Zabezpečení WordPressu – kompletní návod na ochranu webu

Proč je zabezpečení WordPressu v roce 2026 klíčové?

WordPress pohání přes 43 % všech webů na internetu, což z něj činí hlavní cíl hackerů. V roce 2025 bylo zaznamenáno přes 90 000 útoků denně proti webům na WordPressu. Napadený web může vést ke ztrátě dat, zničené reputaci, poklesu pozic v SEO a dokonce i k právním následkům, pokud unikají data uživatelů. V tomto návodu probereme všechny aspekty zabezpečení WordPressu — od základních opatření po pokročilé techniky ochrany.

1. Pravidelně aktualizujte WordPress, motivy a pluginy

Většina napadení WordPressu se odehrává přes známé zranitelnosti v zastaralých verzích. Tým jádra WordPressu pravidelně vydává bezpečnostní opravy, ale ty nepomohou, pokud je nepoužijete. Zapněte automatické aktualizace pro menší vydání přidáním define('WP_AUTO_UPDATE_CORE', 'minor') do wp-config.php. Pro motivy a pluginy použijte automatický updater Softaculous dostupný v cPanelu BeoHostingu. Před každou větší aktualizací proveďte kompletní zálohu webu.

2. Používejte silná hesla a dvoufaktorové ověřování

Brute force útoky jsou nejčastějším typem útoku na WordPress. Hackeři používají automatizované nástroje, které testují tisíce kombinací uživatelských jmen a hesel. Používejte hesla o délce alespoň 16 znaků s kombinací velkých a malých písmen, číslic a speciálních znaků. Nainstalujte plugin pro dvoufaktorové ověřování, který kromě hesla vyžaduje kód z vašeho telefonu. Nikdy nepoužívejte „admin“ jako uživatelské jméno.

3. Vyberte si hosting s ochranou Imunify360

Imunify360 je bezpečnostní systém řízený umělou inteligencí, který v reálném čase chrání před malwarem, brute force útoky, SQL injection a XSS útoky. Na rozdíl od bezpečnostních pluginů pro WordPress, které pracují na úrovni PHP, Imunify360 pracuje na úrovni serveru, což ho činí mnohem efektivnějším. BeoHosting zahrnuje Imunify360 zdarma ve všech hostingových tarifech. Imunify360 automaticky skenuje soubory, blokuje podezřelé IP adresy a čistí infikované soubory.

4. Nastavte bezpečnostní možnosti wp-config.php

wp-config.php je nejdůležitější konfigurační soubor vašeho webu na WordPressu. Přidejte následující bezpečnostní možnosti: DISALLOW_FILE_EDIT pro vypnutí editace souborů z administrace WordPressu, FORCE_SSL_ADMIN pro HTTPS v administraci, unikátní SALT klíče generované z API WordPressu a limit revizí příspěvků pro zmenšení velikosti databáze. wp-config.php také přesuňte o jeden adresář nad kořen WordPressu pro dodatečnou ochranu.

5. Zaveďte firewall na úrovni aplikace

Web Application Firewall filtruje škodlivé požadavky dříve, než dosáhnou vašeho webu na WordPressu. Wordfence a Sucuri jsou nejpopulárnější WAF pluginy pro WordPress. Serverový firewall jako ModSecurity na serveru LiteSpeed je však efektivnější, protože pracuje na nižší úrovni. Servery BeoHostingu mají nakonfigurovaná pravidla ModSecurity specifická pro WordPress, která automaticky blokují známé útoky.

6. Chraňte přihlašovací stránku

Přihlašovací stránka WordPressu je na standardní cestě /wp-admin a /wp-login.php, kterou hackeři znají a cílí na ni. Ochranná opatření: omezte počet pokusů o přihlášení na 3–5, přidejte CAPTCHA do přihlašovacího formuláře, změňte URL přihlášení pomocí pluginu jako WPS Hide Login a blokujte IP s více neúspěšnými pokusy. Imunify360 na BeoHostingu automaticky blokuje brute force útoky na přihlašovací stránku.

7. Používejte SSL certifikát a HTTPS

SSL certifikát šifruje komunikaci mezi vaším webem a návštěvníky a chrání hesla, osobní údaje i platební informace. Google bere HTTPS jako faktor hodnocení a prohlížeče zobrazují u webů bez SSL varování. BeoHosting nabízí bezplatný automaticky generovaný šifrovací certifikát, který se automaticky generuje a obnovuje pro všechny domény na vašem hostingovém účtu. Po zapnutí SSL nastavte WordPress, aby používal HTTPS pro všechny URL.

8. Pravidelné zálohy jsou vaše poslední linie obrany

I se všemi zavedenými bezpečnostními opatřeními neexistuje 100% záruka, že váš web nebude napaden. Pravidelné zálohy zajišťují, že web během několika minut obnovíte do funkčního stavu. BeoHosting používá JetBackup pro automatické zálohy s možností obnovy jednotlivých souborů, databází nebo e-mailových schránek. Doporučujeme uchovávat zálohy alespoň na dvou různých místech.

9. Vypněte nepotřebné funkce

WordPress přichází s několika funkcemi, které většina webů nepoužívá a které mohou být bezpečnostním rizikem. Vypněte XML-RPC pomocí pluginu Disable XML-RPC, protože se zneužívá k brute force útokům. Omezte přístup k REST API pouze na ověřené uživatele. Vypněte výpis adresářů pomocí Options -Indexes v souboru .htaccess. Odstraňte ze zdrojového kódu verzi WordPressu, aby hackeři nevěděli, kterou verzi používáte.

10. Monitoring a rychlá reakce

Zabezpečení je nepřetržitý proces. Nastavte si monitoring, který vás upozorní na každou změnu souboru na serveru, neúspěšné pokusy o přihlášení a podezřelou aktivitu. Plugin Wordfence nabízí bezplatný monitoring s e-mailovými upozorněními. Sledujte také Google Search Console kvůli malwaru a bezpečnostním varováním. Pokud zjistíte napadený web, reagujte okamžitě — změňte všechna hesla, naskenujte a vyčistěte soubory a v případě potřeby obnovte ze zálohy.

Závěr

Zabezpečení WordPressu vyžaduje vícevrstvý přístup — od pravidelných aktualizací a silných hesel přes serverovou ochranu s Imunify360 až po pravidelné zálohy. Kombinace kvalitního hostingu s vestavěnou ochranou, pravidelných aktualizací a základních bezpečnostních postupů výrazně snižuje riziko napadení. BeoHosting zahrnuje Imunify360, AutoSSL, JetBackup a ModSecurity na všech WordPress hosting tarifech, čímž poskytuje solidní bezpečnostní základ pro váš web na WordPressu.