Proč je zabezpečení WordPressu důležité?
WordPress pohání přes 40 % všech webů na internetu. To z něj dělá nejatraktivnější cíl pro hackery, kteří automatizovanými nástroji denně skenují miliony webů. Dobrá zpráva? Většině útoků se dá zabránit poměrně jednoduchými kroky.
Tento návod vás provede 12 praktickými kroky, které z vašeho WordPressu udělají mnohem odolnější cíl. Nejedná se o teorii – každý krok obsahuje konkrétní postup.
1. Aktualizujte jádro, pluginy a šablony
Nejčastější příčina úspěšných útoků na WordPress? Zastaralý software. Každá aktualizace opravuje bezpečnostní chyby, které jsou po zveřejnění detailně popsány – a tedy zneužitelné.
- Přejděte do Dashboard → Aktualizace
- Aktualizujte jádro WordPressu jako první
- Pak pluginy, jeden po druhém (abyste v případě problému věděli, který způsobil konflikt)
- Nakonec šablonu
- Pokud používáte staging, vždy testujte aktualizace tam před nasazením na produkci
Tip: Zapněte automatické aktualizace drobných verzí (např. 6.7.1 → 6.7.2). Tyto aktualizace obsahují pouze bezpečnostní opravy a nikdy by neměly rozbít funkčnost.
2. Silná hesla a dvoufaktorové ověření
Heslo „admin123″ nebo název firmy + rok? To je jako nechat klíč od bytu pod rohožkou.
- Používejte hesla o délce alespoň 16 znaků s mixem písmen, čísel a symbolů
- Používejte password manager (1Password, Bitwarden, KeePass) – nikdy si hesla nepamatujte
- Zapněte dvoufaktorové ověření (2FA) – plugin WP 2FA nebo Two Factor Authentication
- Omezte pokusy o přihlášení – plugin Limit Login Attempts Reloaded
- Odstraňte uživatele s „admin“ jako přihlašovací jméno
3. Omezení přístupu na přihlašovací stránku
Výchozí URL pro přihlášení je /wp-admin/ nebo /wp-login.php. To ví každý útočník i automatizovaný bot.
- Přesměrujte přihlašovací stránku na vlastní URL (např.
/muj-tajny-vstup/) - Použijte plugin WPS Hide Login nebo upravte
.htaccess - Omezte přístup na
/wp-admin/pouze na vaši IP adresu
Příklad v .htaccess:
<Files wp-login.php>
order deny,allow
deny from all
allow from 123.456.789.012
</Files>
4. Pravidelné zálohy
Záloha je vaše poslední záchrana, když se přesto něco pokazí. Bez ní jste odkázáni na náhodu.
- Použijte plugin UpdraftPlus nebo BlogVault
- Zálohujte automaticky alespoň 1× týdně
- Ukládejte zálohy mimo web – Google Drive, Dropbox, Amazon S3
- Pravidelně testujte obnovení ze zálohy – záloha, kterou neumíte obnovit, je k ničemu
- Uchovávejte alespoň 4 poslední zálohy
5. Bezpečnostní plugin
Jeden kvalitní bezpečnostní plugin pokryje desítky hrozeb najednou.
- Wordfence – firewall, skener malwaru, ochrana přihlášení
- Sucuri Security – audit log, monitoring integrity souborů
- iThemes Security – hardening, 2FA, Google reCAPTCHA
Důležité: Nikdy nemějte nainstalované dva bezpečnostní pluginy najednou – mohou vzájemně konfliktnout a způsobit větší problémy, než vyřeší.
6. Nastavte správná oprávnění souborů
Špatná oprávnění souborů mohou umožnit útočníkovi zapisovat do vašich souborů.
- Soubory: 644 (vlastník: čte + píše, ostatní: čtou)
- Složky: 755 (vlastník: čte + píše + spouští, ostatní: čtou + spouští)
- wp-config.php: 400 nebo 440 (pouze čtení pro vlastníka)
Příkaz přes SSH:
find /path/to/wordpress -type d -exec chmod 755 {} \;
find /path/to/wordpress -type f -exec chmod 644 {} \;
chmod 440 wp-config.php
7. Vypněte editaci souborů v adminu
WordPress umožňuje přímo v adminu upravovat soubory šablon a pluginů. Pokud se útočník přihlásí, může do nich vložit škodlivý kód.
