Hlavní stránka/Znalosti/WordPress/Podrobnosti o obsahu

Návod k posílení bezpečnosti webových stránek WordPress a osvědčené postupy.

Čtení za 2 minuty.
2026-04-07
2026-06-04
2,828
Získávám provize, když nakupujete prostřednictvím níže uvedených odkazů, aniž by vás to něco stálo navíc.

Základní bezpečnostní principy a nastavení

Prvním krokem k zabezpečení webových stránek vytvořených pomocí WordPressu je vytvoření solidní základny. To zahrnuje dodržování několika základních bezpečnostních principů a provedení klíčových počátečních nastavení. Nejvyšší prioritou je okamžité aktualizování samotného jádra WordPressu, temát a pluginů. Útočníci často využívají známé chyby, zatímco aktualizace vydávané správci webových stránek obvykle obsahují důležitá bezpečnostní opravy. Zapnutí funkce automatických aktualizací v administraci může výrazně snížit riziko.

Za druhé je velmi důležité zvýšit bezpečnost účtů administrátorů. Vyhněte se používání výchozího jména uživatele “admin”, které je stále častým cílem pokusů o násilné prolomení hesel. Po vytvoření nového uživatele s vysokými oprávněními je nezbytné starý výchozí administrátorský účet smazat. Pro všechny uživatele, zejména pro administrátory, je nutné povinně používat silná hesla. Heslo by mělo mít délku alespoň 12 znaků a mělo by obsahovat kombinaci velkých a malých písmen, čísel a speciálních znaků. Můžete zvážit použití nástrojů na správu hesel k generování a správě těchto komplexních hesel.

Na závěr je důležité pečlivě řídit uživatelské role a oprávnění. WordPress standardně nabízí různé role, od přihlášených uživatelů po superadministrátory. Dodržujte princip “minimálních oprávnění” – udělejte uživatelům pouze ta oprávnění, která jsou nezbytná k vykonávání jejich práce. Nepřidělujte role typu “editor” nebo “administrátor” lidem, kteří je nepotřebují. Pravidelně provádějte audity seznamu uživatelů a včas odstraňujte neaktivní nebo podezřelé účty.

Doporučujeme k přečtení. Od základů až po pokročilé znalosti: Kompletní přehled SSL certifikátů, průvodce nákupem a nasazením, a nejlepší bezpečnostní postupy

Zesílení kontroly přihlášení a přístupu

Přihlašovací místo je jedním z nejčastějších cílů útoků ze strany útočníků. Zesílení této části systému může účinně zabránit většině automatizovaných útoků. Jednoduchým a účinným způsobem je změna výchozí adresy přihlašování. Výchozí přihlašovací stránka WordPressu je… /wp-admin/wp-login.phpProstřednictvím doplňků lze tuto cestu upravit na vlastní, což okamžitě zabrání velkému množství skenování a útoků směřovaných na výchozí adresu.

UltaHost – hosting služby pro weby postavené na platformě WordPress
Záruka vrácení peněz do 30 dnů, neomezený šířka pásma a databáze, bezplatná ochrana proti DDoS útokům. Sleva 501 TP4T při nákupu na 3 roky.
LOGO UltaHostu přístupová stránka

Zavedení dvoufaktorového ověřování (2FA) je současným standardem v průmyslu. 2FA vyžaduje, aby uživatel kromě zadání hesla poskytl ještě druhý faktor ověření (např. dynamický kód generovaný mobilním aplikací), což zajišťuje bezpečnost účtu i v případě, že by heslo uniklo. Existuje mnoho kvalitních doplňků, které tuto funkci umožňují. Kromě toho omezení počtu pokusů o přihlášení může zabránit útokům typu „násilného prolomení“ (brute-force attacks). Doplňky mohou být nastaveny tak, aby po určitém počtu neúspěšných pokusů IP adresu nebo uživatelské jméno dočasně nebo trvale zablokovaly.

Omezení přístupových práv na úrovni serveru je také pokročilým trikem. Například v Apache… .htaccess V souboru nebo konfiguračním souboru Nginx lze nastavit, aby přístup byl povolen pouze konkrétním IP adresám (např. IP adrese vaší kanceláře). /wp-admin Obsah. Pro většinu uživatelů to významně zvyšuje bezpečnost backendu.

