Bezpečnost WordPressu je v roce 2025 důležitější než kdy dřív. WordPress je nejrozšířenější redakční systém na světě a právě proto často terčem útoků. V tomto článku shrnujeme nejlepší a nejefektivnější opatření, která mohou pomoci ochránit vaše WordPress stránky.
1. Pravidelné aktualizace
Udržujte WordPress, šablony a pluginy vždy aktuální. Většina útoků využívá díry v zastaralých verzích. WordPress umožňuje spravovat aktualizace jádra i pluginů přímo v administraci. Pokud si tím nechcete zatěžovat hlavu, můžete využít naši službu Kompletní správa zabezpečení WordPressu.
2. Silná hesla a 2FA
Používejte složitá a unikátní hesla. Dvoufaktorová autentizace (2FA) výrazně zvyšuje bezpečnost přístupu.
3. Bezpečnostní pluginy
Doporučujeme např. Wordfence, Sucuri Security nebo Solid Security. Tyto pluginy nabízejí firewall, ochranu při přihlášení, skenování na malware a širokou škálu ochran.
4. Zálohování
Pravidelné zálohy jsou klíčové pro rychlou obnovu v případě napadení nebo chyby. Na ZServeru provádíme automatické zálohování 1× denně na externí zálohovací server a zálohy uchováváme měsíc zpětně. Podrobnosti najdete na stránce Zálohování – správa serveru
5. SSL certifikát
HTTPS by měl být samozřejmostí. Nejen že šifruje komunikaci, ale Google jej bere v potaz jako faktor pro SEO. U nás si jej můžete zapnout zdarma přímo v administraci hostingu – návod najdete v naší nápovědě na stránce Nastavení HTTPS pro WordPress
6. Omezování oprávnění
Udržujte počet administrátorských účtů na minimu. Přidělujte role pouze dle potřeby.
7. Sledování změn a přístupů
Logování změn a pokusů o přihlášení vám pomůže odhalit podezřelé aktivity dříve, než způsobí škody.
8. Ochrana přihlašovací stránky
Změňte výchozí URL /wp-login.php, použijte např. plugin WP Hide Login, a zamezte tak automatizovaným bruteforce útokům. U Zserver řešeno automaticky.
9. Antispam a ochrana formulářů
Používejte reCaptcha, ochranu proti botům a antispamové pluginy, abyste zabránili zneužití formulářů. Velmi účinným a jednoduchým řešením je i bezpečnostní otázka, např. matematická úloha typu „1 + sedm = ?“. Tuto možnost nabízí např. populární plugin Contact Form 7, kde lze takto efektivně odfiltrovat většinu běžných spambotů.
10. Vědomí a prevence
Bezpečnost není jednorázový krok, ale proces. Sledujte dění na svém webu a buďte obezřetní vůči tomu, co instalujete a komu dáváte přístup.
Chcete mít WordPress v bezpečí a bez starostí? Nabízíme pravidelnou správu a kontrolu WordPress instalací.
Podrobnosti najdete zde: Kompletní správa zabezpečení vašeho WordPressu
Změna výchozí přihlašovací adresy WordPressu z /wp-login.php
na vlastní adresu je jednoduchý a přitom velmi účinný způsob, jak ochránit váš web před automatizovanými útoky. V tomto návodu vám ukážeme, jak na to pomocí populárního pluginu WP Hide Login.
K čemu je to dobré?
Výchozí přihlašovací adresa WordPressu je veřejně známá a útočníci ji často zkoušejí napadat pomocí tzv. bruteforce útoků. Pokud adresu změníte na jinou (např. /prihlaseni-mujweb), minimalizujete šanci, že bude web zkoušen automatickými skripty.
Instalace pluginu WP Hide Login
-
Přihlaste se do administrace WordPressu.
-
V levém menu klikněte na Pluginy > Instalace pluginů.
-
Do vyhledávacího pole napište WP Hide Login.
-
U pluginu klikněte na Instalovat a následně Aktivovat.
Nastavení nové přihlašovací adresy
-
Po aktivaci přejděte do Nastavení > Obecné.
-
Na konci stránky najdete nové pole WP Hide Login.
-
Do pole zadejte novou přihlašovací adresu (např. moje-administrace) – výsledná adresa pak bude např. https://www.vasedomena.cz/moje-administrace.
-
Uložte změny.
Upozornění: Nezapomeňte si před uložením novou adresu poznamenat! Pokud ji zapomenete, nebude již možné se do administrace přihlásit běžným způsobem. V případě ztráty vám však adresu můžeme pomoci zjistit nebo ji resetovat – stačí nás kontaktovat.
V poslední době jsme řešili desítky napadených webů kvůli neaktuálním instalacím WordPressu. Proto nově nabízíme našim zákazníkům službu pravidelných aktualizací WordPressu. Zajistíme aktualizace jádra, pluginů a šablon, zálohování webu a základní kontrolu funkčnosti po každé aktualizaci. Váš web bude bezpečnější a bez starostí.
Více informací najdete na stránce Kompletní správa zabezpečení WordPressu.
WordPress je populární CMS, ale právě kvůli jeho rozšířenosti je častým cílem útoků. Proto je důležité dbát na jeho zabezpečení. V tomto článku si ukážeme několik klíčových kroků, jak ochránit WordPress na našem hostingu.
1) Aktualizace WordPressu, pluginů a šablon
Nejdůležitější je pravidelně aktualizovat WordPress, všechny pluginy a šablony. Starší verze mohou obsahovat zranitelnosti, které hackeři aktivně využívají.
Na co si dát pozor:
- Zálohování: Než provedete jakoukoli aktualizaci, doporučujeme provést zálohu. Pokud se něco nepovede a zálohu nemáte, můžete využít naše zálohovací servery, které uchovávají denní zálohy až 30 dní dozadu. Více informací zde: Zálohování serverů.
- Pokud máte velmi starou verzi WordPressu (např. běžící na PHP 5.6), nemusí jít přímo aktualizovat na poslední verzi. Je nutné postupovat postupně, protože nová verze WordPressu nebo některých pluginů může vyžadovat vyšší verzi PHP, kterou stará verze nepodporuje.
- Verzi PHP lze změnit v administraci hostingu podle tohoto návodu: Volba verze PHP.
- Při aktualizaci je nutné mít dostatek volného místa. Instalátor si stahuje novou verzi, proto doporučujeme, aby bylo volných alespoň 100 MB pro menší weby a 200 MB pro větší weby.
- Postup pro kontrolu a nastavení místa naleznete zde: Nastavení prostoru webhostingu.
2) Základní bezpečnostní opatření
- Používejte silná a unikátní hesla – kombinace velkých a malých písmen, číslic a speciálních znaků.
- Omezte počet pokusů o přihlášení – plugin Limit Login Attempts Reloaded umožňuje nastavit limit přihlášení a blokovat IP adresy při opakovaných pokusech.
- Zapněte dvoufaktorovou autentizaci (2FA) – například pomocí pluginu WP 2FA.
- Omezte přístup k administraci podle IP adresy – pokud máte pevnou IP, nastavte omezení v
.htaccess
nebo pomocí bezpečnostních pluginů. - Používejte bezpečnostní pluginy – například Wordfence Security nebo iThemes Security, které poskytují ochranu proti různým typům útoků.
3) Automatické aktualizace
WordPress podporuje vestavěné automatické aktualizace pro jádro, pluginy i šablony. Doporučujeme je zapnout, aby se minimalizovalo riziko zneužití zranitelností.
Jak zapnout automatické aktualizace:
- V administraci WordPressu jděte do Nástěnka -> Aktualizace.
- Zkontrolujte, zda jsou povolené automatické aktualizace.
- Pokud nejsou, zapněte je kliknutím na tlačítko Povolit automatické aktualizace pro WordPress.
Pro větší kontrolu nad aktualizacemi doporučujeme nainstalovat plugin Easy Updates Manager, který umožňuje detailní nastavení aktualizací a výjimek. Díky tomu lze zabránit nechtěné aktualizaci upravené šablony nebo pluginu.
4) Kontrola v sekci Nástroje -> Zdraví webu
V administraci WordPressu je dostupná sekce Nástroje -> Zdraví webu, která pomůže zjistit, zda web neobsahuje nějaké problémy nebo bezpečnostní rizika. WordPress zde poskytuje užitečná doporučení ke zlepšení výkonu a bezpečnosti webu. Doporučujeme pravidelně tuto sekci kontrolovat a řídit se doporučeními.
5) Skrytí adresy administrace
Hackeři a boti často zkoušejí uhádnout heslo nebo hledají zranitelnosti na administrativní adrese /wp-admin
. Proto je dobré použít plugin WPS Hide Login, který adresu změní na jinou.
Jak nastavit plugin:
- Nainstalujte a aktivujte plugin WPS Hide Login.
- V administraci WordPressu jděte do Nastavení -> WPS Hide Login.
- V poli URL přihlašovací stránky nastavte novou adresu (např.
/administrace
). - V poli URL přesměrování nastavte, kam mají být návštěvníci přesměrováni, pokud se pokusí přistoupit k původní přihlašovací stránce (např.
/404
). - Uložte změny.
6) Odstranění neaktivních pluginů a šablon
Všechny neaktivní pluginy a šablony, které na webu nepotřebujete, je dobré odinstalovat. Každý neaktualizovaný plugin nebo šablona může být potenciálním cílem útoku a to i když není aktivní. Pokud tedy něco nepoužíváte, odstraňte to přímo v administraci v sekci Pluginy nebo Vzhled -> Šablony.
7) Zakázání úprav souborů z administrace
Pokud na webu neprovádíte časté změny, je vhodné zakázat úpravy souborů šablon a pluginů přímo z administrace. Tím se sníží riziko neoprávněných zásahů v případě napadení webu.
Toto nastavení lze provést přidáním následujícího řádku do souboru wp-config.php
:
1 |
define('DISALLOW_FILE_EDIT', true); |
Tato změna pomáhá zvýšit bezpečnost, ale pokud potřebujete provádět úpravy, bude nutné hodnotu dočasně změnit nebo soubory upravovat přes FTP.
8) Omezení instalací a mazání pluginů a šablon
Pro pokročilé uživatele, kteří chtějí ještě vyšší zabezpečení, lze v wp-config.php
nastavit také:
1 |
define('DISALLOW_FILE_MODS', true); |
Tento parametr zcela zakáže instalaci, aktualizaci a mazání pluginů a šablon.
9) Pomoc s aktualizací
Pokud si s aktualizací nejste jisti nebo narazíte na problém, obraťte se na naši podporu, rádi vám pomůžeme.
Pokud jste se rozhodli používat HTTPS na WordPressu tak je k tomu kromě SSL certifikátu potřeba provést potřebné úpravy v nastavení a .htaccess souboru. Zde je stručný návod jak provést základní nastavení pro změnu HTTP na HTTPS.
UPOZORNĚNÍ: je třeba rozumět všem prováděným krokům. Doporučujeme problematiku přechodu na HTTPS důkladně prostudovat. Chybné nebo neúplné nastavení může způsobit nefunkčnost stránek nebo problémy s indexací v internetových vyhledávačích.
UPOZORNĚNÍ: u všech upravovaných souborů si nejprve vytvořte zálohu
Zprovoznění SSL certifikátu
Návod na instalaci certifikátu najdete v naší nápovědě ve článku Nastavení HTTPS šifrování.
Ověření funkčnosti SSL certifikátu
Funkčnost certifikátu si můžete ověřit tak, že v adresním řádku přidáte „s“ za http. Například u domény http://www.zserver.cz změníte adresu na https://www.zserver.cz. Prohlížeč by neměl zobrazit žádné chybové hlášení. Dále existují různé online nástroje na otestování správného nastaveni SSL certifikátu. Jeden z kvalitních nástrojů je SSL Server Test od Qualsys.
Změna nastavení adresy
V administraci wordpressu v sekci Nastavení => Obecné změňte nastavení položek Instalace WordPressu (URL) a Úvodní stránka webu (URL) tak, že doplníte písmeno s za http. Místo původní adresy http://www.vasedomena.cz tam tedy po úpravě bude https://www.vasedomena.cz. Poté uložte změny kliknutím na tlačítko Uložit změny na konci stránky.
Změna .htaccess souboru
Pro automatické přesměrování z HTTP na HTTPS verzi stránek je třeba v souboru .htaccess v kořenovém adresáři vložit nad řádek # BEGIN WordPress tyto tři řádky:
1 2 3 |
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L] |
Toto nastavení přesměrování je dočasné (Redirect 302 – Moved Temporary) a je tak vhodné pro otestování funkčnosti. Jakmile si ověříte, že vše funguje korektně tak můžete přidat příznak pro trvalé přesměrování (Redirect 301 – Moved Permanently) takto:
1 2 3 |
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] |
Trvalé přesměrování můžete nastavit i bez editace .htaccess souboru přímo v administraci webhostingu dle návodu na přesměrování HTTP na HTTPS.
Změna interních odkazů
Pokud se někde na stránkách odkazujete na své stránky (například v textu článku odkazujete na jiný článek) absolutním odkazem tedy takovým, který obsahuje i http (například http://www.vasedomena.cz/o-nas) tak je třeba tento odkaz přepsat na https. Pokud používáte relativní odkazy (například /o-nas) tak tato změna není třeba.
Pro hromadnou změnu odkazů lze použít například plugin Better Search Replace pomocí kterého nahradíte http://www.vasedomena.cz za https://www.vasedomena.cz.
Kontrola vložených scriptů
Typicky se jedná o vložené scripty Facebooku či Google. Pokud budou obsahovat HTTP tak může prohlížeč zobrazit informaci že je část stránky nezabezpečená.
Změna odkazů směrujících na vaše stránky
Změňte veškeré odkazy na vaše stránky, ke kterým máte přístup.
Průběžná kontrola statistik přístupů
Po úspěšném převodu pečlivě sledujte statistiky přístupů kvůli případným problémům. Může nastat dočasný mírný pokles návštěvnosti, ale vše by se mělo brzy vrátit na původní hodnoty.