Jak skutečně zabezpečit WordPress— bez zbytečných pluginů
Bezpečnost WordPressu je téma, kolem kterého panuje hodně mýtů. Většina návodů skončí doporučením „nainstaluj Wordfence“ a jde dál. Jenže v roce 2026 je situace složitější — a zároveň jednodušší, než si myslíte.
- Bezpečnostní plugin sám o sobě nestačí — Wordfence a podobné pluginy fungují až uvnitř WordPressu, takže útok dorazí na server dřív, než ho plugin vůbec uvidí.
- Moderní hostingy jako Hostinger nebo WebGlobe chrání váš web na serverové úrovni ještě před WordPressem — a to mění to, co musíte řešit pluginem.
- Cloudflare a WEDOS Global Protection jsou zdarma a filtrují škodlivý provoz ještě před vaším serverem — to je architektonicky správnější přístup než jakýkoliv plugin.
- Největší bezpečnostní riziko nejsou chybějící pluginy, ale zastaralé pluginy, slabá hesla a chybějící dvoufaktorové ověření.
Proč Wordfence nestačí (a v čem je problém)
Wordfence je nainstalovaný na více než 5 milionech WordPress webů. Je to nejrozšířenější bezpečnostní plugin vůbec — a právě proto stojí za to se ptát, jestli je skutečně nejlepší volba.
Wordfence je plugin — běží uvnitř WordPressu jako PHP kód. To znamená, že než ho vůbec spustíte, škodlivý požadavek už dorazil na váš server, PHP se načetlo a WordPress se rozjel. Teprve pak Wordfence koukne, jestli je něco podezřelého. Bohužel v tomto případě už je pozdě na záchranu. Můžete zkusit obnovit zálohu, ale většinou dojde na vyčištění a odvirování WordPress.
Srovnejte to s firewallem na úrovni serveru nebo sítě, který útok zastaví ještě předtím, než se vůbec dotkne vašeho webu. To je zásadní rozdíl.
„Když Wordfence zjistí útok, WordPress už ho zpracovává.“
Navíc bezplatná verze dostává nová bezpečnostní pravidla o 30 dní později než prémiová. Problém je, že většina útoků na konkrétní zranitelnost proběhne právě v prvních dnech po jejím odhalení — takže free verze vás ve správný čas neochrání.
Wordfence skenuje soubory na serveru a porovnává je se svou databází malwaru. Zní to dobře. Ale bezpečnostní výzkumník Calvin Alkan (výsledky potvrdil i Patchstack) ukázal zásadní slabinu: malware běžící ve stejném PHP procesu může manipulovat samotný skener.
Konkrétní data: 14 % malwaru aktivně modifikuje soubory Wordfence, aby se vyhnulo detekci. Jinými slovy — pokud je web napadený, Wordfence to nemusí odhalit.
SolidWP (dříve iThemes Security) toto označil jako „security theater“ — bezpečnostní divadlo, které dává majiteli webu pocit bezpečí, aniž by skutečně chránil.
A pak je tu výkon. Wordfence loguje každého návštěvníka v reálném čase, pravidelně skenuje všechny soubory a hromadí logy v databázi. Nezávislé testy ukazují nárůst response time v řádu desítek procent. Na sdíleném hostingu to bolí.
Co dělají moderní hostingy za vás
Tohle je změna, o které se moc nemluví. Před deseti lety hostingy nedělaly v oblasti bezpečnosti skoro nic. Dnes je situace jiná — a to mění rovnici pro bezpečnostní pluginy. Je potřeba mít nejlepší hosting.
Hostinger má v ceně hostingu serverový WAF, Monarx malware scanner s automatickým čištěním a skenování zranitelností WordPress pluginů. Tohle všechno běží na úrovni serveru — před PHP, před WordPressem, ještě než se váš web vůbec spustí.
WebGlobe (dříve ONEbit, IGNUM a další) má v ceně BitNinja — serverový bezpečnostní systém, který používají tisíce hostingů po světě. BitNinja blokuje škodlivé IP adresy na základě reputace, chrání před brute force útoky a detekuje malware na serverové úrovni. Plus týdenní automatické malware skeny.
