← Zpět na blog |

WordPress bezpečnostní audit: Na co se zaměřit v roce 2026

Každý třetí WordPress web je alespoň jednou ročně napaden. Zjistěte, co by měl obsahovat kvalitní bezpečnostní audit a stáhněte si náš checklist.

WordPress bezpečnostní audit: Na co se zaměřit v roce 2026

WordPress pohání přes 40 % všech webů na světě — a právě proto je nejoblíbenějším cílem útočníků. Rok 2026 přináší sofistikovanější útoky než kdy dříve.

Podle statistik je každý třetí WordPress web alespoň jednou ročně napaden. Rozdíl mezi webem, který přežije, a tím, který ne, bývá právě včasný audit.

„Prevence stojí zlomek toho, co stojí náprava."

Co by měl obsahovat komplexní bezpečnostní audit?

1. Analýza WordPress jádra a aktualizací

  • Je nainstalovaná aktuální verze WordPressu?
  • Jsou všechny pluginy a šablony aktualizované?
  • Neobsahují žádný plugin s známou zranitelností?
  • Doporučení: plugin Health Check & Troubleshooting pro základní diagnostiku

2. Analýza uživatelských účtů

  • Mají všichni uživatelé silná hesla?
  • Je zapnuté dvoufaktorové ověřování (2FA)?
  • Mají uživatelé jen ta práva, která skutečně potřebují?
  • Existuje účet s uživatelským jménem admin? (měl by být přejmenován nebo smazán)

3. Bezpečnostní pluginy a firewall

  • Je nainstalované bezpečnostní řešení (Wordfence, Sucuri, nebo iThemes Security)?
  • Je firewall správně nakonfigurovaný?
  • Je aktivní ochrana proti brute-force útokům?

4. Konfigurace serveru a HTTPS

  • Je SSL certifikát platný a správně nastavený?
  • Je aktivní HSTS (HTTP Strict Transport Security)?
  • Jsou správně nastavená souborová práva (permissions)?
  • Je wp-config.php chráněný před přímým přístupem?

5. Monitoring a zálohy

  • Probíhají automatické denní zálohy ukládané mimo server?
  • Je nastavený monitoring podezřelé aktivity?
  • Jsou zapnuté alerty při detekci malwaru?
  • Existuje plán obnovy pro případ incidentu?

Checklist: Zkontrolujte si web sami

  • Aktuální verze WordPress (6.7+)
  • Všechny pluginy a šablony aktualizované
  • Žádný plugin s unikátním uživatelským jménem „admin"
  • Aktivní bezpečnostní plugin s firewallem
  • Platný SSL certifikát a HTTPS na celém webu
  • 2FA pro všechny administrátory
  • Pravidelné zálohy (denně, uložené mimo server)
  • Přihlašovací URL změněná z výchozího /wp-admin
  • Zakázaná editace souborů z administrace (define DISALLOW_FILE_EDIT)

Co když najdete problémy?

Máte dvě možnosti:

  1. Řešit samostatně — vyžaduje technické znalosti a čas
  2. Objednat profesionální audit — WP Záchranka provede hloubkovou revizi a dodá konkrétní doporučení i jejich implementaci

Závěr

Bezpečnostní audit není jednorázová záležitost. Doporučujeme ho provádět alespoň dvakrát ročně — ideálně před a po hlavní sezóně vašeho webu.

Nečekejte, až vás hacknou. Prevence je vždy levnější než léčba.

Potřebujete profesionální audit? Kontaktujte WP Záchranku — provedeme kompletní bezpečnostní revizi vašeho webu a navrhneme konkrétní kroky.

Mohlo by vás zajímat