Checklista bezpieczeństwa WordPress 2026 — 12 rzeczy, które powinna mieć każda strona | Scanthra

Scanthra · 9 min czytania · Zaktualizowano Maj 2026

1. Włącz automatyczne aktualizacje rdzenia, motywów i wtyczek

WordPress 6.5+ obsługuje automatyczne aktualizacje rdzenia, wtyczek i motywów. Włącz wszystkie trzy. W pliku wp-config.php ustaw:

define('WP_AUTO_UPDATE_CORE', true);

Następnie w zakładce Wtyczki kliknij „Włącz automatyczne aktualizacje" przy każdej aktywnej wtyczce. Tak, nawet tych płatnych. Godzina ryzyka regresji na kwartał jest lepsza niż tydzień sprzątania po wstrzykniętym przekierowaniu.

2. Usuń każdy motyw i wtyczkę, których nie używasz

Nieaktywne wtyczki nadal leżą na dysku i są parsowane przez atakujących sprawdzających odciski twojej strony. Klasyczny wektor „TimThumb" żył latami w dezaktywowanych motywach. Jeśli czegoś nie używasz, usuń cały katalog z wp-content/plugins i wp-content/themes.

3. Schowaj wp-admin za czymś

Dwie skuteczne opcje:

• Lista dozwolonych adresów IP. Jeśli logujesz się z stałego biura lub VPN, ogranicz /wp-admin i /wp-login.php do tych IP na poziomie serwera www. Pięć linii konfiguracji nginx.
• Zmień nazwę lub dodaj drugi czynnik. Wtyczki takie jak WPS Hide Login zmieniają URL; Two-Factor (od zespołu rdzenia WordPress) dodaje TOTP. Obie są darmowe.

4. Wymuszaj silne hasła i wyłącz XML-RPC jeśli nieużywane

WordPress domyślnie zezwala na ponowne używanie haseł. Zainstaluj wtyczkę Password Policy Manager lub podobną, żeby wymusić długość i rotację. Następnie wyłącz xmlrpc.php, chyba że specjalnie go potrzebujesz (np. dla aplikacji Jetpack):

location = /xmlrpc.php { deny all; return 403; }

5. Dodaj sześć standardowych nagłówków bezpieczeństwa

HSTS (wymuszanie HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy i Permissions-Policy. Każdy raport Scanthra oznacza brakujące. Najszybszy sposób: darmowy plan Cloudflare z ich regułą Security Headers managed transform albo wtyczka taka jak HTTP Headers.

6. Zablokuj edytowanie plików w wp-admin

W pliku wp-config.php:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

To uniemożliwia atakującemu, który ukradnie ciasteczko (cookie) admina, edytowanie pliku motywu i wrzucenie webshella.

7. Zablokuj uruchamianie PHP w folderze uploads

Plik .htaccess w wp-content/uploads:

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

Lub odpowiednik nginx. Większość exploitów „wyślij zdjęcie" wrzuca plik PHP udający obraz. Ta jedna reguła całkowicie zamyka tę klasę ataków.

8. Używaj skanera złośliwego oprogramowania uruchamianego harmonogramem

Wordfence w wersji darmowej, Sucuri SiteCheck lub open-source'owy WPScan przez WP-CLI. Ustaw cotygodniowe skanowanie i wyślij wynik na swój e-mail. Lepiej dowiedzieć się o tylnych drzwiach zanim zrobi to Google.

9. Skonfiguruj automatyczne kopie zapasowe poza serwerem

Kopia zapasowa na tym samym serwerze jest bezwartościowa po pełnym kompromitacji. Użyj UpdraftPlus, BackWPup lub usługi snapshotów hostingu, żeby codziennie wysyłać kopie na S3, Google Drive lub BackBlaze. Testuj przywracanie przynajmniej raz na kwartał — większość historii „miałem kopie zapasowe" kończy się na „ale nigdy nie próbowałem ich przywrócić".

10. Skonfiguruj SPF, DKIM i DMARC na swojej domenie

Jeśli twoja domena nie ma SPF/DKIM/DMARC, oszuści mogą podszywać się pod kasa@twojastrona.pl. Dodaj trzy rekordy DNS (mamy osobne wyjaśnienie) i obserwuj, jak maleje liczba skarg na phishing i jak rośnie dostarczalność transakcyjnych e-maili.

11. Audytuj administratorów co kwartał

W zakładce Użytkownicy → Wszyscy użytkownicy posortuj według roli. Każde konto Administratora, które nie logowało się od 90 dni, to ryzyko — stary kontraktor, były pracownik, konto demo. Zdegraduj do Subskrybenta lub usuń. To najczęstsza przyczyna incydentów WordPress w kategorii „nie wiemy, jak weszli".

12. Zaplanuj zgodność z NIS2 jeśli obsługujesz dane klientów z UE

Dyrektywa UE NIS2 (dyrektywa UE o cyberbezpieczeństwie) obowiązuje już we wszystkich 27 państwach członkowskich poprzez krajowe transpozycje (polska nowelizacja obowiązuje od 3 kwietnia 2026 roku, niemiecka NIS2UmsuCG, francuska ustawa transpozycyjna itd.). Nawet jeśli jesteś poniżej progu „podmiotu kluczowego", twoi więksi klienci mogą przekazywać obowiązki NIS2 umownie — i dotyczy to zarówno podmiotów w UE, jak i sprzedających do UE z zagranicy. Strony WordPress obsługujące dane osobowe z UE powinny prowadzić log incydentów, dokumentować harmonogram aktualizacji i regularnie uruchamiać kontrole bezpieczeństwa. Darmowy miesięczny skan Scanthra to rozsądny punkt wyjścia — nasz przewodnik po gotowości na NIS2 przeprowadza przez resztę.

Wersja „niedzielne popołudnie"

Jeśli masz dwie godziny i chcesz maksymalnego efektu: zrób punkty 1, 2, 5, 7 i 10. Te pięć samo w sobie przesuwa twoją stronę z kategorii „łatwy cel" do „na tyle uciążliwy, że atakujący idą dalej".

Jak Scanthra pomaga z tą checklistą

Skan Scanthra automatycznie sprawdza punkty 2 (pozostałości wtyczek), 5 (nagłówki bezpieczeństwa), 7 (pliki PHP w uploads), 10 (SPF/DKIM/DMARC) i kilka innych. Raport PDF mówi, które pozycje już zaznaczasz — i które wymagają uwagi.