# .htaccess 示例:限制 wp-admin 目录的访问
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 123.123.123.123 # 替换为你的IP
</Files>

Bezpečnost klíčových souborů, databází a serverů

Ochrana souborů instalace a databáze WordPress je klíčová pro prevenci hlubších útoků. Nejprve se ujistěte, že jsou důležité konfigurační soubory bezpečné.wp-config.php Tento soubor obsahuje přihlašovací údaje k databázi a bezpečnostní klíče, což z něj činí jeden z nejdůležitějších souborů v systému WordPress. Měl by být přesunut do složky nad hlavní složkou WordPress (pokud je to možné), nebo by měl být alespoň pomocí serverových pravidel zabráněn přímý externí přístup k němu.

Dále je důležité chránit bezpečnost databáze. Pro databázi WordPress nastavte jedinečný předponový název, místo výchozího. wp_Při instalaci lze tyto nastavení změnit; pokud je aplikace již nainstalována, lze předpony tabulek upravit pomocí doplňků nebo ručně. Toto zvyšuje náročnost útoků typu SQL injection. Pravidelně zálohujte celou databázi a webové soubory a uložte zálohy na vzdáleném místě (např. v cloudovém úložišti), což je vaše poslední pojistka pro obnovení po útoku.

Doporučujeme k přečtení. Co je SSL certifikát? Od principu po instalaci, první obranná linie při zajišťování bezpečnosti webových stránek.

Na úrovni serveru je důležité udržovat verzi PHP na nejnovější podporované a stabilní verzi, protože starší verze mohou obsahovat neopravené bezpečnostní chyby. Zakážte veřejné zobrazování chybových zpráv PHP, abyste předešli úniku citlivých informací, jako jsou cesty k souborům. To lze provést pomocí příslušných konfiguračních nastavení. wp-config.php Nastavení se provádí v souboru.

// 在 wp-config.php 中禁用错误显示
define( 'WP_DEBUG', false );
@ini_set( 'display_errors', 0 );

Bezpečnost pluginů a temat (tématických nastavení)

Pluginy a tematika jsou jádrem WordPress ekosystému, ale zároveň představují i největší zdroj bezpečnostních rizik. Správná volba a správa pluginů hraje klíčovou roli při ochraně vašeho webu. Získejte pluginy a tematika pouze z oficiálního katalogu WordPress nebo od důvěryhodných vývojářů. Před instalací si prověřte jejich datum poslední aktualizace, kompatibilitu, počet aktivních instalací a recenze uživatelů. Rozšíření, která nebyla aktualizována již více než rok nebo mají velmi špatné recenze, by měla být vynechána.

I po instalaci doplňků je nutné provést jejich minimalizaci – deaktivujte a odstraňte všechny doplňky a tematiky, které již nepoužíváte, protože nevyužívaný kód může obsahovat chyby (zranitelnosti). U doplňků, které jsou nezbytné k fungování webu, ujistěte se, že jsou vždy v nejnovější verzi, stejně jako je to případ s jádrem WordPressu.

Shared hosting na hosting.com
Vysoký výkon, vybavený procesorem AMD EPYC, úložištěm NVMe SSD a LiteSpeedem, nepřetržitá interní podpora odborníků 24 hodin denně a 7 dní v týdnu, pokročilá bezpečnostní opatření včetně SSL, ochrany proti útokům hrubou silou, malwaru a DDoS, úspora až 731 TB/měsíc.
LOGO hosting.com přístupová stránka

Zavádějte monitorování práv k souborům a detekci změn. Bezpečnostní doplňky mohou poskytovat funkce kontroly integrity souborů – pravidelně skenují klíčové soubory, tematické stránky a doplňky a porovnávají je s oficiálními verzemi. Jakmile jsou zjištěny neoprávněné změny (např. vložení zlověstného kódu), okamžitě je signalizuje. Kromě toho používejte doplňky nebo služby webového aplikačního firewallu (WAF). WAF dokáže filtrovat škodlivý provoz a blokovat běžné způsoby útoků, jako jsou např. SQL injection a cross-site scripting (XSS), čímž poskytne vašemu webu další vrstvu ochrany.

Závěr

Bezpečnost WordPressu je vícevrstvý a kontinuální proces, který nelze jednou provést a pak považovat za dokončený. Tento článek systematicky popisuje celý postup zpevnění webové stránky, počínaje základními principy, ochranou při přihlašování, bezpečností souborů a databází až po správu doplňků. Klíčovými faktory jsou pravidelné aktualizace všech komponent, dodržování principu minimálních oprávnění, používání silných mechanismů ověřování a vytvoření spolehlivých strategií pro zálohování a obnovu dat. Aktivní povědomí o bezpečnosti a pravidelné bezpečnostní kontroly představují nejpevnější základ pro odolávání neustále se vyvíjejícím síťovým hrozbám.

