Tani hosting i bezpieczeństwo: SSL, kopie zapasowe, antywirus, WAF - co powinno być w cenie

Co oznacza „bezpieczny tani hosting" w praktyce?

Bezpieczny tani hosting to taki, który ma podstawowe zabezpieczenia, które są włączone domyślnie i wliczone w cenę – bez dopłat, bez ręcznej konfiguracji, bez pułapek w regulaminie.

Typowe błędy przy wyborze:

• Płatne SSL – certyfikat „gratis przez 3 miesiące", później 100–200 zł rocznie (najlepiej wybrać hosting z darmowym Let's Encrypt dla segmentu MŚP),
• Brak automatycznego backupu – dopłata za każde przywrócenie lub brak kopii w ogóle,
• „Ochrona premium" – marketingowe nazwy bez jasnej specyfikacji,
• Brak WAF – strona bez ochrony przed botami i typowymi atakami,
• Support tylko mailowy – przy incydencie czekasz 24–48 h na odpowiedź, wsparcie przez telefon to zaleta nie standard w branży,

Minimalny standard bezpieczeństwa:

• Blog/portfolio: SSL auto (np. Let's Encrypt), backup tygodniowy (retencja min. 14 dni), podstawowy skan malware,
• Strona firmowa: wszystko powyżej + backup dzienny, WAF/anty-bot, 2FA do panelu (np. poprzez SMS lub Google Authenticator,
• Mały sklep: dodatkowo izolacja kont, logi zdarzeń, aktualne PHP + ustawienie trudnych haseł dla klientów domyślnie + ewentualnie blokowania botów z nie docelowych krajów ,

SSL/HTTPS - co powinno być w cenie?

Certyfikat SSL szyfruje połączenie między przeglądarką a serwerem. Bez niego Google oznaczy Twoją stronę jako „Niezabezpieczona" (chociaż obecnie jest to ikonka ustawień, ale komunikat i tak wyskakuje na całej stronie), a większość użytkowników po prostu ją opuści. Google od 2014 traktuje HTTPS jako sygnał rankingowy Twojej strony w Google, a więc to ważne.

Sprawdź przed zakupem:

• Czy certyfikat (np. Let's Encrypt) odnawia się automatycznie co 90 dni?
• Czy obejmuje subdomeny (np. blog.twojadomena.pl)? Tzw. Wildcard
• Czy jest automatyczne przekierowanie HTTP → HTTPS?
• Czy instalacja działa jednym kliknięciem w panelu?

Pułapki: „darmowy SSL przez 3 miesiące" = później płatny; brak automatyzacji = powinieneś pamiętać o odnowieniu. Dopytaj hostingodawcę przed zakupem. 

Kopie zapasowe czyli najczęściej pomijany „koszt ukryty"

Backup to jedyna rzecz, która może uratować Twoją stronę po błędnej aktualizacji, włamaniu lub awarii serwera. Bez niego możesz stracić godziny lub dni pracy – albo płacisz specjaliście kilkaset złotych za odzyskanie danych. Warto mieć to też na uwadze, w szczególności gdy prowadzisz sklep internetowy.

Częstotliwość i retencja:

• Blog/portfolio: backup co 7 dni, retencja 14 dni
• Strona firmowa: backup dzienny, retencja 7–14 dni
• Sklep online: backup dzienny, retencja minimum 30 dni

Co powinno być w cenie:

• Automatyczne uruchamianie (bez Twojego udziału),
• Samodzielne przywracanie plików/bazy danych (bez zgłoszenia do supportu),
• Kopie poza głównym serwerem (izolacja fizyczna),
• Przywracanie darmowe i nielimitowane,

Przykład: Aktualizujesz wtyczkę WordPress. Pojawia się konflikt – wyskakuje Ci biała strona. Bez backupu: diagnostyka przez FTP, czas naprawy zajme Ci nawet do 2-6 godzin (lub koszt specjalisty 200–500 zł). Z hostingiem, który ma wbudowany wewnętrznie backup w panelu: klikasz „przywróć sprzed 1 dnia", strona działa po 2 minutach i masz spokój.

Antywirus i skanowanie malware

„Antywirus na hostingu" to zwykle automatyczne skanowanie plików pod kątem znanych zagrożeń (skrypty phishing, backdoory, zmodyfikowane pliki WordPress). Nie chroni przed każdym atakiem, ale wyłapuje typowe infekcje.

