Jak ograniczyć liczbę prób logowania w WordPress

  1. Strona główna
  2. Baza wiedzy
  3. Wszystko o Wordpress
  4. Jak ograniczyć liczbę prób logowania w WordPress

Jak ograniczyć liczbę prób logowania w WordPress

Zatrzymaj ataki brute force — skonfiguruj blokadę prób logowania i chroń panel administracyjny WordPress przed automatycznymi botami.

2 marca 2026 · WordPress · 8 min czytania

Spis treści

  1. Czym są ataki brute force na WordPress
  2. Jak działa ochrona przed brute force
  3. Jak skonfigurować Limit Login Attempts Reloaded
  4. Jak skonfigurować blokadę w Wordfence
  5. Często zadawane pytania

Czym są ataki brute force na WordPress

Bezpieczeństwo WordPress jest permanentnie testowane przez ataki brute force — to jedne z najczęstszych i najbardziej destrukcyjnych zagrożeń dla stron opartych o WordPress. Atak brute force polega na automatycznym, masowym próbowaniu tysięcy kombinacji loginów i haseł przez specjalistyczne boty, które bez przerwy szturmują stronę logowania (wp-login.php lub wp-admin) w poszukiwaniu właściwej kombinacji dostępowej.

Dlaczego te ataki są tak powszechne? Ponieważ WordPress domyślnie nie ogranicza liczby prób logowania — możesz wpisać błędne hasło 1000 razy i za każdym razem WordPress po prostu wyświetli informację o błędzie i poprosi o ponowną próbę. Boty wykorzystują tę lukę do systematycznego przeszukiwania słowników haseł i popularnych kombinacji. Ataki słownikowe (dictionary attacks) są szczególnie skuteczne — testują najpierw najczęściej używane hasła: "password", "123456", "admin", "wordpress", nazwy domen i daty urodzenia. Jeśli używasz prostego, przewidywalnego hasła, bot może je odgadnąć w ciągu minut lub godzin.

Ataki brute force mają też dodatkowy negatywny efekt uboczny: setki lub tysiące jednoczesnych żądań logowania obciążają serwer i spowalniają stronę dla zwykłych użytkowników. Na hostingu WordPress w smartxhosting.pl firewalle serwerowe blokują część agresywnych ataków, ale ochrona na poziomie WordPress jest koniecznym uzupełnieniem, bo część ruchu atakującego może wyglądać jak normalny ruch użytkowników.

Jak działa ochrona przed brute force

Ochrona przed atakami brute force w WordPress opiera się na prostej zasadzie: po określonej liczbie nieudanych prób logowania z danego adresu IP, dostęp do strony logowania jest czasowo lub permanentnie blokowany dla tego adresu. Mechanizm ten drastycznie zmniejsza skuteczność ataków automatycznych — bot, który może wypróbować tylko 3 kombinacje co 15 minut, potrzebowałby setek lat na przeszukanie typowego słownika haseł.

Nowoczesne wtyczki ochrony przed brute force działają na kilku poziomach jednocześnie: blokada adresu IP po przekroczeniu limitu nieudanych prób, progresywne opóźnienia (każda kolejna nieudana próba zwiększa czas oczekiwania), blokada nazwy użytkownika (jeśli ktoś próbuje zalogować się na konto "admin" — które zazwyczaj nie istnieje — IP jest blokowane automatycznie), CAPTCHA jako dodatkowe wyzwanie dla podejrzanych żądań oraz powiadomienia e-mail o wykrytych atakach.

Warto też wiedzieć, że nowoczesne ataki brute force są często "rozproszone" — zamiast tysięcy prób z jednego adresu IP, bot używa sieci setek adresów IP, wykonując tylko 1-2 próby z każdego. Takie ataki są trudniejsze do wykrycia i zablokowania przez proste metody oparte wyłącznie na limicie IP. Dlatego ochrona przed brute force powinna być uzupełniana przez inne warstwy zabezpieczeń: 2FA, silne hasła i zmianę adresu wp-admin.

