak HTTPS
• przestarzałe wersje PHP

---

13.2. Podstawowe zasady bezpieczeństwa

✔ Aktualizacje

Aktualizuj:

• WordPress Core
• wtyczki
• motywy

✔ Silne hasła i 2FA

Używaj:

• minimum 12 znaków
• hasła losowe
• uwierzytelnianie dwuskładnikowe (Google Authenticator, Email OTP)

✔ Kopie zapasowe (patrz rozdział 14)

✔ Używaj tylko sprawdzonych wtyczek i motywów

Unikaj pirackich wersji GPL download – zawierają 99% malware.

✔ Kontrola dostępu do panelu

Można ograniczyć wejście do /wp-admin wyłącznie z wybranych IP.

---

13.3. Najlepsze wtyczki do bezpieczeństwa

Wordfence Security

#Firewall + skaner malware.

iThemes Security / Solid Security

Pełny pakiet zabezpieczeń.

All In One Security (AIOS)

Najlżejsza opcja dla małych stron.

---

13.4. Ukrywanie panelu logowania

Domyślnie panel logowania to:

1
2
/wp-login.php

/wp-admin

Możesz go ukryć np. wtyczką:

• WPS Hide Login

---

13.5. Zabezpieczenia .htaccess (Apache)

Zablokowanie edycji plików z panelu:

1
define('DISALLOW_FILE_EDIT', true);

Ochrona wp-config.php:

1
2
3
4
<files wp-config.php>

    order allow,deny

    deny from all

</files>

---

13.6. Monitoring i audyt logów

Polecane narzędzia:

• Activity Log
• WP Security Audit Log

Pozwalają śledzić:

• logowania
• zmiany haseł
• modyfikacje wpisów
• instalacje wtyczek