Wtyczki bezpieczeństwa WordPress

Kompleksowe wtyczki bezpieczeństwa łączą wiele funkcji ochronnych w jednym miejscu: firewall aplikacyjny (WAF), skanowanie malware, monitorowanie aktywności, ochronę przed brute-force i wiele innych. Zamiast instalować 5-10 oddzielnych wtyczek, możesz użyć jednej all-in-one.

📊 Poziom trudności

Średnio-zaawansowany ⭐⭐

⏱️ Czas wdrożenia: 20-60 minut (zależy od wybranej wtyczki) 🛠️ Wymagane umiejętności: Podstawowa obsługa WordPress, rozumienie pojęć: firewall, malware, brute-force 💻 Narzędzia: Panel WordPress + email (do alertów)

Kompleksowe vs specjalistyczne wtyczki

Kompleksowe (all-in-one) - opisane w tym artykule:

• Wordfence Security - najpopularniejsza (4M+ instalacji)
• iThemes Security - najłatwiejsza konfiguracja (one-click hardening)
• Sucuri Security - najlepsza po włamaniu (post-hack recovery)

Specjalistyczne (single-purpose) - opisane w innych artykułach:

• Limit Login Attempts Reloaded - tylko brute-force
• WPS Hide Login - tylko ukrycie URL logowania
• WP 2FA - tylko weryfikacja dwuetapowa

Zobacz: Ochrona przed brute-force

---

Wordfence Security - najpopularniejsza (4M+ instalacji)

Dla kogo: Większość stron WordPress (sklepy, firmy, portale)

Kluczowe funkcje (wersja darmowa)

1. Firewall aplikacji webowych (WAF):

• Blokowanie znanych IP botnetów
• Ochrona przed SQL injection, XSS, Remote Code Execution
• Rate limiting (ograniczenie żądań/sekundę z jednego IP)

2. Skanowanie malware:

• Porównanie plików core WordPress z oryginałami z wordpress.org
• Wykrywanie backdoorów, webshells, phishing scripts
• Analiza zmian w plikach wtyczek/motywów

3. Login Security:

• Limit prób logowania (jak Limit Login Attempts Reloaded)
• 2FA (TOTP - Google Authenticator + backup codes)
• CAPTCHA dla formularzy (wbudowane, nie wymaga Google)

4. Live Traffic (monitoring ruchu):

• Kto (IP, user agent) odwiedza stronę w czasie rzeczywistym
• Próby exploitów zablokowane przez firewall
• Geogr

aficzna mapa ataków

Instalacja i podstawowa konfiguracja

1. Wtyczki → Dodaj nową → Wyszukaj: Wordfence Security
2. Instaluj → Aktywuj
3. Pojawi się kreator konfiguracji - Getting Started:

Krok 1: Email dla alertów

• Wpisz swój email (otrzymasz powiadomienia o blokadach, malware)
• Rekomendacja: włącz tylko dla Critical i High (inaczej 50+ emaili dziennie)

Krok 2: Firewall Mode

• Extended Protection (zalecane) - najszybszy, używa .htaccess
• Learning Mode - wolniejszy, skanuje każde żądanie PHP (nie wybieraj)

Krok 3: Scan Schedule

• Daily (zalecane dla większości stron)
• Hourly (tylko Premium)
• Ustaw godzinę: 3:00 AM (najmniejszy ruch)

4. Finish - konfiguracja zakończona

Konfiguracja zalecana dla hostingu Joton

Wordfence → Firewall → Manage Firewall:

Opcja	Wartość	Wyjaśnienie
Protection Level	Extended Protection	Używa .htaccess (szybsze)
Rate Limiting	60 requests/min (human), 30 req/min (crawler)	Wyżej niż domyślne (LSWS już limituje)
Immediately block IPs	Włącz	Jeśli IP wykryty jako bot/malware

Wordfence → Scan → Scan Options:

Opcja	Wartość	Wyjaśnienie
Scan Schedule	Daily at 3:00 AM	Gdy najmniejszy ruch
Email Summary	Daily	Nie bombarduj emailami
Exclude from scan	wp-content/cache/, wp-content/backup/	Zmniejsz false positives

Pierwszy skan:

1. Wordfence → Scan
2. Kliknij Start New Scan
3. Poczekaj 5-20 minut (zależy od rozmiaru strony)

Interpretacja wyników:

Poziom	Kolor	Co zrobić
Critical	🔴 Czerwony	Usuń plik natychmiast (backdoor, trojan)
High	🟠 Pomarańczowy	Zmodyfikowany core - kliknij Repair
Medium	🟡 Żółty	Abandoned plugin (EOL) - zaktualizuj lub usuń
Low	🔵 Niebieski	Informacyjne (np. zmieniony readme.html) - ignoruj

Optymalizacja wydajności Wordfence + Redis

Wordfence zapisuje dane firewall i logi w bazie MySQL - może spowalniać stronę przy dużym ruchu.

