Zabezpečení WordPressu: 8 kroků proti hackerům (2026)
Drtivá většina napadených WordPress webů padne na tři věci: zastaralé verze, slabá hesla a děravé pluginy. Tady je 8 kroků seřazených od základů zdarma po štít, jaký používají velké weby.
1. Aktualizujte — nejlevnější ochrana
Většina útoků zneužívá známé díry, na které už existuje oprava. Jádro, šablony i pluginy aktualizujte do pár dní od vydání. Nepoužívané pluginy smažte (minimální sada).
2. Silná hesla + jiné jméno než „admin”
Správce s loginem admin a heslem Léto2026 je pozvánka. Použijte správce hesel a unikátní hesla — zvlášť pro WordPress, FTP a databázi.
3. Dvoufaktorové ověření (2FA)
Plugin (např. Two-Factor nebo součást Wordfence) + aplikace v mobilu. Dvě minuty práce, zásadní efekt.
4. Zálohy mimo hosting
Hosting zálohuje (VEDOS NoLimit týdně, Extra denně) — přesto mějte i vlastní zálohu jinam (UpdraftPlus → Google Drive). Záloha je jediná stoprocentní „ochrana”: když vše selže, vrátíte se v čase.
5. Bezpečnostní plugin (WAF na úrovni webu)
Wordfence zdarma: skenování souborů, limity přihlášení, blokace známých útočníků. Nastavte a nechte pracovat.
6. HTTPS všude
Certifikát máte na hostingu zdarma — zbývá vynutit přesměrování, ať se přihlašovací údaje nikdy neposílají nešifrovaně.
7. Skryjte, co netřeba ukazovat
- Vypněte editaci souborů v administraci (
DISALLOW_FILE_EDITvwp-config.php). - Omezte XML-RPC, pokud ho nepoužíváte (řeší Wordfence).
- Komentářový spam zvládne Antispam Bee.
8. Štít před serverem: DDoS ochrana a WAF
Kroky 1–7 chrání aplikaci — ale když na web míří tisíce požadavků za sekundu (DDoS), spadne dřív, než se k WordPressu dostanou. Řešení je reverse proxy ochrana před hostingem: provoz nejdřív projde filtrem, který útoky odchytí.
Přesně to dělá WEDOS Protection — evropská alternativa Cloudflare s WAF a anycast sítí, s daty v EU. Pro weby, které vydělávají (e-shopy, firemní weby s poptávkami), je to rozdíl mezi „web jel dál” a „byli jsme dva dny offline”.
Checklist
- vše aktualizované, mrtvé pluginy smazané
- unikátní hesla + 2FA na admin účtech
- záloha mimo hosting (automatická)
- Wordfence aktivní
- HTTPS vynucené
- u výdělečných webů ochrana před serverem (Protection)
Souvisí: WordPress návod · jak zrychlit WordPress
Časté otázky
Proč by někdo útočil zrovna na můj malý web?
Útoky jsou automatizované — boti plošně skenují miliony webů a hledají zastaralé verze a slabá hesla. Nejde o vás osobně; napadený web pak rozesílá spam nebo hostí podvodné stránky.
Stačí zdarma plugin jako Wordfence?
Pro základní ochranu ano — skenuje soubory, blokuje podezřelá přihlášení a funguje jako aplikační firewall. Proti výpadkům z DDoS útoků ale potřebujete ochranu před serverem (reverse proxy štít).
Co dělat, když už je web napadený?
Obnovte čistou zálohu, změňte všechna hesla (WordPress, FTP, databáze, e-mail), aktualizujte vše a projděte web skenerem. Bez čisté zálohy je jistota jen ruční kontrola nebo specialista.
Je dvoufaktorové přihlášení nutné?
U administrátorských účtů důrazně doporučené — hesla unikají a 2FA je poslední zámek, který útočníka zastaví i s ukradeným heslem.