WordPress bezpečnosť: 12 chýb, ktoré robia majitelia webov

WordPress poháňa viac ako tretinu webov na internete – a práve preto je častým cieľom hackerov. Útoky neprichádzajú len na veľké firmy; automatizované boty skenujú tisíce stránok denne a hľadajú známe diery v pluginoch, slabé heslá a zastarané jadro. Tento článok zhrnie 12 najčastejších chýb, ktoré robia majitelia webov, a ako sa im vyhnúť.

Bezpečnosť nie je jednorazové nastavenie. Je to návyk: aktualizácie, monitoring, zálohy a obmedzenie prístupov. Ak ešte nemáš zálohy, začni článkom Automatická záloha WordPress.

1. Slabé alebo opakované heslá

Heslo „admin123“ alebo rovnaké heslo pre FTP, databázu a WordPress je najrýchlejšia cesta k napadnutiu. Používaj správcu hesiel, minimálne 16 znakov a dvojfaktorové overenie (2FA) pre všetkých editorov.

2. Neaktualizované jadro, témy a pluginy

Každá neaktualizovaná verzia je potenciálna diera. Zapni automatické minor updaty jadra, raz týždenne skontroluj pluginy a pred väčšou aktualizáciou urob zálohu. Na produkcii najprv testuj na staging – viac v WordPress staging.

3. Predvolený používateľ „admin“

Boti skúšajú prihlásenie ako užívateľ admin. Vytvor nového administrátora s iným loginom a účet admin zmaž alebo zmeň rolu.

4. XML-RPC a REST API bez obmedzenia

XML-RPC sa zneužíva na brute-force útoky. Ak nepoužívaš vzdialenú aplikáciu na publikovanie, vypni ho (plugin Disable XML-RPC alebo firewall). Obmedz aj počet pokusov o prihlásenie.

5. Žiadne zálohy alebo zálohy len na hostingu

Hosting môže zlyhať, útočník môže zmazať súbory aj databázu. Automatické zálohy na externý disk (Google Drive, Dropbox) sú must-have. Over obnovu aspoň raz ročne – záloha, ktorú nevieš obnoviť, neexistuje.

6. Príliš veľa pluginov od neznámych autorov

Sťahuj len z oficiálneho repozitára alebo overených zdrojov. Pred inštaláciou skontroluj dátum poslednej aktualizácie, počet inštalácií a recenzie. Nepoužívané pluginy vymaž, nevypínaj ich roky.

7. Chýbajúci SSL a vynútené HTTPS

Bez HTTPS sú prihlasovacie údaje a cookies odosielané otvorene. Nastav Let’s Encrypt certifikát a v WordPress prepni URL na https – návod v SSL na WordPress.

8. Súbor wp-config.php a .htaccess s chybnými právami

Práva 644 pre súbory a 755 pre priečinky sú štandard. Nikdy nedávaj 777. Skryť wp-config mimo public_html, ak to hosting umožňuje.

9. Žiadna ochrana formulárov a komentárov

Spam a boti zaťažujú server. Použij reCAPTCHA, hCaptcha, Turnstile alebo Antispam Bee – porovnanie v Google reCAPTCHA vs Akismet.

10. Zdieľané FTP a admin prístupy

Každý, kto mal kedykoľvek FTP heslo, je riziko. Men heslá po odchode spolupracovníka. Pre administráciu používaj samostatný účet, nie zdieľaný „info@“. Obmedzenie prístupu podľa IP popisujeme v povolenie prístupu podľa IP.

11. Žiadny firewall ani skenovanie

Pluginy Wordfence, Solid Security alebo firewall na úrovni hostingu blokujú podozrivé požiadavky. Zapni aspoň základné pravidlá a e-mailové upozornenia na zmeny v jadre.

12. Ignorovanie logov a upozornení

Ak hosting pošle e-mail o podozrivom traffici, nereaguj „neskôr“. Skontroluj prístupové logy, neznáme admin účty a súbory v uploads (PHP by tam nemalo byť).

Bezpečnostný checklist na týždeň

• Aktualizovať pluginy a jadro (po zálohe).
• Skontrolovať používateľov s rolou Administrátor.
• Overiť, že záloha prebehla a je na externom úložisku.
• Prejsť bezpečnostný report z Wordfence / hostingu.

Reálne scenáre útokov na WordPress

Brute-force na wp-login.php – bot skúša tisíce hesiel denne. Riešenie: limit pokusov, 2FA, skryť login URL pluginom. Zneužitie zraniteľnosti v starom plugine – útočník nahrá webshell do uploads. Riešenie: aktualizácie, sken súborov. SQL injection cez zastaralý formulár – sanitizácia a prepared statements. Phishing na editora – edukácia, 2FA.

Odporúčaný bezpečnostný stack pre blog

• Rank Math alebo SEO plugin (nie bezpečnostný, ale štandard).
• Wordfence alebo Solid Security – firewall + scan.
• UpdraftPlus – zálohy off-site.
• Really Simple SSL – HTTPS.
• Antispam na formulároch – reCAPTCHA vs Akismet.

