Cybersecurity to nie hobby czy luksus. To konieczność jak zamknięcie drzwi domu. Hackerzy skanują internet 24/7 szukając WordPress instancji do exploitacji. Pytanie nie jest „czy mi się stanie?” tylko „kiedy mi się stanie?”
Prawidłowe zabezpieczenia to różnica między „hack zajął 5 minut” a „hack zajął 5 godzin”. Hacker będzie szukać łatwych celów. Jeśli Twoja strona ma wiele zabezpieczeń, przejdzie do następnej.
Kroki 1-3: Zarządzanie użytkownikami i konfiguracją
Każde konto to potencjalne zagrożenie. Przejrzyj wp-admin > Użytkownicy. Kto tam jest? Jeśli jest autor bez wiadomości — usuń. Jeśli były pracownik — usuń.
wp-config.php zawiera sekrety bazy danych. To najwrażliwszy plik. Zmień prawa dostępu: chmod 400 wp-config.php (tylko właściciel może czytać).
Sekrety w wp-config muszą być unikalne. define(’AUTH_KEY’, 'put your unique phrase here’) — jeśli jest domyślny, zmień. WordPress.org ma generator.
Kroki 4-7: Uprawnienia plików i ukrycie wrażliwych danych
Uprawnienia do plików to pierwszy level obrony. Folders: 755 (czytaj dla wszystkich, pisz dla właściciela). Files: 644. Jeśli 777 — każdy może pisać.
Disable file editing: define(’DISALLOW_FILE_EDIT’, true) w wp-config. Editor w WordPress nie może edit’ować plugin files. Bezpieczniej.
Block access do wp-admin bez logu: .htaccess może wymagać IP whitelist do wp-login.php. Jeśli nie jesteś z tego IP — access denied.
Kroki 8-10: SSL, backupy i monitoring
SSL (HTTPS) to standard. Bez SSL — każda komunikacja jest widoczna dla eavesdroppera. Let’s Encrypt daje free certificates.
Automatyczne backupy to insurance. UpdraftPlus robi daily backupy do Dropbox/AWS. Jeśli hack — revert do wczorajszego backupu w minutę.
Monitoring login attempts. Wordfence blokuje IP po 5 failed loginach. Boty będą szukać łatwych targetów.