Ataki brute force na WordPress polegają na masowych próbach logowania z listą popularnych haseł. W 2026 roku boty potrafią wykonać tysiące prób na minutę. Oto konfiguracja krok po kroku, która skutecznie chroni wp-admin.

Krok 1: Limit Login Attempts

Zainstaluj Limit Login Attempts Reloaded lub Wordfence. Ustaw np. 4 nieudane próby = blokada na 20 minut. Opcja „lockout after X minutes” powinna być rozsądna – zbyt krótka irytuje użytkowników, zbyt długa nie chroni.

Krok 2: Blokada IP i geoblocking

Wordfence i Sucuri pozwalają blokować kraje, z których nie spodziewasz się ruchu (np. administracja tylko z Polski). Opcjonalnie – blokuj znane sieci TOR i adresy proxy używane przez boty.

Plugin WPS Hide Login zmienia /wp-admin i /wp-login.php na np. /moj-tajny-login. Boty domyślnie celują w standardowy adres – po zmianie większość ataków mija cel.

Krok 4: Wymuszenie 2FA

Nawet przy wycieku hasła – bez kodu z aplikacji TOTP atakujący nie wejdzie. Two-Factor lub Google Authenticator dla wszystkich kont z uprawnieniami administracyjnymi.

Zobacz pełną checklistę: Jak zabezpieczyć WordPress w 2026

Krok 1: Limit Login Attempts

Krok 2: Blokada IP i geoblocking

Krok 3: Zmiana URL logowania

Krok 4: Wymuszenie 2FA