Atak brute-force to masowe próby odgadnięcia hasła do panelu WordPress. Boty automatycznie sprawdzają setki kombinacji, zwykle celując w strony logowania /wp-login.php i /wp-admin/. Na szczęście kilka prostych kroków potrafi bardzo skutecznie utrudnić im życie.
Silne hasła i porządek na kontach
- Długie i unikalne hasło: minimum 12–16 znaków, mieszanka liter, cyfr i znaków.
- Nie używaj „admin” jako loginu: utwórz inne konto administratora, stare usuń lub zdegraduj.
- Menedżer haseł: np. Bitwarden, 1Password – wygeneruje i zapamięta silne hasło za Ciebie.
- Hasła do integracji: jeśli jakieś narzędzie pyta o hasło WP, spróbuj użyć tzw. „haseł aplikacji” (bezpieczniejsze niż podawanie głównego hasła).
Włącz dwuskładnikowe logowanie (2FA)
To najważniejszy dodatek do hasła. Po wpisaniu hasła podajesz jeszcze kod z aplikacji (np. Google Authenticator, Microsoft Authenticator) albo potwierdzasz logowanie kluczem sprzętowym (np. YubiKey).
- Polecane wtyczki: WP 2FA, Wordfence Login Security, miniOrange 2FA.
- Zacznij od włączenia 2FA przynajmniej dla administratorów i redaktorów.
- Zapisz kody zapasowe – przydadzą się, jeśli zgubisz telefon.
Ogranicz liczbę prób logowania
Po kilku nieudanych próbach dane IP powinny zostać na chwilę zablokowane. To hamuje boty.
- Proste rozwiązanie: Limit Login Attempts Reloaded, Wordfence, iThemes Security.
- Warto dodać CAPTCHA (np. reCAPTCHA) na formularzu logowania i odzyskiwania hasła.
Zmień adres strony logowania
Boty domyślnie szukają /wp-login.php. Jeśli zmienisz adres logowania na własny (np. /panel-firmy-2025), większość z nich nawet nie trafi we właściwe miejsce.
- Wtyczka: WPS Hide Login.
- Zapamiętaj nowy adres i przechowuj go w menedżerze haseł.
Włącz zaporę i filtruj ruch (WAF/CDN)
Cloudflare lub Sucuri potrafią odfiltrować podejrzane wizyty jeszcze zanim dotrą do Twojej strony.
- Nawet bezpłatny plan Cloudflare (z włączonym DNS przez Cloudflare) daje ochronę podstawową i przyspiesza stronę.
- W panelu ustaw reguły dla strony logowania (np. dodatkowe utrudnienia lub ograniczenia ruchu).
- Warto włączyć podstawową ochronę „przed botami”.
Odetnij niepotrzebne „wejścia boczne”
Kilka prostych ustawień zmniejszy liczbę miejsc, przez które atakujący może próbować się dostać.
- Odzyskiwanie hasła: włącz CAPTCHA także na tej stronie.
- XML-RPC (techniczna furtka do WordPressa) – jeśli nie używasz, wyłącz tę funkcję wtyczką bezpieczeństwa albo ogranicz do minimum.
- Ukryj listę użytkowników: nie ujawniaj loginów na stronie (np. w autorach wpisów – pokazuj imię i nazwisko/nazwę firmy, a nie login).
Aktualizacje i porządki
- Aktualizuj WordPress, motywy i wtyczki – często zawierają łatki bezpieczeństwa.
- Usuń nieużywane wtyczki i motywy – mniej elementów = mniej potencjalnych dziur.
- Kopie zapasowe: rób regularnie (np. automatycznie co tydzień) i od czasu do czasu sprawdź, czy dasz radę je przywrócić.
Co, jeśli ataki wciąż się powtarzają?
- Podkręć limity: mniej prób logowania dozwolonych, dłuższe blokady, obowiązkowa CAPTCHA.
- Sprawdź konta: usuń niepotrzebnych użytkowników, wymuś zmianę haseł, włącz 2FA wszystkim z uprawnieniami edycji.
- Przejrzyj logi i statystyki: czy ataki pochodzą z jednego kraju/IP? Rozważ czasową blokadę kraju (jeśli to ma sens biznesowo).
- Skonsultuj się ze specjalistą: gdy widzisz ślady włamania (nowi administratorzy, dziwne pliki, nagłe spowolnienia) – poproś o audyt bezpieczeństwa i czyszczenie strony.