Zabezpečení WordPressu: 8 kroků proti hackerům (2026)

Drtivá většina napadených WordPress webů padne na tři věci: zastaralé verze, slabá hesla a děravé pluginy. Tady je 8 kroků seřazených od základů zdarma po štít, jaký používají velké weby.

1. Aktualizujte — nejlevnější ochrana

Většina útoků zneužívá známé díry, na které už existuje oprava. Jádro, šablony i pluginy aktualizujte do pár dní od vydání. Nepoužívané pluginy smažte (minimální sada).

2. Silná hesla + jiné jméno než „admin”

Správce s loginem admin a heslem Léto2026 je pozvánka. Použijte správce hesel a unikátní hesla — zvlášť pro WordPress, FTP a databázi.

3. Dvoufaktorové ověření (2FA)

Plugin (např. Two-Factor nebo součást Wordfence) + aplikace v mobilu. Dvě minuty práce, zásadní efekt.

4. Zálohy mimo hosting

Hosting zálohuje (VEDOS NoLimit týdně, Extra denně) — přesto mějte i vlastní zálohu jinam (UpdraftPlus → Google Drive). Záloha je jediná stoprocentní „ochrana”: když vše selže, vrátíte se v čase.

5. Bezpečnostní plugin (WAF na úrovni webu)

Wordfence zdarma: skenování souborů, limity přihlášení, blokace známých útočníků. Nastavte a nechte pracovat.

6. HTTPS všude

Certifikát máte na hostingu zdarma — zbývá vynutit přesměrování, ať se přihlašovací údaje nikdy neposílají nešifrovaně.

7. Skryjte, co netřeba ukazovat

8. Štít před serverem: DDoS ochrana a WAF

Kroky 1–7 chrání aplikaci — ale když na web míří tisíce požadavků za sekundu (DDoS), spadne dřív, než se k WordPressu dostanou. Řešení je reverse proxy ochrana před hostingem: provoz nejdřív projde filtrem, který útoky odchytí.

Přesně to dělá WEDOS Protection — evropská alternativa Cloudflare s WAF a anycast sítí, s daty v EU. Pro weby, které vydělávají (e-shopy, firemní weby s poptávkami), je to rozdíl mezi „web jel dál” a „byli jsme dva dny offline”.

Checklist

Souvisí: WordPress návod · jak zrychlit WordPress

Časté otázky

Proč by někdo útočil zrovna na můj malý web?

Útoky jsou automatizované — boti plošně skenují miliony webů a hledají zastaralé verze a slabá hesla. Nejde o vás osobně; napadený web pak rozesílá spam nebo hostí podvodné stránky.

Stačí zdarma plugin jako Wordfence?

Pro základní ochranu ano — skenuje soubory, blokuje podezřelá přihlášení a funguje jako aplikační firewall. Proti výpadkům z DDoS útoků ale potřebujete ochranu před serverem (reverse proxy štít).

Co dělat, když už je web napadený?

Obnovte čistou zálohu, změňte všechna hesla (WordPress, FTP, databáze, e-mail), aktualizujte vše a projděte web skenerem. Bez čisté zálohy je jistota jen ruční kontrola nebo specialista.

Je dvoufaktorové přihlášení nutné?

U administrátorských účtů důrazně doporučené — hesla unikají a 2FA je poslední zámek, který útočníka zastaví i s ukradeným heslem.