VEDOS (dříve WEDOS) nabízí jako doplněk ke svému hostingu službu WEDOS Protection — a základní tarif START (1 euro/měsíčně). Pro WordPress je dostupná přes bezplatný plugin přímo z administrace. Tarif začíná na nějakých cca 25 Kč měsíčně. WEDOS Protection funguje jako edge WAF a CDN — filtruje provoz ještě před vaším serverem, přes síť více než 60 datových center. V roce 2025 získala certifikaci jako kvalifikovaný DDoS ochranný poskytovatel podle německého BSI.
Cloudflare: nejlepší bezplatná ochrana
Cloudflare používá přes 20 % všech webů na světě. Bezplatný plán pro WordPress weby nabízí reverse proxy (provoz prochází přes Cloudflare ještě před vaším hostingem), automatickou DDoS ochranu, základní WAF s pravidly pro běžné útoky, 5 vlastních firewall pravidel, SSL zdarma a CDN, které web zároveň zrychluje.
Cloudflare vidí útok dříve, než se dotkne vašeho serveru. To je architektonicky správný přístup — na rozdíl od pluginu, který útok zpracovává až uvnitř WordPressu.
Má ale limity. Generický WAF nezná specifika WordPressu — neví, jaké pluginy máte, nesleduje WordPress-specifické vzory útoků. Proto není univerzálním řešením na všechno a ideálně ho kombinujete s dalšími vrstvami.
Cloudflare vs. VEDOS Protection
Obě služby pracují na podobném principu (edge WAF + CDN), ale liší se v detailech:
| Vlastnost | Cloudflare Free | VEDOS Protection |
| Cena | Zdarma | Placená služba |
| Jazyk administrace | Anglicky | Česky |
| Počet PoP / DC | 300+ | 60+ |
| WAF pravidla | Základní (free) | Komplexní |
| CDN | Ano | Ano |
| DDoS ochrana | Automatická | Certifikovaná (BSI) |
| Složitost nastavení | Střední | Nízká |
| WordPress-specifická pravidla | Placený plán | Zahrnutá |
Ochrana přihlašování: největší nejlepší poměr cena/výkon
Analýzy ukazují, že ukradené přihlašovací údaje a slabá hesla stojí za více než 60 % úspěšných napadení WordPress webů. Tady pomáhají jednoduchá a nenáročná řešení.
WPS Hide Login přesune přihlašovací stránku z výchozí adresy /wp-admin/ na cokoliv, co si zvolíte. Naprostá většina automatizovaných botů zkouší standardní adresy — pokud tam stránka není, odejdou. Zdarma, přes 1 milion instalací.
Limit Login Attempts Reloaded zavírá základní slabinu WordPressu: WordPress ve výchozím stavu povoluje neomezený počet pokusů o přihlášení. Tento plugin po nastaveném počtu neúspěšných pokusů IP adresu zablokuje. Funguje i pro XMLRPC a WooCommerce přihlášení a správně pracuje s Cloudflare. Zdarma, přes 2 miliony instalací. Jednodušší alternativou je WPS Limit Login od stejných autorů jako WPS Hide Login.
Dvoufaktorová autentifikace je pravděpodobně nejúčinnější technické opatření, které můžete nasadit. I kdyby útočník získal heslo, bez druhého faktoru se nepřihlásí. Dobrý bezplatný plugin je WP 2FA od Melapress.
Co má největší dopad — seřazeno podle priority
Bezpečnostní plugin řeší jen část problému. Tady je co skutečně rozhoduje:
- Aktualizace jsou na prvním místě. 39 % napadených webů v analýzách Sucuri běželo na zastaralém softwaru. Zapněte automatické aktualizace, pravidelně aktualizujte pluginy a mažte ty, které nepoužíváte — každý zbytečný plugin je potenciální útočná plocha.
- Silné heslo a 2FA eliminují drtivou většinu brute force útoků. Je to levné a rychlé.