Reakcia na napadnutie – postup

1. Web okamžite do maintenance alebo offline.
2. Obnov čistú zálohu pred infekciou (over dátum).
3. Zmeň všetky heslá: WP, FTP, DB, hosting panel.
4. Prejdi používateľov – zmaž neznáme admin účty.
5. Aktualizuj všetko, skontroluj Google Safe Browsing.

WordPress bezpečnosť pre blog s AdSense a vysokou návštevnosťou

Blog s desiatkami tisíc zobrazení mesačne je atraktívnejší cieľ – útočník môže vložiť skryté redirecty, spam linky alebo kryptominer. Pravidelne skenuj súbory cez Wordfence a sleduj náhle poklesy trafficu v Search Console (môže signalizovať manual action alebo hack). Po každej väčšej aktualizácii pluginu over homepage a wp-admin v anonymnom okne.

Obmedz počet používateľov s rolou Editor a Administrator. Pre publikovanie článkov stačí Editor, pre nastavenia len ty. Každý spolupracovník = ďalší vektor útoku cez phishing „reset hesla“.

Hardening wp-config – odporúčané konštanty

• define('DISALLOW_FILE_EDIT', true); – vypne editor súborov v admin.
• define('WP_POST_REVISIONS', 5); – menej revízií v DB.
• define('FORCE_SSL_ADMIN', true); – admin len cez HTTPS.

Bezpečnostná politika pre tím (šablóna)

Ak máš viac autorov alebo klientov s prístupom do WordPress, napíš jednoduchú politiku: kto smie inštalovať pluginy, ako často meníme heslá, kde ukladáme zálohy. Jedna strana A4 stačí – hlavne aby každý vedel, že sa nemá prihlasovať z verejného WiFi bez VPN pri admin úlohách.

WordPress bezpečnosť vs rýchlosť

Niektoré bezpečnostné pluginy pridávajú latenciu. Wordfence scan na pozadí môže spomaliť admin. Firewall pravidlá na úrovni hostingu (BBQ Pro, Cloudflare WAF) sú efektívnejšie než ťažký plugin na každom requeste. Rieš rovnováhu – viac v zrýchlení WordPress.

E-shop a WooCommerce – extra opatrenia

WooCommerce ukladá osobné údaje zákazníkov – GDPR, šifrovanie, pravidelné zálohy. Platobné brány nikdy netestuj na produkcii s reálnymi kartami bez test režimu. Obmedz API prístupy a používaj oddelené FTP účty pre vývojára vs prevádzkovateľa.

Je WordPress bezpečný v roku 2026?

Áno, ak je aktualizovaný a správne nakonfigurovaný. Väčšina incidentov je ľudská chyba (slabé heslo, starý plugin), nie diera v jadre.

Koľko stojí zabezpečenie WordPress?

Základ zadarmo (2FA, updaty, zálohy). Premium pluginy 50–100 €/rok. Managed WordPress hosting s monitoringom od ~15 €/mesiac.

Mám skrýť wp-admin pod inú URL?

Môže znížiť noise v logoch, ale nie je to náhrada za 2FA a silné heslo. Boti nájdu aj skrytú cestu.

? Súvisiace návody na Areaweb (WordPress hub)

• Ako zrýchliť WordPress – cache, obrázky, Core Web Vitals
• WordPress bezpečnosť – 12 najčastejších chýb
• WooCommerce návod – e-shop od nuly
• Optimalizácia WordPress webu – prehľad princípov
• Rank Math SEO – titulky, sitemap, schema
• Core Web Vitals – LCP, INP, CLS

Bezpečnostný audit – postup krok za krokom

Raz mesačne si nastav pripomienku na 30-minútový audit: (1) Skontroluj používateľov s rolou Admin – nepoznáš niekoho? (2) Aktualizuj pluginy po zálohe. (3) Prejdi Wordfence/Solid Security report. (4) Over, že záloha na Google Drive prebehla. (5) Skontroluj Search Console – Security Issues.

Incident response – čo robiť pri napadnutí

1. Web do maintenance módu – návštevníci nevidia malware
2. Zmeň všetky heslá (WP, FTP, DB, hosting)
3. Obnov zálohu spred infekcie
4. Skontroluj súbory v uploads – PHP tam nepatrí
5. Po obnove aktualizuj všetko a zapni 2FA

WordPress bezpečnosť pre agentúry a klientov

Ak spravuješ weby pre klientov, každý projekt = samostatné FTP, admin účet a zálohy. Zdieľaný prístup „admin@agentura.sk“ je bezpečnostná nočná mora. Po odovzdaní projektu zmeň heslá a odstráň dočasné účty.

Dokumentuj klientovi: kde sú zálohy, ako aktualizovať, koho volať pri hacku. Jedna strana runbooku ušetrí hodiny paniky.