Jak skonfigurować Limit Login Attempts Reloaded

Zainstaluj i aktywuj wtyczkę

Zaloguj się do panelu WordPress. Przejdź do Wtyczki → Dodaj nową i wyszukaj "Limit Login Attempts Reloaded". Zainstaluj i aktywuj wtyczkę wydaną przez "Limit Login Attempts Reloaded" (ponad 2,5 miliona aktywnych instalacji). To jedna z najprostszych i najbardziej skutecznych wtyczek do ochrony przed brute force — lekka, bez zbędnych funkcji, robi dokładnie to, do czego jest przeznaczona. Po aktywacji przejdź do Ustawienia → Limit Login Attempts.

Skonfiguruj podstawowe ustawienia blokady

Na stronie ustawień wtyczki znajdziesz sekcję "App Settings". Ustaw następujące wartości: "Allowed Retries" (dozwolone próby) — ustaw 3 lub 4. "Lockout" (czas blokady) — ustaw 20 minut. "Max Retries" (maksymalna liczba prób przed dłuższą blokadą) — ustaw 3. "Long Lockout" (długa blokada po wielokrotnych atakach) — ustaw 24 godziny. Te ustawienia oznaczają: po 3 błędnych próbach blokada na 20 minut; jeśli po odblokowaniu atakujący powtórzy atak 3 razy, blokada na 24 godziny.

Skonfiguruj powiadomienia i opcje GDPR

W sekcji "Notify on Lockout" włącz opcję powiadamiania e-mail: "Email to admin after" — ustaw 3 blokady. Oznacza to, że dostaniesz e-mail, gdy z jednego IP nastąpią 3 blokady — sygnał aktywnego ataku. Włącz też opcję "GDPR compliance" jeśli masz europejskich użytkowników — wtyczka nie będzie wtedy zapisywać pełnych adresów IP. Kliknij "Save Settings". Możesz też przejrzeć sekcję "Logs" (Dzienniki) aby zobaczyć historię blokad i aktywnych ataków — to cenne narzędzie diagnostyczne.

Jak skonfigurować blokadę w Wordfence

Jeśli używasz Wordfence Security, masz wbudowaną, zaawansowaną ochronę przed atakami brute force — nie musisz instalować osobnej wtyczki Limit Login Attempts Reloaded. Ochrona Wordfence przed brute force jest bardziej zaawansowana i integruje się z firewallem aplikacyjnym, co daje lepsze wyniki.

Przejdź do ustawień bezpieczeństwa logowania Wordfence

W panelu WordPress kliknij "Wordfence" w menu bocznym, a następnie wybierz "All Options". W górnym menu sekcji kliknij "Brute Force Protection". Zobaczysz dedykowaną sekcję ustawień ochrony przed atakami brute force. Upewnij się, że opcja "Enable brute force protection" jest zaznaczona (powinna być domyślnie włączona po instalacji).

Dostosuj parametry blokady

Skonfiguruj ustawienia blokady: "Lock out after how many login failures" (blokada po ilu błędnych próbach) — ustaw 5. "Lock out after how many forgot password attempts" (blokada po ilu próbach resetowania hasła) — ustaw 3. "Count failures over what time period" (zliczaj błędy w jakim czasie) — ustaw 4 godziny. "Amount of time a user is locked out" (czas blokady użytkownika) — ustaw 4 godziny. Włącz też opcję "Immediately lock out invalid usernames" — blokuje od razu każdego, kto próbuje zalogować się na nieistniejące konto (np. "admin").

Włącz weryfikację silnych haseł i Prevent data breaches

W tej samej sekcji znajdź opcję "Prevent the use of passwords leaked in data breaches" i włącz ją. Wordfence będzie sprawdzał hasła użytkowników przez bazę danych Have I Been Pwned — jeśli hasło pojawiło się w wycieku danych, użytkownik zostanie poproszony o zmianę hasła przy następnym logowaniu. Włącz też "Enforce strong passwords" dla kont Administrator, Editor i Author — WordPress będzie wymagał haseł spełniających kryteria bezpieczeństwa. Kliknij "Save Changes" na dole strony.