Rozwiązanie: Włącz Redis cache w panelu Joton

1. Panel Joton → Witryny → Zaawansowane → Narzędzia programistyczne
2. Sekcja Redis cache → Włącz
3. W WordPress zainstaluj: Redis Object Cache (wtyczka)
4. Settings → Redis → Enable Object Cache

Efekt:

• Wordfence zapisuje dane w Redis (RAM) zamiast MySQL (dysk)
• Firewall działa 5-10× szybciej
• Mniejsze obciążenie bazy danych

Zobacz: Redis cache w panelu Joton

Premium vs Free

Funkcja	Free	Premium (99 USD/rok)
WAF firewall rules	Opóźnienie 30 dni	Real-time (najnowsze zagrożenia)
IP blocklist	Podstawowa	Premium threat feed
Malware scanning	1× dziennie	Co godzinę
2FA
Country blocking	❌	(blokuj całe kraje)
Password auditing	❌	(wykrywa słabe hasła)

Czy warto Premium?

• Dla sklepów e-commerce (WooCommerce) - TAK
• Dla high-traffic portali (50k+ odwiedzin/m-c) - TAK
• ⏹️ Dla blogów/portali bez płatności - NIE (free wystarczy)

---

iThemes Security - najłatwiejsza konfiguracja

Dla kogo: Początkujący, którzy chcą "one-click" zabezpieczenia

Kluczowe funkcje (wersja darmowa)

1. Security Check (one-click hardening):

• Automatyczna konfiguracja 15+ ustawień bezpieczeństwa w 1 kliknięcie
• Zmiana prefiksu bazy danych, ukrycie wersji WordPress, wyłączenie XML-RPC

2. 404 Detection:

• Wykrywa skanowanie struktury katalogów (np. /wp-content/uploads/exploit.php)
• Blokuje IP po X próbach dostępu do nieistniejących plików

3. File Change Detection:

• Monitoruje modyfikacje plików WordPress core/wtyczek
• Alert email przy wykryciu zmian

4. Database Backups:

• Automatyczne backupy MySQL przez email/Dropbox/Google Drive
• Opcja: harmonogram (codziennie/co tydzień)

5. Brute Force Protection:

• Limit prób logowania (jak Limit Login Attempts)
• Zmiana URL logowania (jak WPS Hide Login)

Instalacja i konfiguracja

1. Wtyczki → Dodaj nową → Wyszukaj: iThemes Security
2. Instaluj → Aktywuj
3. Kreator: Security → Settings → Security Check
4. Kliknij Secure Site (zaznacz wszystkie zalecane opcje)
5. Run Security Check

Efekt: iThemes automatycznie:

• Zmieni prefiks tabel (np. wp_ → wpsec_abc123_)
• Wyłączy XML-RPC (jeśli nie używasz)
• Ukryje wersję WordPress
• Włączy silne hasła dla administratorów
• Ustawi limit prób logowania

💡 Database Backups - wyłącz jeśli masz Joton

iThemes może robić backupy przez email - NIE polecamy jeśli masz hosting Joton:

Dlaczego:

• Joton robi automatyczne backupy codziennie (30 dni)
• Backupy przez email = duże pliki w skrzynce (problem jeśli baza >50 MB)
• Joton backupy są szybsze do przywrócenia (1 kliknięcie vs import przez phpMyAdmin)

Wyłącz: iThemes Security → Backups → Database Backups → Disable

Premium features (80 USD/rok)

Funkcja	Free	Pro
Two-Factor Authentication	❌	(premium only!)
Passwordless login	❌	(magic links email)
User groups	❌	(różne polityki dla ról)
Dashboard widget	❌	(metryki bezpieczeństwa)

UWAGA: 2FA jest tylko w wersji Pro (w Wordfence Free jest za darmo).

