Really Simple Security Pro to lekka, modułowa wtyczka bezpieczeństwa WordPress od Really Simple Plugins (dawniej Really Simple SSL Pro). Łączy wymuszanie HTTPS, hardening, ochronę logowania, firewall, skan podatności i nagłówki bezpieczeństwa. Trafia do stron, sklepów WooCommerce i agencji.
Ochrona logowania: 2FA, passkey i Limit Login Attempts
Really Simple Security Pro chroni logowanie przez uwierzytelnianie dwuskładnikowe (e-mail oraz aplikacja TOTP), logowanie bezhasłowe passkey, Limit Login Attempts z blokadą adresów IP i nazw użytkowników oraz sprawdzanie skompromitowanych haseł przez Have I Been Pwned. Metody 2FA wymusza się per rola użytkownika, a po nieudanych próbach logowania uruchamia się CAPTCHA – hCaptcha lub Google reCAPTCHA.
Logowanie to najczęściej atakowany punkt witryny WordPress. Dlatego wtyczka grupuje tu kilka niezależnych warstw, które włącza się osobno.
2FA i logowanie passkey bez hasła
Uwierzytelnianie dwuskładnikowe dodaje drugi czynnik logowania – kod z e-maila lub z aplikacji TOTP, na przykład Google Authenticator. Wymuszanie 2FA oraz dobór dostępnych metod ustawia się per rola, więc administratorzy mogą podlegać surowszym regułom niż zwykli autorzy. Wtyczka prowadzi użytkownika przez konfigurację drugiego składnika bezpośrednio na ekranie logowania.
Passkey idzie krok dalej. Pozwala logować się całkowicie bez hasła – przez menedżer haseł, przeglądarkę lub urządzenie z biometrią, jak odcisk palca czy Face ID. Metoda oparta na passkey jest odporna na phishing, bo nie przesyła hasła, które dałoby się przechwycić.
Limit Login Attempts i CAPTCHA przeciw brute force
Limit Login Attempts blokuje adresy IP i nazwy użytkowników po określonej liczbie nieudanych prób logowania – czasowo albo na stałe. Logowanie da się też ograniczyć do wybranych regionów geograficznych, co odcina ruch z obszarów, z których strona nie spodziewa się prawdziwych użytkowników.
- Blokady adaptacyjne – po przekroczeniu limitu blokowany jest zarówno adres IP, jak i konkretna nazwa użytkownika, co utrudnia botom przełączanie tożsamości.
- CAPTCHA po nieudanym logowaniu – hCaptcha lub Google reCAPTCHA pojawia się po serii błędnych prób; prawdziwy użytkownik odblokuje się przez nią samodzielnie.
- Ograniczenia regionalne – logowanie dopuszczane wyłącznie z wybranych krajów lub kontynentów.
Password Security i kontrola skompromitowanych haseł
Password Security wymusza silne hasła oraz ich okresową zmianę, a dodatkowo sprawdza, czy hasło użytkownika nie znalazło się w znanych wyciekach danych. Weryfikacja korzysta z bazy Have I Been Pwned, więc konto z hasłem ujawnionym w cudzym wycieku zostaje oznaczone, zanim posłuży do przejęcia dostępu. Funkcja działa po stronie kont użytkowników i nie wymaga od nich znajomości mechaniki ataków.
Hardening WordPressa i własny adres logowania
Really Simple Security Pro obejmuje 18 ustawień hardeningu – od podstawowych, jak ukrycie wersji WordPressa, blokada user enumeration i wyłączenie XML-RPC, po zaawansowane: randomizacja prefiksu bazy danych, wyłączenie application passwords oraz sprawdzanie i naprawa uprawnień plików. Wersja Pro dokłada do tego własny adres logowania zamiast wp-login.php oraz granularne sterowanie XML-RPC z trybem uczenia.
Basic i Advanced Hardening (18 ustawień)
Basic Hardening to zestaw około jedenastu ustawień, które porządkują domyślną, zbyt otwartą konfigurację WordPressa. Obejmuje między innymi wyłączenie rejestracji „każdy może się zarejestrować”, wyłączenie wbudowanych edytorów plików, blokadę wykonywania kodu w folderze uploads, ukrycie wersji WordPressa, wyłączenie directory browsing i blokadę user enumeration.
Advanced Hardening dokłada warstwę dla bardziej wymagających konfiguracji.
- Randomizacja prefiksu bazy danych – utrudnia automatyczne ataki celujące w domyślny prefiks wp_.