Časté dotazy

Co dělat, když ani po změně adresy pro přihlášení nemůžete sám/a se přihlásit?

Pokud jste po změně adresy přihlášení pomocí pluginu zapomněli na novou adresu nebo došlo ke konfliktu, který znemožnil přihlášení, nejrychlejším řešením je přistup k webovému serveru pomocí FTP nebo správce souborů. Najděte adresář odpovídající danému pluginu (obvykle se nachází v určitém složce na serveru) a přejmenujte ho nebo ho smažte. /wp-content/plugins/ (Níže) To způsobí, že plugin přestane fungovat a budou aktivovány výchozí nastavení. /wp-login.php Adresa pro přihlášení. Po přihlášení prosím znovu nakonfigurujte tento plugin nebo hledejte alternativní řešení.

Doporučujeme k přečtení. Co je SSL certifikát? Základní kámen bezpečné komunikace na webu.

Je nutné si zakoupit placené bezpečnostní doplňky?

Bezplatné bezpečnostní doplňky, jako jsou Wordfence Security nebo bezplatná verze All In One Security (AIOS), poskytují již velmi komplexní základní ochranu, včetně firewallu, skenování škodlivého softwaru a ochrany při přihlašování. Pro většinu menších a středních webových stránek je toho dostatek. Platné verze obvykle nabízejí pokročilejší funkce, jako je předplatné na aktuální informace o hrozbách, pravidelné aktualizace podpisů škodlivého softwaru a odbornou podporu. Pokud váš web zpracovává citlivá data (např. informace o zákaznících z e-shopů) nebo pokud bezplatné verze doplňků často hlásí hrozby, pak je investice do platné verze, která poskytuje aktivnější a rychlejší ochranu, oprávněná.

Jak zjistím, zda byl můj web napaden?

Příznaky toho, že byl web napaden, zahrnují: neplánovaný výskyt cizích uživatelských nebo administrátorských účtů; změny v obsahu webu, přidání nevhodných odkazů nebo stránek; označení vašeho webu vyhledávači jako “nebezpečného” nebo obsahujícího škodlivý software; abnormálně pomalé načítání webu nebo výskyt neznámých reklamních okén; prudký nárůst provozu na serveru; varování bezpečnostních doplňků na změny v souborech nebo přítomnost škodlivého kódu. Jakmile zaznamenáte jakékoli podezřelé příznaky, okamžitě spusťte nouzový postup: aktivujte režim údržby, provádějte kompletní skenování pomocí bezpečnostních doplňků, obnovte soubory z čisté zálohy a úplně změňte všechny hesla.

Shared hosting od InterServeru
Sdílený hosting za 1 TB + 5 TB měsíčně za 2,50 USD, slevový kód tryinterserver pro první měsíc za 1 TB + 5 TB za 0,1 USD, a 461 skriptů cloudových aplikací k jednoduché instalaci.
Logo InterServeru přístupová stránka

Kromě doplňků (plug-inů), jaké další bezpečnostní nastavení lze provést na úrovni serveru?

Bezpečnostní nastavení na úrovni serveru bývají často základnější a účinnější. Zahrnují zejména následující opatření: používání protokolů SFTP nebo SSH místo FTP pro přenos souborů; nastavení přísných oprávnění k souborům a adresářům (např. adresáře jsou nastaveny na 755 a soubory na 644).wp-config.php Nastavte hodnotu na 600; v serverovém firewallu otevřete pouze potřebné porty (80, 443, port SSH); pro přihlášky pomocí SSH povolte ověřování pomocí klíčů a zakážte přihlášky pomocí hesel; používejte nejnovější verze softwaru PHP, MySQL a webového serveru; zvažte nastavení samostatného uživatele databáze pro webovou stránku WordPress a udělejte mu pouze potřebná oprávnění k přístupu do databáze. Tyto nastavení obvykle vyžadují určité znalosti správy serveru nebo podporu poskytovatele hostingu.

Jaký je další krok? Co bych měl udělat dál?

Pokud právě vytváříte nebo optimalizujete webové stránky pomocí WordPressu, doporučujeme vám pokračovat ve čtení o optimalizaci výkonu, konfiguraci pluginů a přizpůsobování témat.

Další čtení a praktické znalosti

Následující obsah souvisí s tématem tohoto článku a je vhodný k dalšímu prostudování. Obvykle je lepší začít čtením článku, který je nejblíže vašemu aktuálnímu problému, a poté postupně přecházet k souvisejícím tématům.

Štítky: