Bezpieczeństwo strony firmowej w 2026 — checklist 6 obszarów do sprawdzenia w 30 minut

1. HTTPS i konfiguracja TLS — czy Twoja strona naprawdę jest „secure”?

HTTPS to dziś minimum, ale samo „zielona kłódka” nic nie znaczy bez właściwej konfiguracji TLS. Strona może mieć ważny certyfikat i jednocześnie używać przestarzałych protokołów (TLS 1.0, TLS 1.1) lub słabych szyfrów. Chrome od lipca 2018 (wersja 68) oznacza wszystkie strony bez HTTPS jako „Not Secure” w pasku adresu — to standard, który dla użytkowników biznesowych jest już dawno wypracowany.

Test darmowy i kompleksowy: SSL Labs Server Test od Qualys. Wpisujesz domenę, czekasz 1–2 minuty, dostajesz ocenę od A+ do F oraz szczegółowy raport: wersja TLS, algorytmy, długość klucza, wsparcie dla HSTS, problem z certyfikatem.

Co minimalnie powinno być po pozytywnym audycie firmowej strony:

Najczęstszy problem polskich stron firmowych: certyfikat działa, ale strona ładuje obrazki, fonty albo skrypty po HTTP („mixed content”). Przeglądarka wtedy blokuje ich część i pokazuje ostrzeżenie. Druga częsta wpadka: HSTS Preload włączony bez przygotowania — to jednokierunkowa decyzja, której odwrócenie wymaga submitowania domeny przez Google’owy formularz i czekania kilku miesięcy.

2. Security headers — dlaczego wiele polskich stron firmowych ma ocenę F na securityheaders.com?

Security headers to dodatkowe nagłówki HTTP, które serwer wysyła do przeglądarki razem z każdą stroną. Mówią przeglądarce: „nie pozwalaj wczytywać skryptów z innych domen”, „nie wstawiaj mojej strony w iframe’ie”, „wymuś HTTPS przez najbliższe pół roku”. To darmowa, prosta warstwa obrony przed XSS, clickjackingiem i MITM. Według ekspertów z branży większość stron na świecie startuje z oceną C lub D na securityheaders.com — zwykłe wdrożenie WordPressa, Wix-a czy WooCommerce z domyślną konfiguracją hostingu nie ustawia żadnego z sześciu kluczowych nagłówków.

Dwa darmowe i obiektywne narzędzia do oceny:

1. securityheaders.com (Scott Helme) — punktuje sześć kluczowych nagłówków, ocena A+ do F. Wagi: Content-Security-Policy 25 pkt, Strict-Transport-Security 25, X-Frame-Options 20, X-Content-Type-Options 20, Referrer-Policy 15, Permissions-Policy 15.
2. Mozilla HTTP Observatory (od lipca 2024 na MDN) — bardziej rozbudowany test. Według dokumentacji Mozilla, każda strona startuje z bazowym wynikiem 100 punktów, z którego odejmowane są kary za brak nagłówków. Punkty bonusowe doliczane są tylko po przekroczeniu progu 90 (ocena A).

Sześć nagłówków, które obniżają ocenę do F gdy ich brakuje:

Konfiguracja zajmuje 30–60 minut, w zależności od stacku. Dla stron na Netlify wystarczy plik netlify.toml z sekcją [[headers]]; dla Apache — .htaccess; dla Cloudflare — Transform Rules. Aby uzyskać ocenę A na securityheaders.com, trzeba mieć poprawnie skonfigurowane wszystkie sześć nagłówków z tabeli — brak choćby Permissions-Policy obniża ocenę o jeden poziom (do B). Po wdrożeniu warto puścić oba testy raz w miesiącu — błąd we wdrożonym CSP może niezauważalnie blokować skrypty zewnętrzne (np. analitykę, czat, mapy Google) i niszczyć doświadczenie użytkownika.

3. DNSSEC i rekordy CAA — kto może podszyć się pod Twoją domenę?

DNS to system tłumaczący nazwy domen na adresy IP. Bez podpisu cyfrowego (DNSSEC) atakujący na poziomie sieci może zwrócić użytkownikowi inny adres IP niż rzeczywisty serwer firmy — i przekierować ruch na fałszywą stronę zbierającą hasła. To atak DNS spoofing, jeden z wektorów monitorowanych przez narzędzie Artemis CERT Polska.

DNSSEC dodaje do każdej odpowiedzi DNS podpis kryptograficzny, którego resolwery DNS mogą sprawdzić przed pokazaniem strony użytkownikowi. Włączenie zajmuje 5 minut i jest darmowe u większości polskich rejestratorów (SeoHost, OVH, home.pl, nazwa.pl) oraz w Cloudflare DNS. Test poprawnej konfiguracji: DNSSEC Analyzer od Verisign.

Drugi obowiązkowy element to rekordy CAA (Certificate Authority Authorization). Mówią one publicznie, które urzędy certyfikacji mają prawo wystawić certyfikat dla Twojej domeny. Bez CAA każdy zaufany CA na świecie może (po przejściu standardowej walidacji) wystawić certyfikat dla Twojej domeny — czyli np. po przejęciu kontroli nad mailem administratora domeny atakujący mógłby uzyskać prawidłowy certyfikat. Z poprawnie skonfigurowanym CAA — tylko CA, które jawnie wpisałeś w rekordy DNS.

Standardowy zestaw 4 rekordów CAA dla firmowej strony:

Sam DNSSEC i CAA nie powstrzymają każdego ataku — ale podnoszą próg na tyle, że atakujący zwykle wybiera prostszy cel. Dla podmiotów objętych dyrektywą NIS2 i przy ustalaniu wysokości kary z art. 32 RODO, wdrożenie DNSSEC i CAA to weryfikowalny argument na „odpowiednie środki techniczne i organizacyjne” — łatwo udokumentowany skanami zewnętrznymi DNSSEC Analyzer i SSL Labs.

4. DMARC, SPF i DKIM — jak chronić firmowy email przed podszywaniem?

Phishing to w Polsce zdecydowanie najczęstszy rodzaj cyberprzestępstwa wymierzonego w odbiorców końcowych. Według raportu CERT Polska za 2024 rok, w 2024 zarejestrowano 40 120 incydentów phishingowych — to największa pojedyncza kategoria. Łącznie oszustwa komputerowe (głównie phishing oraz oszustwa na BLIK, OLX, fałszywe sklepy) stanowiły 94,7% wszystkich zarejestrowanych incydentów (97 995 na ponad 103 tysiące). Liczba zgłoszeń do CERT Polska wzrosła o 62% rok do roku.

Ataki phishingowe często polegają na wysyłaniu maili „od” znanej firmy do jej klientów. Bez trzech rekordów DNS — SPF, DKIM, DMARC — twoja domena jest do tego idealnym narzędziem dla atakującego. Wszystkie trzy są darmowe.

Trzy rekordy w 90 sekund:

• SPF (Sender Policy Framework) — rekord TXT z listą serwerów uprawnionych do wysyłania maili „od” twojej domeny. Przykład: v=spf1 include:_spf.google.com -all dla Google Workspace.
• DKIM (DomainKeys Identified Mail) — podpis kryptograficzny w nagłówku każdego maila. Klucz publiczny w DNS, prywatny u dostawcy poczty. Konfiguracja jednorazowa.
• DMARC (Domain-based Message Authentication) — polityka co robić z mailami niespełniającymi SPF/DKIM. Zaczyna się od p=none (raporty), później p=quarantine (do spamu), na końcu p=reject (odrzuć).

Test darmowy i czytelny: MXToolbox DMARC Check oraz Dmarcian Inspector. Wpisujesz domenę, dostajesz pełną analizę z czerwonymi flagami.

5. Higiena CMS i wtyczek — dlaczego WordPress wymaga osobnej dyscypliny?

WordPress odpowiada za zdecydowaną większość polskich stron firmowych — i jest to platforma najbardziej narażona na włamania. Według raportu Patchstack State of WordPress Security 2025, w 2024 roku w ekosystemie WordPress odkryto 7 966 nowych podatności — wzrost o 34% rok do roku. 43% z nich było eksploatowalnych bez logowania, czyli atakujący nie potrzebował żadnych poświadczeń.

Co więcej, 33% podatności w 2024 nie zostało załatanych przed publicznym ujawnieniem — w wielu przypadkach dotyczy to porzuconych wtyczek, które dalej są aktywne na stronach. Sucuri w analizie z 2024 roku zarejestrowało 8 452 incydenty defacement (podmiana strony), z czego 88,89% to były „generic defacements” bezimiennie zmieniające homepage.

Pięć zasad higieny WordPress, które redukują ryzyko o ~80%:

1. Auto-update WordPress core, motywów i wtyczek włączony. Aktualizacje critical zwykle naprawiają znane CVE w godzinach po ujawnieniu.
2. Tylko niezbędne wtyczki — typowo 5–10 dla strony firmowej, wszystkie z aktywnym wsparciem (data ostatniej aktualizacji w katalogu WordPress.org < 6 miesięcy). Każda wtyczka to nowa powierzchnia ataku.
3. Hasła managerowane (Bitwarden, 1Password) i 2FA dla wszystkich kont admin/editor. Brute force to wciąż jeden z najczęstszych wektorów.
4. Limit prób logowania (Limit Login Attempts Reloaded lub odpowiednik) i przeniesienie /wp-admin na inny URL.
5. Codzienny backup automatyczny poza serwerem strony (UpdraftPlus, BlogVault, lub kopie po stronie hostingu z retencją 30+ dni).

Test bezpieczeństwa WordPress: Sucuri SiteCheck (skan zewnętrzny, pokazuje malware i blacklisty) oraz WPScan (płatne pełne, darmowe podstawowe).

Alternatywa, która eliminuje większość ryzyk: strona statyczna na Netlify lub Cloudflare Pages. Brak bazy danych, brak panelu admina dostępnego z internetu, brak wtyczek do aktualizacji. Z badań Patchstack wynika, że to jedna z nielicznych architektur, które „same z siebie” redukują powierzchnię ataku do certyfikatu i konfiguracji DNS — czyli pierwszych czterech obszarów z tego artykułu.

6. Hosting, kopie zapasowe i ochrona przed botami — czy CDN to luksus?

Ostatni obszar to infrastruktura: gdzie strona stoi, kto ją chroni, czy istnieje plan B na wypadek awarii. Trzy elementy obowiązkowe dla strony firmowej w 2026:

1. CDN z ochroną DDoS — Cloudflare, BunnyCDN, Fastly. Cloudflare w wersji Free pokrywa potrzeby 95% polskich MŚP: ochrona DDoS, cache, SSL, WAF managed rules. Bez CDN-u nawet niewielki botnet (100 hostów) potrafi sparaliżować VPS bez ochrony przed atakami wolumetrycznymi.
2. Codzienne kopie zapasowe przechowywane poza serwerem strony, z retencją minimum 14 dni i testowanym przywracaniem. Backup, którego nigdy nie próbowałeś przywrócić, statystycznie nie istnieje.
3. Monitoring uptime — alert email/SMS gdy strona przestaje odpowiadać. Uwaga: UptimeRobot Free oficjalnie od października 2024 ograniczony jest do użytku niekomercyjnego, więc dla strony firmowej trzeba albo płatny plan Solo (od 9 USD/mies, 50 monitorów co 60 sekund), albo darmowe alternatywy: StatusCake Free (10 monitorów, 5 minut) lub BetterStack Free. Bez monitoringu o awarii dowiadujesz się od klienta, który już zrezygnował.

Co do ochrony przed botami: na Cloudflare jest dwa kontrowersyjne ustawienia, których w 2026 nie należy włączać dla strony firmowej z aspiracjami SEO i widoczności w AI search:

• Block AI bots w Security → Bots — blokuje GPTBot, ClaudeBot, PerplexityBot. Skutek: strona nie będzie cytowana w ChatGPT, Perplexity ani Claude.ai. Domyślnie OFF dla starszych domen, ale po dodaniu nowej domeny do Cloudflare zawsze warto sprawdzić ten toggle — Cloudflare okresowo zmienia ustawienia domyślne dla nowych kont.
• Managed robots.txt w AI Crawl Control — nadpisuje twój własny plik robots.txt wpisami Disallow dla wszystkich crawlerów AI. To samo skutek.

Dla większości stron firmowych Cloudflare Free w pełni wystarczy. Upgrade do Pro (25 USD/mies) opłaca się dopiero przy ruchu powyżej 100 tys. wyświetleń miesięcznie albo wymogu zaawansowanego WAF i bot managementu.

Podsumowanie — checklist 30-minutowy

Zanim zlecisz komuś pełnopłatny audyt, przejdź ten skrót — 30 minut, bez kosztu, bez logowania:

1. Otwórz SSL Labs → wpisz domenę → cel: A lub A+
2. Otwórz securityheaders.com → wpisz domenę → cel: A lub A+
3. Otwórz Mozilla HTTP Observatory → wpisz domenę → cel: B lub wyżej
4. Otwórz DNSSEC Analyzer → cel: zielono
5. Otwórz MXToolbox DMARC → cel: SPF + DKIM + DMARC obecne
6. Otwórz Sucuri SiteCheck → cel: zielono, brak malware
7. Otwórz UptimeRobot i Cloudflare panel → cel: monitoring + WAF aktywne

Każda ocena poniżej rekomendowanej oznacza konkretny kawałek konfiguracji do poprawy. Większość tych poprawek to prace na 30–90 minut — wdrożenie 1–2 nagłówków, dodanie rekordu DNS, zmiana flagi w panelu hostingowym. Wartość firmowa: po wdrożeniu masz mierzalny argument w razie kontroli UODO (14 mln zł kar w 2024, 10-krotny wzrost) i konkretną odpowiedź dla klientów pytających „czy moje dane są u was bezpieczne?".

Najczęściej zadawane pytania

Czytaj dalej

Jeśli oceniasz, czy domena, na której stoi Twoja strona, sama w sobie ma wartość rynkową — kontynuuj lekturą wcześniejszego artykułu na DomenoTrader.pl: Ile warta jest domena .pl — 7 kryteriów wyceny w 2026. Pokazujemy w nim, jak długość, wiek, profil backlinków i czystość prawna wpływają na cenę domen .pl na rynku wtórnym (Aftermarket.pl, Sedo). Bezpieczna i zaudytowana domena z czystą historią to nie tylko element infrastruktury, ale też aktywo, które można sprzedać jeśli kiedykolwiek zmienisz model biznesowy.

Źródła i lektura uzupełniająca

Wszystkie liczby i twierdzenia w tym artykule pochodzą z publicznie dostępnych raportów. Polecamy lekturę oryginałów przy planowaniu własnej strategii bezpieczeństwa:

1. CERT Polska — Krajobraz bezpieczeństwa polskiego internetu w 2024 roku (raport NASK / CSIRT NASK, kwiecień 2025) — statystyki incydentów w Polsce.
2. Patchstack — State of WordPress Security 2025 — najobszerniejsze opracowanie podatności w ekosystemie WordPress.
3. Grant Thornton — Kto płaci za naruszenie RODO. Kary pieniężne UODO w 2024 r. — analiza kar UODO w 2024 roku.
4. Mozilla HTTP Observatory — Tests & Scoring — pełna metodologia oceny nagłówków HTTP.
5. gov.pl Baza Wiedzy — Analiza bezpieczeństwa polskiego internetu w 2024 roku — oficjalne podsumowanie raportu CERT Polska.
6. KPMG Polska — Barometr Cyberbezpieczeństwa 2024 — coroczne badanie cyberdojrzałości polskich firm.