Czy warto Pro?

• Jeśli potrzebujesz 2FA i wolisz iThemes niż Wordfence → TAK
• Jeśli chcesz 2FA za darmo → użyj Wordfence Free lub WP 2FA

---

Sucuri Security - post-hack specialist

Dla kogo: Po włamaniu, strony wymagające external monitoring

Specjalizacja: Post-hack recovery + remote scanning

Kluczowe funkcje (free):

1. Activity Auditing:

• Logi wszystkich akcji (jak WP Activity Log)
• Failed login attempts, instalacje wtyczek, core updates

2. Malware Scanner (remote):

• Zdalne skanowanie (nie obciąża serwera - skanuje z zewnątrz)
• Integracja z SiteCheck (publiczny skaner Sucuri)
• Mniej dokładny niż Wordfence (nie widzi wewnętrznych plików)

3. Security Hardening (one-click):

• Wyłączenie XML-RPC
• Blokada wykonywania PHP w /wp-content/uploads/
• Wyłączenie listingu katalogów

4. Post-Hack instrukcje:

• Krok-po-kroku co robić po włamaniu
• Blacklist removal (pomoc w usunięciu z Google Safe Browsing)

Kiedy wybrać Sucuri?

• Po włamaniu - najlepsze narzędzia do czyszczenia i recovery
• Jako uzupełnienie Wordfence/iThemes - external monitoring + auditing
• Dla stron z ograniczonymi zasobami (shared hosting) - remote scanning nie obciąża CPU

Sucuri Firewall (Premium - 200 USD/rok)

• Cloudflare-like CDN z WAF
• DDoS protection (do 30 Gbps)
• SSL support

Czy warto?

• Dla high-traffic stron (100k+ odwiedzin/m-c) lub częstych celów ataków DDoS

---

Porównanie: Która wtyczka dla Ciebie?

Profil strony	Rekomendacja	Konfiguracja
Blog osobisty (1k odwiedzin/m-c)	iThemes Security (free)	One-click Security Check
Firma/portfolio (10k odwiedzin)	Wordfence (free)	Firewall + weekly scan
Sklep e-commerce (WooCommerce)	Wordfence Premium	Firewall + hourly scan + 2FA
High-traffic portal (100k+ odwiedzin)	Wordfence Premium + Cloudflare	WAF + CDN + rate limiting
Po włamaniu	Sucuri Security	Malware scan + cleanup instructions

---

Częste błędy przy konfiguracji

1. Włączenie kilku wtyczek firewall jednocześnie

Problem: Wordfence + iThemes + Sucuri = konflikty, false positives, wolniejsza strona

Rozwiązanie: Wybierz JEDNĄ kompleksową wtyczkę:

• Wordfence (firewall+scan) + WP Activity Log (auditing)
• iThemes (firewall) + Sucuri (remote scan)
• ❌ Wordfence + iThemes (konflikt firewall rules)

2. Zbyt agresywne rate limiting

Objaw: Prawdziwi użytkownicy dostają 403 Forbidden

Przyczyna: Rate limiting 10 żądań/minutę (za niskie dla stron z AJAX)

Rozwiązanie:

• Wordfence: zwiększ do 60 req/min (human), 30 req/min (crawler)
• Dodaj swoje IP do whitelisty podczas testowania

3. Brak wykluczeń dla cache/backup

Problem: Wordfence skanuje cache LiteSpeed/Redis → fałszywe alarmy

Rozwiązanie:

• Wordfence → Scan Options → Exclude from Scan:

  wp-content/cache/
  wp-content/backup/
  wp-content/uploads/cache/

---

Następne kroki

Po zainstalowaniu wtyczki bezpieczeństwa:

1. Skonfiguruj monitoring - Monitoring i audyt
2. Ustaw harmonogram skanowania - co tydzień minimum (daily zalecane)
3. Przejrzyj raporty - pierwsze 7 dni obserwuj false positives, dostosuj wykluczenia
4. Wykonaj hardening - Hardening wp-config.php

Przydatne linki

• Wordfence Documentation - oficjalna dokumentacja
• iThemes Security Guide - przewodniki konfiguracji
• Sucuri Knowledge Base - baza wiedzy
• Ochrona przed brute-force - specjalistyczne wtyczki
• Redis cache w Joton - optymalizacja wydajności

Powrót do: Bezpieczeństwo WordPress