NAJCZĘŚCIEJ ZADAWANE PYTANIA

Czy WordPress jest bezpieczny?

WordPress sam w sobie jest bezpieczny – rdzeń systemu ma dedykowany zespół bezpieczeństwa i jest regularnie aktualizowany. Problem leży gdzie indziej: 43% wszystkich stron w internecie działa na WordPress, co czyni go największym celem dla zautomatyzowanych ataków. Większość przejęć stron WP nie wynika z dziury w rdzeniu WordPress, ale z niezaktualizowanych wtyczek, słabych haseł i nieuwagi administratora. To problem konfiguracji, nie platformy.

Skąd pochodzi 90% włamań na strony WordPress?

Źródło włamania	Udział w incydentach	Jak zapobiec
Niezaktualizowane wtyczki	~56%	Automatyczne aktualizacje lub monitoring
Słabe hasła (brute force)	~8%	Silne hasło + 2FA + limit prób logowania
Niezaktualizowane motywy	~6%	Usunąć nieużywane motywy, aktualizować używane
Skompromitowane dane hostingu	~8%	Izolacja kont, unikalne hasła FTP/cPanel
Podatne rdzeń WordPress	~0.5%	Automatyczne aktualizacje rdzenia
Phishing / socjotechnika	~9%	2FA, szkolenie administratorów

Lista kontrolna bezpieczeństwa WordPress – minimum, które każda strona powinna mieć

Aktualizacje: rdzeń WordPress, wszystkie wtyczki i motywy aktualizowane najdalej w ciągu 7 dni od wydania poprawki bezpieczeństwa. Automatyczne aktualizacje rdzenia powinny być włączone. Nieużywane wtyczki i motywy – usunięte, nie tylko dezaktywowane (dezaktywowane wtyczki nadal mogą być podatne).

Hasła i dostępy: unikalne, silne hasło dla konta admina (minimum 16 znaków, menedżer haseł), dwuskładnikowe uwierzytelnianie (2FA) dla wszystkich kont z rolą administratora i redaktora, zmiana domyślnej nazwy użytkownika z „admin\" na cokolwiek innego, limit prób logowania (wtyczka Limit Login Attempts Reloaded lub wbudowana ochrona w Wordfence).

Certyfikat SSL/HTTPS – dlaczego to nie jest opcja

SSL to absolutne minimum bezpieczeństwa, bez którego strona nie powinna działać. HTTPS szyfruje połączenie między przeglądarką a serwerem, co chroni przed przechwyceniem danych (szczególnie ważne przy formularzach logowania i kontaktowych). Google oznacza strony bez HTTPS jako „Niezabezpieczone\" w pasku przeglądarki i niżej ranguje je w wynikach.

Certyfikaty Let's Encrypt są darmowe i obsługiwane przez większość hostingów (jeden klik w cPanelu). Brak wymówek żeby nie mieć SSL w 2025 roku. Dodatkowe bezpieczeństwo daje HSTS (HTTP Strict Transport Security) i poprawna konfiguracja nagłówków bezpieczeństwa – Content-Security-Policy, X-Content-Type-Options, Referrer-Policy.

Backup – jedyne co Cię uratuje gdy wszystko inne zawiedzie

Backup to ostatnia linia obrony. Niezależnie od tego, jak dobrze zabezpieczona jest strona, backup musi istnieć. Zasada 3-2-1: 3 kopie danych, na 2 różnych nośnikach, 1 poza serwerem (np. w chmurze). Backup tylko na tym samym serwerze co strona nie ochroni Cię gdy serwer padnie lub atakujący skasuje pliki.

Częstotliwość: codzienny backup bazy danych (zmieniają się treści), tygodniowy backup plików (rzadziej się zmieniają). Wtyczki: UpdraftPlus lub BackWPup z konfiguracją wysyłania do Google Drive, Dropbox lub S3. Sprawdzaj backup przynajmniej raz na kwartał – zrób testowe przywrócenie na środowisku lokalnym, żebyś miał pewność, że backup działa zanim go potrzebujesz.

Wtyczki bezpieczeństwa – które mają sens, które to marketing?

Wordfence Security to najszerzej stosowana wtyczka bezpieczeństwa dla WordPress z firewalliem aplikacyjnym (WAF), skanerem malware i blokowaniem IP. Wersja darmowa jest wystarczająca dla większości stron. Płatna (119 USD/rok) dodaje aktualizacje sygnatur ataków w czasie rzeczywistym zamiast z 30-dniowym opóźnieniem – warto przy witrynach e-commerce lub z wrażliwymi danymi.