Ważne: Wordfence prowadzi szczegółowe logi wszystkich prób logowania i blokad. Regularnie przeglądaj sekcję Wordfence → Tools → Live Traffic, filtrując widok do "Blocked Attacks" — pozwala to ocenić skalę ataków na Twoją stronę i w razie potrzeby zaostrzyć ustawienia ochrony przed brute force.
Wskazówka: Połącz ochronę przed brute force z innymi metodami bezpieczeństwa WordPress: zmień domyślny adres wp-login.php na niestandardowy URL (wtyczka WPS Hide Login), włącz 2FA dla kont administratorów i upewnij się, że na Twoim hostingu WordPress w smartxhosting.pl aktywny jest firewall serwerowy. Wielowarstwowa ochrona jest znacznie skuteczniejsza niż poleganie na jednym zabezpieczeniu.

Często zadawane pytania

Czy ograniczenie prób logowania może zablokować mnie samego?

Tak, możesz przypadkowo zablokować swój własny adres IP, jeśli kilkukrotnie wpiszesz błędne hasło. W takim przypadku poczekaj na wygaśnięcie blokady — zazwyczaj 15-60 minut, zależnie od konfiguracji — lub odblokuj swój IP przez panel wtyczki Wordfence (Wordfence → Firewall → Blocking → deaktyuwuj wpis dla swojego IP) lub przez panel Limit Login Attempts Reloaded. Możesz też odblokować IP bezpośrednio przez Plesk, edytując tabelę wp_options w bazie danych przez phpMyAdmin.

Ile prób logowania powinienem dozwolić zanim nastąpi blokada?

Zalecamy ustawienie od 3 do 5 dozwolonych nieudanych prób logowania zanim nastąpi blokada adresu IP. Trzy próby to bezpieczna wartość dla bezpieczeństwa WordPress — wystarczająca dla prawdziwego użytkownika, który pomylił się przy wpisywaniu hasła, ale bardzo skuteczna w blokowaniu ataków brute force. Zbyt niska wartość (1-2 próby) może frustrować legalnych użytkowników. Zbyt wysoka (10+ prób) daje atakującym za dużo możliwości przed zablokowaniem.

Czy ograniczenie prób logowania zastępuje silne hasło?

Nie — ograniczenie prób logowania i silne hasło to dwie uzupełniające się, niezależne warstwy ochrony WordPress. Ograniczenie prób logowania spowalnia ataki brute force do nieskuteczności, ale przy nieograniczonym czasie atakujący mógłby w końcu trafić na właściwe hasło, gdyby było krótkie lub przewidywalne. Silne, losowe hasło (16+ znaków, cyfry, litery, znaki specjalne) w połączeniu z ograniczeniem prób logowania i 2FA tworzy ochronę praktycznie niemożliwą do obejścia przez typowe ataki automatyczne.

Potrzebujesz pomocy z hostingiem WordPress?

Zespół smartxhosting.pl pomoże Ci skonfigurować i zarządzać hostingiem WordPress na serwerze Plesk. Tani hosting WordPress od 10 zł/miesiąc z darmowym SSL i codziennym backupem.

Skontaktuj się z nami
WordPress Plesk hosting WordPress brute force
Czy ta informacja była pomocna? 0 klientów oceniło tę informację jako przydatną (0 Głosów)

Najpopularniejsze artykuły

Jak chronić panel administracyjny WordPress

Jak chronić panel administracyjny WordPress Zabezpiecz wp-admin przed...
Jak eksportować i importować treści WordPress

Jak eksportować i importować treści WordPress Naucz się korzystać z...
Jak instalować motywy WordPress

Jak instalować motywy WordPress Dowiedz się, jak wybrać właściwy motyw...
Jak instalować wtyczki WordPress

Jak instalować wtyczki WordPress Kompletny przewodnik po instalowaniu,...
Jak konfigurować przekierowania URL w Plesk dla WordPress

Jak konfigurować przekierowania URL w Plesk dla WordPress Przewodnik po...

Skontaktuj się z nami!

Copyright © 2026 SMARTX Sp. z o.o.. Wszelkie prawa zastrzeżone.
Ta strona korzysta z plików cookies Używamy plików cookies w celu zapewnienia prawidłowego działania strony, analizy ruchu oraz dostosowania treści do Twoich preferencji. Korzystając z naszej strony, wyrażasz zgodę na używanie plików cookies zgodnie z naszą polityką prywatności.