Minimum funkcjonalne:

• Skanowanie cykliczne (dzienne lub co kilka dni),
• Automatyczna kwarantanna zainfekowanych plików (lub przynajmniej alert),
• Powiadomienie mailowe z lokalizacją zagrożenia,
• Logi skanów dostępne w panelu,

Pamiętaj: Skanowanie na hostingu to podstawa, ale nie zastąpi aktualizacji WordPressa, mocnych haseł i 2FA, ograniczenia liczby wtyczek oraz monitoringu logów logowania.

WAF (Web Application Firewall)

WAF filtruje ruch HTTP(S) zanim dotrze do Twojej aplikacji. Blokuje typowe ataki (SQL injection, XSS, bruteforce na panel logowania) i ogranicza ruch botów.

WAF vs. zwykły firewall:

• Firewall sieciowy: blokuje ruch na poziomie IP/portów (chroni serwer),
• WAF aplikacyjny: analizuje zapytania HTTP, chroni konkretną aplikację (np. WordPress),

Minimum w tanich pakietach:

• Gotowe reguły dla WordPressa, Joomla, PrestaShop,
• Limitowanie prób logowania (rate limiting),
• Blokada IP po przekroczeniu progów,
• Filtrowanie botów,

Wskazówka: Jeśli hosting nie ma WAF w cenie – możesz użyć darmowego planu Cloudflare. Podpinasz domenę do Cloudflare (zmiana DNS), włączasz WAF, cache, SSL.

Cloudflare potrafi zablokować 90% ataków zanim dotrą do Twojego serwera. 

Co jeszcze powinno być w cenie?

Izolacja kont – Na współdzielonym hostingu dziesiątki stron działają na jednym serwerze. Bez izolacji jedno zainfekowane konto może „przenieść" malware na inne. Sprawdź, czy hosting oferuje CloudLinux lub inną technologię separacji. Aczkolwiek trzeba być realistą, na takich hostingach raczej nie jest to standardem.

2FA do panelu – Dwuskładnikowe uwierzytelnianie, limity prób logowania (np. blokada IP po 5 nieudanych próbach), logi aktywności.

Aktualne wersje PHP – Stare wersje PHP (7.2, 7.3) nie dostają już aktualizacji bezpieczeństwa. WordPress wymaga minimum PHP 7.4 (zalecane 8.4+). Sprawdź, czy hosting pozwala zmienić wersję jednym kliknięciem.

Wsparcie przy incydencie – Określ przed zakupem: zakres wsparcia technicznego, czas reakcji przy incydencie bezpieczeństwa, procedury przy ataku DDoS, włamaniu, malware.

Checklista 10 pytań przed zakupem do Twojego hostingu

1. Czy SSL jest darmowy i odnawia się automatycznie?
2. Jak często robione są backupy i ile dni są trzymane?
3. Czy przywracanie backupu jest w panelu i bez dopłat?
4. Czy jest automatyczne skanowanie malware + powiadomienia?
5. Czy jest WAF lub możliwość integracji z Cloudflare?
6. Czy jest izolacja kont (CloudLinux, LVE)?
7. Czy jest 2FA do panelu zarządzania?
8. Czy są logi aktywności i historia zdarzeń?
9. Jak wygląda procedura supportu przy incydencie bezpieczeństwa?
10. Czy są limity/wykluczenia odpowiedzialności w regulaminie dotyczące backupu?

Sygnały ostrzegawcze (red flags):

• „Darmowy SSL przez 3 miesiące" (później płatny),
• Backup „na życzenie" lub „za dodatkową opłatą",
• Brak informacji o retencji kopii zapasowych,
• Przywracanie tylko przez support,
• „Ochrona premium" bez konkretów, co obejmuje,

Podsumowanie

Wybierając tani hosting, nie musisz rezygnować z bezpieczeństwa. Upewnij się, że pakiet zawiera:

1. Automatyczny SSL (Let's Encrypt, bez limitu czasowego),
2. Codzienne/tygodniowe backupy z możliwością samodzielnego przywracania,
3. Skanowanie malware i powiadomienia o zagrożeniach,
4. Podstawowy WAF lub łatwa integracja z Cloudflare,
5. Izolację kont na współdzielonym serwerze,
6. 2FA do panelu i logi aktywności,
7. Wsparcie przy incydencie z jasno określoną procedurą,

Sprawdź w swojej obecnej ofercie te 10 punktów z checklisty powyżej. Jeśli brakuje połowy – zastanów się nad zmianą. Jeśli porównujesz hostingi, zobacz jak konkretni dostawcy realizują te wymagania – możesz zacząć od polecanehostingi.pl, gdzie znajdziesz porównanie realnych funkcji bezpieczeństwa w niskich cenach.

Artykuł powstał przy współpracy z partnerem: Tanie serwery i hosting | PolecaneHostingi.pl