Jak zabezpečit WordPress: Kompletní checklist pro rok 2026

Autor: Správa WordPress návody

Proč je zabezpečení WordPressu důležité?

WordPress pohání přes 40 % všech webů na internetu. To z něj dělá nejatraktivnější cíl pro hackery, kteří automatizovanými nástroji denně skenují miliony webů. Dobrá zpráva? Většině útoků se dá zabránit poměrně jednoduchými kroky.

Tento návod vás provede 12 praktickými kroky, které z vašeho WordPressu udělají mnohem odolnější cíl. Nejedná se o teorii – každý krok obsahuje konkrétní postup.

1. Aktualizujte jádro, pluginy a šablony

Nejčastější příčina úspěšných útoků na WordPress? Zastaralý software. Každá aktualizace opravuje bezpečnostní chyby, které jsou po zveřejnění detailně popsány – a tedy zneužitelné.

  • Přejděte do Dashboard → Aktualizace
  • Aktualizujte jádro WordPressu jako první
  • Pak pluginy, jeden po druhém (abyste v případě problému věděli, který způsobil konflikt)
  • Nakonec šablonu
  • Pokud používáte staging, vždy testujte aktualizace tam před nasazením na produkci

Tip: Zapněte automatické aktualizace drobných verzí (např. 6.7.1 → 6.7.2). Tyto aktualizace obsahují pouze bezpečnostní opravy a nikdy by neměly rozbít funkčnost.

2. Silná hesla a dvoufaktorové ověření

Heslo „admin123″ nebo název firmy + rok? To je jako nechat klíč od bytu pod rohožkou.

  • Používejte hesla o délce alespoň 16 znaků s mixem písmen, čísel a symbolů
  • Používejte password manager (1Password, Bitwarden, KeePass) – nikdy si hesla nepamatujte
  • Zapněte dvoufaktorové ověření (2FA) – plugin WP 2FA nebo Two Factor Authentication
  • Omezte pokusy o přihlášení – plugin Limit Login Attempts Reloaded
  • Odstraňte uživatele s „admin“ jako přihlašovací jméno

3. Omezení přístupu na přihlašovací stránku

Výchozí URL pro přihlášení je /wp-admin/ nebo /wp-login.php. To ví každý útočník i automatizovaný bot.

  • Přesměrujte přihlašovací stránku na vlastní URL (např. /muj-tajny-vstup/)
  • Použijte plugin WPS Hide Login nebo upravte .htaccess
  • Omezte přístup na /wp-admin/ pouze na vaši IP adresu

Příklad v .htaccess:

<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 123.456.789.012
</Files>

4. Pravidelné zálohy

Záloha je vaše poslední záchrana, když se přesto něco pokazí. Bez ní jste odkázáni na náhodu.

  • Použijte plugin UpdraftPlus nebo BlogVault
  • Zálohujte automaticky alespoň 1× týdně
  • Ukládejte zálohy mimo web – Google Drive, Dropbox, Amazon S3
  • Pravidelně testujte obnovení ze zálohy – záloha, kterou neumíte obnovit, je k ničemu
  • Uchovávejte alespoň 4 poslední zálohy

5. Bezpečnostní plugin

Jeden kvalitní bezpečnostní plugin pokryje desítky hrozeb najednou.

  • Wordfence – firewall, skener malwaru, ochrana přihlášení
  • Sucuri Security – audit log, monitoring integrity souborů
  • iThemes Security – hardening, 2FA, Google reCAPTCHA

Důležité: Nikdy nemějte nainstalované dva bezpečnostní pluginy najednou – mohou vzájemně konfliktnout a způsobit větší problémy, než vyřeší.

6. Nastavte správná oprávnění souborů

Špatná oprávnění souborů mohou umožnit útočníkovi zapisovat do vašich souborů.