Přidejte do wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Toto jednoduché nastavení výrazně zvyšuje bezpečnost – a nic vám nebere, protože soubory beztak upravujete přes FTP nebo SSH.
8. Změňte předponu databáze
Výchozí předpona tabulek je wp_. To ví každý útočník i automatický skript.
Při instalaci WordPressu zvolte vlastní předponu, např. x7k2_. Pokud už máte web s wp_, předponu změníte buď při instalaci znovu, nebo pomocí pluginu Change Table Prefix.
9. Zakažte zobrazování chyb
Chybové hlášky mohou prozradit útočníkovi cestu k vaší databázi, verzím softwaru a dalším citlivým informacím.
V wp-config.php nastavte:
define('WP_DEBUG', false);
ini_set('display_errors', 0);
ini_set('log_errors', 1);
ini_set('error_log', '/path/to/wp-content/debug.log');
Chyby se budou zaznamenávat do logu, ale návštěvníkům se nezobrazí.
10. Používejte SSL/HTTPS
Pokud ještě nepoužíváte HTTPS, je to jako posílat hesla poštovním holubem.
- Získejte zdarma certifikát přes Let’s Encrypt
- Nainstalujte plugin Really Simple SSL a přesměrujte veškerý provoz na HTTPS
- V databázi nahraďte http:// za https:// (plugin Search Replace DB)
- Přidejte HSTS hlavičku pro ještě větší bezpečnost
11. Sledujte a logujte aktivitu
Pokud se někdo nabourá, potřebujete vědět, co dělal.
- Plugin WP Activity Log – zaznamenává každou akci v adminu
- Sledujte neobvyklé přihlášení (jiná IP, jiný čas)
- Pravidelně kontrolujte, zda se neobjevili noví administrátoři
- Nastavte upozornění e-mailem při každém přihlášení z nové IP
12. Odstraňte nepoužívané pluginy a šablony
Každý plugin je potenciální vstupní brána. Čím méně jich máte, tím menší je útočná plocha.
- Pravidelně (alespoň 1× měsíčně) projděte seznam pluginů
- Deaktivujte a smažte vše, co aktivně nepoužíváte
- Totéž platí pro šablony – mějte nainstalované jen ty, které skutečně používáte
- Smažte i výchozí šablony (Twenty Twenty-Four atd.), pokud je nepotřebujete
Shrnutí: Vaše bezpečnostní checklist
| Krok | Náročnost | Čas |
|---|---|---|
| 1. Aktualizace | ⭐ | 10 min |
| 2. Silná hesla + 2FA | ⭐ | 15 min |
| 3. Přesměrování přihlášení | ⭐⭐ | 5 min |
| 4. Zálohy | ⭐ | 15 min |
| 5. Bezpečnostní plugin | ⭐ | 10 min |
| 6. Oprávnění souborů | ⭐⭐ | 10 min |
| 7. Vypnutí editace souborů | ⭐ | 2 min |
| 8. Předpona databáze | ⭐⭐⭐ | 15 min |
| 9. Zákaz zobrazování chyb | ⭐ | 2 min |
| 10. SSL/HTTPS | ⭐⭐ | 20 min |
| 11. Logování aktivity | ⭐ | 10 min |
| 12. Úklid pluginů | ⭐ | 15 min |
Celkový čas: cca 2 hodiny. Za dvě hodiny práce získáte výrazně bezpečnější web.
Chcete to mít bez starostí?
Pokud vás těch 12 kroků spíše vyděsilo, než nadchlo – nejste sami. Správa WordPressu vyžaduje pravidelnou pozornost a technické znalosti, které ne každý má. Profesionální správa webu znamená, že se o vše postará někdo, kdo přesně ví, co dělá – a vy se můžete věnovat tomu, co umíte nejlépe: svému byznysu.