Bezpečnost WordPressu je v roce 2025 důležitější než kdy dřív. WordPress je nejrozšířenější redakční systém na světě a právě proto často terčem útoků. V tomto článku shrnujeme nejlepší a nejefektivnější opatření, která mohou pomoci ochránit vaše WordPress stránky.

1. Pravidelné aktualizace

Udržujte WordPress, šablony a pluginy vždy aktuální. Většina útoků využívá díry v zastaralých verzích. WordPress umožňuje spravovat aktualizace jádra i pluginů přímo v administraci. Pokud si tím nechcete zatěžovat hlavu, můžete využít naši službu Kompletní správa zabezpečení WordPressu.

2. Silná hesla a 2FA

Používejte složitá a unikátní hesla. Dvoufaktorová autentizace (2FA) výrazně zvyšuje bezpečnost přístupu.

3. Bezpečnostní pluginy

Doporučujeme např. Wordfence, Sucuri Security nebo Solid Security. Tyto pluginy nabízejí firewall, ochranu při přihlášení, skenování na malware a širokou škálu ochran.

4. Zálohování

Pravidelné zálohy jsou klíčové pro rychlou obnovu v případě napadení nebo chyby. Na ZServeru provádíme automatické zálohování 1× denně na externí zálohovací server a zálohy uchováváme měsíc zpětně. Podrobnosti najdete na stránce Zálohování – správa serveru

5. SSL certifikát

HTTPS by měl být samozřejmostí. Nejen že šifruje komunikaci, ale Google jej bere v potaz jako faktor pro SEO. U nás si jej můžete zapnout zdarma přímo v administraci hostingu – návod najdete v naší nápovědě na stránce Nastavení HTTPS pro WordPress

6. Omezování oprávnění

Udržujte počet administrátorských účtů na minimu. Přidělujte role pouze dle potřeby.

7. Sledování změn a přístupů

Logování změn a pokusů o přihlášení vám pomůže odhalit podezřelé aktivity dříve, než způsobí škody.

8. Ochrana přihlašovací stránky

Změňte výchozí URL /wp-login.php, použijte např. plugin WP Hide Login, a zamezte tak automatizovaným bruteforce útokům. U Zserver řešeno automaticky.

9. Antispam a ochrana formulářů

Používejte reCaptcha, ochranu proti botům a antispamové pluginy, abyste zabránili zneužití formulářů. Velmi účinným a jednoduchým řešením je i bezpečnostní otázka, např. matematická úloha typu „1 + sedm = ?“. Tuto možnost nabízí např. populární plugin Contact Form 7, kde lze takto efektivně odfiltrovat většinu běžných spambotů.

10. Vědomí a prevence

Bezpečnost není jednorázový krok, ale proces. Sledujte dění na svém webu a buďte obezřetní vůči tomu, co instalujete a komu dáváte přístup.

Chcete mít WordPress v bezpečí a bez starostí? Nabízíme pravidelnou správu a kontrolu WordPress instalací.

Podrobnosti najdete zde: Kompletní správa zabezpečení vašeho WordPressu

Změna výchozí přihlašovací adresy WordPressu z /wp-login.php na vlastní adresu je jednoduchý a přitom velmi účinný způsob, jak ochránit váš web před automatizovanými útoky. V tomto návodu vám ukážeme, jak na to pomocí populárního pluginu WP Hide Login.

K čemu je to dobré?

Výchozí přihlašovací adresa WordPressu je veřejně známá a útočníci ji často zkoušejí napadat pomocí tzv. bruteforce útoků. Pokud adresu změníte na jinou (např. /prihlaseni-mujweb), minimalizujete šanci, že bude web zkoušen automatickými skripty.

Instalace pluginu WP Hide Login

  1. Přihlaste se do administrace WordPressu.

  2. V levém menu klikněte na Pluginy > Instalace pluginů.

  3. Do vyhledávacího pole napište WP Hide Login.

  4. U pluginu klikněte na Instalovat a následně Aktivovat.

Nastavení nové přihlašovací adresy

  1. Po aktivaci přejděte do Nastavení > Obecné.

  2. Na konci stránky najdete nové pole WP Hide Login.

  3. Do pole zadejte novou přihlašovací adresu (např. moje-administrace) – výsledná adresa pak bude např. https://www.vasedomena.cz/moje-administrace.

  4. Uložte změny.

Upozornění: Nezapomeňte si před uložením novou adresu poznamenat! Pokud ji zapomenete, nebude již možné se do administrace přihlásit běžným způsobem. V případě ztráty vám však adresu můžeme pomoci zjistit nebo ji resetovat – stačí nás kontaktovat.

V poslední době jsme řešili desítky napadených webů kvůli neaktuálním instalacím WordPressu. Proto nově nabízíme našim zákazníkům službu pravidelných aktualizací WordPressu. Zajistíme aktualizace jádra, pluginů a šablon, zálohování webu a základní kontrolu funkčnosti po každé aktualizaci. Váš web bude bezpečnější a bez starostí.

Více informací najdete na stránce Kompletní správa zabezpečení WordPressu.

WordPress je populární CMS, ale právě kvůli jeho rozšířenosti je častým cílem útoků. Proto je důležité dbát na jeho zabezpečení. V tomto článku si ukážeme několik klíčových kroků, jak ochránit WordPress na našem hostingu.

1) Aktualizace WordPressu, pluginů a šablon

Nejdůležitější je pravidelně aktualizovat WordPress, všechny pluginy a šablony. Starší verze mohou obsahovat zranitelnosti, které hackeři aktivně využívají.

Na co si dát pozor:

  • Zálohování: Než provedete jakoukoli aktualizaci, doporučujeme provést zálohu. Pokud se něco nepovede a zálohu nemáte, můžete využít naše zálohovací servery, které uchovávají denní zálohy až 30 dní dozadu. Více informací zde: Zálohování serverů.
  • Pokud máte velmi starou verzi WordPressu (např. běžící na PHP 5.6), nemusí jít přímo aktualizovat na poslední verzi. Je nutné postupovat postupně, protože nová verze WordPressu nebo některých pluginů může vyžadovat vyšší verzi PHP, kterou stará verze nepodporuje.
  • Verzi PHP lze změnit v administraci hostingu podle tohoto návodu: Volba verze PHP.
  • Při aktualizaci je nutné mít dostatek volného místa. Instalátor si stahuje novou verzi, proto doporučujeme, aby bylo volných alespoň 100 MB pro menší weby a 200 MB pro větší weby.
  • Postup pro kontrolu a nastavení místa naleznete zde: Nastavení prostoru webhostingu.

2) Základní bezpečnostní opatření

  • Používejte silná a unikátní hesla – kombinace velkých a malých písmen, číslic a speciálních znaků.
  • Omezte počet pokusů o přihlášení – plugin Limit Login Attempts Reloaded umožňuje nastavit limit přihlášení a blokovat IP adresy při opakovaných pokusech.
  • Zapněte dvoufaktorovou autentizaci (2FA) – například pomocí pluginu WP 2FA.
  • Omezte přístup k administraci podle IP adresy – pokud máte pevnou IP, nastavte omezení v .htaccess nebo pomocí bezpečnostních pluginů.
  • Používejte bezpečnostní pluginy – například Wordfence Security nebo iThemes Security, které poskytují ochranu proti různým typům útoků.

3) Automatické aktualizace

WordPress podporuje vestavěné automatické aktualizace pro jádro, pluginy i šablony. Doporučujeme je zapnout, aby se minimalizovalo riziko zneužití zranitelností.

Jak zapnout automatické aktualizace:

  1. V administraci WordPressu jděte do Nástěnka -> Aktualizace.
  2. Zkontrolujte, zda jsou povolené automatické aktualizace.
  3. Pokud nejsou, zapněte je kliknutím na tlačítko Povolit automatické aktualizace pro WordPress.

Pro větší kontrolu nad aktualizacemi doporučujeme nainstalovat plugin Easy Updates Manager, který umožňuje detailní nastavení aktualizací a výjimek. Díky tomu lze zabránit nechtěné aktualizaci upravené šablony nebo pluginu.

4) Kontrola v sekci Nástroje -> Zdraví webu

V administraci WordPressu je dostupná sekce Nástroje -> Zdraví webu, která pomůže zjistit, zda web neobsahuje nějaké problémy nebo bezpečnostní rizika. WordPress zde poskytuje užitečná doporučení ke zlepšení výkonu a bezpečnosti webu. Doporučujeme pravidelně tuto sekci kontrolovat a řídit se doporučeními.

5) Skrytí adresy administrace

Hackeři a boti často zkoušejí uhádnout heslo nebo hledají zranitelnosti na administrativní adrese /wp-admin. Proto je dobré použít plugin WPS Hide Login, který adresu změní na jinou.

Jak nastavit plugin:

  1. Nainstalujte a aktivujte plugin WPS Hide Login.
  2. V administraci WordPressu jděte do Nastavení -> WPS Hide Login.
  3. V poli URL přihlašovací stránky nastavte novou adresu (např. /administrace).
  4. V poli URL přesměrování nastavte, kam mají být návštěvníci přesměrováni, pokud se pokusí přistoupit k původní přihlašovací stránce (např. /404).
  5. Uložte změny.

6) Odstranění neaktivních pluginů a šablon

Všechny neaktivní pluginy a šablony, které na webu nepotřebujete, je dobré odinstalovat. Každý neaktualizovaný plugin nebo šablona může být potenciálním cílem útoku a to i když není aktivní. Pokud tedy něco nepoužíváte, odstraňte to přímo v administraci v sekci Pluginy nebo Vzhled -> Šablony.

7) Zakázání úprav souborů z administrace

Pokud na webu neprovádíte časté změny, je vhodné zakázat úpravy souborů šablon a pluginů přímo z administrace. Tím se sníží riziko neoprávněných zásahů v případě napadení webu.

Toto nastavení lze provést přidáním následujícího řádku do souboru wp-config.php:

Tato změna pomáhá zvýšit bezpečnost, ale pokud potřebujete provádět úpravy, bude nutné hodnotu dočasně změnit nebo soubory upravovat přes FTP.

8) Omezení instalací a mazání pluginů a šablon

Pro pokročilé uživatele, kteří chtějí ještě vyšší zabezpečení, lze v wp-config.php nastavit také:

Tento parametr zcela zakáže instalaci, aktualizaci a mazání pluginů a šablon.

9) Pomoc s aktualizací

Pokud si s aktualizací nejste jisti nebo narazíte na problém, obraťte se na naši podporu, rádi vám pomůžeme.

© Copyright 2006–2025 Zserver s.r.o. RSS Staň se fanouškem Ceny jsou uvedeny bez 21% DPH