Panel logowania WordPressa to jedno z najczęściej atakowanych miejsc na stronie. Boty, skrypty i automaty codziennie próbują włamać się do kokpitu, wpisując tysiące kombinacji loginów i haseł. Nie trzeba być znaną marką, żeby paść ofiarą ataku – wystarczy, że Twoja strona jest online. W tym artykule pokażę Ci, jak krok po kroku zabezpieczyć panel logowania WordPressa, żeby nie był tak łatwym celem.
Spis treści
1. Zmień login administratora
Brzmi banalnie? A jednak nadal tysiące stron używają domyślnego loginu admin. To pierwszy login, który testują boty podczas ataków. Jeśli nadal go używasz – załóż nowe konto z inną nazwą użytkownika i nadaj mu rolę administratora. Potem zaloguj się na nowe konto i usuń stare. Proste, a skuteczne.
Moje minimum na stronach klientów to zawsze: niestandardowy login + silne hasło + inne adresy e-mail niż te powiązane z nazwą domeny.
2. Ustaw dwuetapowe logowanie (2FA)
Dzisiaj logowanie za pomocą samego hasła to już za mało. Uwierzytelnianie dwuskładnikowe (2FA) to druga warstwa zabezpieczeń, która naprawdę działa. Możesz użyć aplikacji Google Authenticator, Authy albo specjalnego tokena.
Sprawdzone wtyczki:
- WP 2FA – intuicyjna, działa z większością hostingów,
- Wordfence – poza 2FA oferuje też skanowanie plików i firewall.
Dla moich klientów ustawiam 2FA zawsze na koncie admina. Jeśli mają redaktorów – dla nich też.
3. Ogranicz liczbę prób logowania
Jeśli ktoś 100 razy próbuje wpisać hasło, to coś jest nie tak. Proste limity logowania wystarczą, by zniechęcić 90% automatów. Po kilku błędnych próbach konto jest blokowane na określony czas.
Polecana wtyczka:
- Limit Login Attempts Reloaded – łatwa konfiguracja, powiadomienia, możliwość blokady IP.
U mnie standard to: 3 próby → blokada na 30 minut, 5 nieudanych prób w ciągu godziny → blokada na 24h.
4. Zmień domyślny adres logowania
Każdy WordPress ma domyślny adres logowania: /wp-admin lub /wp-login.php. Jeśli nie chcesz, żeby ktoś w ogóle wiedział, gdzie się logować – zmień ten adres.
Można to zrobić np. przez:
- WPS Hide Login – lekkie i skuteczne rozwiązanie,
- plik
.htaccess– ale wymaga to ostrożności i wiedzy.
U mnie na stronach klientów panel logowania zawsze jest ukryty pod niestandardowym adresem. To działa jak „niewidka” – jak ktoś nie zna adresu, to nawet nie spróbuje się logować.
5. Zabezpiecz panel logowania z poziomu serwera
To już wyższy poziom – ale bardzo skuteczny. Możesz ustawić:
- dostęp do panelu tylko z określonych adresów IP,
- dodatkowe hasło z poziomu serwera (np. .htpasswd),
- blokady geograficzne – np. tylko Polska.
Jeśli masz serwer VPS lub dostęp do .htaccess – naprawdę warto to wdrożyć. Sam na niektórych stronach klientów ustawiam logowanie do /wp-admin tylko z jednego IP – mojego.
Podsumowanie
Panel administracyjny to serce Twojej strony. Jeśli nie jest dobrze zabezpieczony, to otwierasz drzwi każdemu, kto chce Ci zaszkodzić.
Dobrze ustawione logowanie to podstawa – nie kosztuje wiele, nie zabiera dużo czasu, a realnie zmniejsza ryzyko ataku.
Chcesz mieć pewność, że nikt nie włamie się do Twojej strony przez wp-admin?
Skontaktuj się ze mną – zabezpieczę wszystko krok po kroku i przygotuję automatyczne powiadomienia w razie prób ataku.