- Kvalitní hosting s vlastní serverovou ochranou pokryje celou vrstvu hrozeb ještě před WordPressem — viz Hostinger a WebGlobe výše.
- Cloudflare nebo WEDOS Global Protection přidá edge filtrování zdarma.
- WPS Hide Login plus Limit Login Attempts plus 2FA zajistí přihlašovací stránku. Celý stack je zdarma a nenáročný na výkon.
- Zálohy mimo server jsou pojistka na všechno ostatní. Zálohy na stejném serveru nestačí — pokud je server kompromitovaný, jsou k ničemu. UpdraftPlus zdarma umožní zálohovat na Google Drive nebo Dropbox.
Jakou roli Wordfence v tom všem má
Wordfence není špatný plugin — je za ním dobrý tým a poctivá práce. Ale není to výchozí odpověď na otázku „jak zabezpečit WordPress“.
Pokud máte hosting s vlastní serverovou ochranou (Hostinger, WebGlobe) a k tomu Cloudflare, Wordfence přidává výkonnostní zátěž za ochranu, kterou z velké části už máte na lepší architektonické úrovni.
Dává smysl tam, kde hosting nemá vlastní serverovou ochranu, nebo pokud chcete mít vše v jednom pluginu a platíte prémium na silném hostingu.
Takže — odinstalovat Wordfence?
Wordfence nedává moc smysl, pokud máte hosting s vlastní serverovou ochranou (Hostinger, WebGlobe) a k tomu Cloudflare. Přidáváte výkonnostní zátěž za ochranu, kterou z velké části už máte — jen na lepší architektonické úrovni.
Wordfence stále dává smysl, pokud máte hosting bez vlastní serverové ochrany a chcete mít vše v jednom pluginu. Nebo pokud platíte prémium a máte silný hosting — pak je to legitimní volba.
Pro většinu WordPress webů doporučuji přístup ve vrstvách místo jednoho těžkého pluginu:
- Cloudflare free (nebo WEDOS Global Protection START — obojí zdarma)
- Hosting s serverovou ochranou (Hostinger, WebGlobe)
- WPS Hide Login + Limit Login Attempts Reloaded + WP 2FA
- Pravidelné aktualizace + odstraňování nepoužívaných pluginů
- Zálohy offsite (UpdraftPlus zdarma)
Výsledek je srovnatelná nebo lepší ochrana bez výkonnostní daně.
Praktické doporučení pro většinu WordPress webů
Místo jednoho těžkého all-in-one pluginu doporučuji přístup ve vrstvách: Cloudflare free nebo WEDOS Global Protection START jako edge ochrana, hosting s serverovým firewallem (Hostinger nebo WebGlobe), WPS Hide Login plus Limit Login Attempts Reloaded plus WP 2FA pro přihlašování, pravidelné aktualizace a mazání nepoužívaných pluginů a UpdraftPlus pro zálohy na externí úložiště.
Výsledek je srovnatelná nebo lepší ochrana než se samotným Wordfence — bez výkonnostní daně a většinou bez jediné koruny navíc.
Wordfence není špatný plugin. Je to nejkomplexnější bezpečnostní plugin pro WordPress dostupný zdarma a tým za ním odvádí dobrou práci. Ale v roce 2026 ho doporučit jako výchozí volbu pro každý web — to už nejde.
Architektonická nevýhoda (endpoint firewall), výkonnostní overhead, 30denní zpoždění ve free verzi a zásadní zlepšení serverové ochrany u moderních hostingů změnily rovnici.
Pro weby na Hostingeru, WebGlobe nebo podobných hostinzích s vlastní serverovou ochranou kombinace Cloudflare free + WPS Hide Login + Limit Login Attempts Reloaded + 2FA + pravidelné aktualizace poskytuje srovnatelnou nebo lepší ochranu — bez výkonnostní daně.
Wordfence zůstává relevantní pro weby na hostingu bez vlastní ochrany nebo pro ty, kdo chtějí mít vše v jednom místě a jsou ochotni zaplatit za prémiovou verzi. Pro ostatní je lepší přístup ve vrstvách.