  • Soubory: 644 (vlastník: čte + píše, ostatní: čtou)
  • Složky: 755 (vlastník: čte + píše + spouští, ostatní: čtou + spouští)
  • wp-config.php: 400 nebo 440 (pouze čtení pro vlastníka)

Příkaz přes SSH:

find /path/to/wordpress -type d -exec chmod 755 {} \;
find /path/to/wordpress -type f -exec chmod 644 {} \;
chmod 440 wp-config.php

7. Vypněte editaci souborů v adminu

WordPress umožňuje přímo v adminu upravovat soubory šablon a pluginů. Pokud se útočník přihlásí, může do nich vložit škodlivý kód.

Přidejte do wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Toto jednoduché nastavení výrazně zvyšuje bezpečnost – a nic vám nebere, protože soubory beztak upravujete přes FTP nebo SSH.

8. Změňte předponu databáze

Výchozí předpona tabulek je wp_. To ví každý útočník i automatický skript.

Při instalaci WordPressu zvolte vlastní předponu, např. x7k2_. Pokud už máte web s wp_, předponu změníte buď při instalaci znovu, nebo pomocí pluginu Change Table Prefix.

9. Zakažte zobrazování chyb

Chybové hlášky mohou prozradit útočníkovi cestu k vaší databázi, verzím softwaru a dalším citlivým informacím.

V wp-config.php nastavte:

define('WP_DEBUG', false);
ini_set('display_errors', 0);
ini_set('log_errors', 1);
ini_set('error_log', '/path/to/wp-content/debug.log');

Chyby se budou zaznamenávat do logu, ale návštěvníkům se nezobrazí.

10. Používejte SSL/HTTPS

Pokud ještě nepoužíváte HTTPS, je to jako posílat hesla poštovním holubem.

  • Získejte zdarma certifikát přes Let’s Encrypt
  • Nainstalujte plugin Really Simple SSL a přesměrujte veškerý provoz na HTTPS
  • V databázi nahraďte http:// za https:// (plugin Search Replace DB)
  • Přidejte HSTS hlavičku pro ještě větší bezpečnost

11. Sledujte a logujte aktivitu

Pokud se někdo nabourá, potřebujete vědět, co dělal.

  • Plugin WP Activity Log – zaznamenává každou akci v adminu
  • Sledujte neobvyklé přihlášení (jiná IP, jiný čas)
  • Pravidelně kontrolujte, zda se neobjevili noví administrátoři
  • Nastavte upozornění e-mailem při každém přihlášení z nové IP

12. Odstraňte nepoužívané pluginy a šablony

Každý plugin je potenciální vstupní brána. Čím méně jich máte, tím menší je útočná plocha.

  • Pravidelně (alespoň 1× měsíčně) projděte seznam pluginů
  • Deaktivujte a smažte vše, co aktivně nepoužíváte
  • Totéž platí pro šablony – mějte nainstalované jen ty, které skutečně používáte
  • Smažte i výchozí šablony (Twenty Twenty-Four atd.), pokud je nepotřebujete

Shrnutí: Vaše bezpečnostní checklist

Krok Náročnost Čas
1. Aktualizace 10 min
2. Silná hesla + 2FA 15 min
3. Přesměrování přihlášení ⭐⭐ 5 min
4. Zálohy 15 min
5. Bezpečnostní plugin 10 min
6. Oprávnění souborů ⭐⭐ 10 min
7. Vypnutí editace souborů 2 min
8. Předpona databáze ⭐⭐⭐ 15 min
9. Zákaz zobrazování chyb 2 min
10. SSL/HTTPS ⭐⭐ 20 min
11. Logování aktivity 10 min
12. Úklid pluginů 15 min

Celkový čas: cca 2 hodiny. Za dvě hodiny práce získáte výrazně bezpečnější web.

Chcete to mít bez starostí?

Pokud vás těch 12 kroků spíše vyděsilo, než nadchlo – nejste sami. Správa WordPressu vyžaduje pravidelnou pozornost a technické znalosti, které ne každý má. Profesionální správa webu znamená, že se o vše postará někdo, kdo přesně ví, co dělá – a vy se můžete věnovat tomu, co umíte nejlépe: svému byznysu.