- Wyłączenie application passwords – zamyka rzadko używany wektor dostępu do REST API.
- Przeniesienie pliku debug.log do niepublicznego folderu, by logi nie wyciekały przez przeglądarkę.
- File Permissions check & fixer – sprawdza i naprawia uprawnienia plików oraz katalogów.
Własny adres logowania zamiast wp-login.php
Custom Login URL zmienia domyślny adres logowania wp-login.php na własny, dzięki czemu boty uderzające w standardowy URL trafiają w pustkę. To prosty sposób na ograniczenie automatycznych prób przejęcia panelu, zanim jeszcze zadziała Limit Login Attempts. Uwaga: funkcja wyłącza się przy strukturze odnośników „plain permalinks” – wymaga przyjaznych adresów URL.
Granularny XML-RPC z trybem uczenia
XML-RPC bywa nadużywany do ataków brute force i wzmacniania DDoS, ale całkowite jego wyłączenie potrafi zepsuć działanie aplikacji mobilnej WordPress czy niektórych integracji. Really Simple Security Pro rozwiązuje ten kompromis granularnie – tryb uczenia obserwuje ruch i pozwala dopuścić tylko faktycznie używane metody XML-RPC, blokując całą resztę. Konfiguracja powstaje więc na podstawie realnego zachowania witryny, a nie zgadywania.
Firewall, skan podatności i automatyczne środki
Really Simple Security Pro zawiera lekki firewall działający wewnątrz WordPressa, z blokowaniem nadmiarowych błędów 404, listą złośliwych User-Agentów oraz blokadami pojedynczych adresów IP i całych regionów. Firewall świadomie nie jest chmurowym WAF-em ani skanerem malware. Skan podatności uruchamiany dwa razy dziennie korzysta z bazy WP Vulnerability i wykrywa znane luki w komponentach, a środki Pro – force-update i kwarantanna – reagują automatycznie przy krytycznej severity.
Firewall aplikacyjny: 404 blocking, User-Agent i blokady regionów
Firewall jest kontekstowy i zintegrowany z WordPressem, jego wtyczkami i motywami, więc działa po instalacji bez ręcznej konfiguracji reguł. Zamiast filtrować ruch w chmurze, analizuje zachowanie klientów już na poziomie aplikacji.
- 404 blocking – klienci generujący nietypowo dużo błędów 404 (typowe dla skanerów szukających exploitów) zostają zablokowani, co oszczędza zasoby serwera.
- User-Agent blocking – rosnąca lista złośliwych botów i zasobożernych skanerów, w tym skanerów AI, z możliwością ręcznego dopisywania kolejnych.
- Blokady IP i regionów – blocklista i allowlista adresów oraz zakresów IP, a także blokowanie całych krajów lub kontynentów przy ruchu fraudowym.
Skan podatności i baza WP Vulnerability
Skan podatności sprawdza dwa razy dziennie, czy wtyczki, motywy i samo jądro WordPressa nie mają znanych luk, a nowo wgrane komponenty kontroluje natychmiast. Dane pochodzą z otwartej bazy WP Vulnerability prowadzonej przez Javiera Casaresa, a wykryte problemy trafiają do kategorii według poziomu severity. O zagrożeniach informuje raport e-mail, komunikat w panelu oraz ostrzeżenie na liście wtyczek. Skan wykrywa znane podatności CVE w komponentach, ale nie przeszukuje plików w poszukiwaniu złośliwego kodu.
Force-update i kwarantanna podatnych wtyczek
Po wykryciu podatności powyżej ustawionego poziomu severity force-update wymusza aktualizację komponentu, wcześniej wysyłając e-mail i ponawiając próbę przez kilka dni w oczekiwaniu na łatkę. Gdy poprawka się nie pojawia, jako ostateczność wkracza kwarantanna – wtyczka lub motyw dotknięty krytyczną luką zostaje dezaktywowany, również z powiadomieniem e-mail przed wykonaniem. Oba mechanizmy współpracują ze sobą, więc reakcja na groźną podatność nie wymaga ręcznego monitorowania każdej strony.
SSL, mixed content i nagłówki bezpieczeństwa
Really Simple Security Pro wymusza HTTPS przez przekierowania 301, naprawia mixed content na froncie i zapleczu oraz generuje darmowy certyfikat Let’s Encrypt tam, gdzie hosting wspiera ręczną instalację. Wersja Pro dokłada zestaw nagłówków bezpieczeństwa – HSTS, Content Security Policy z trybem uczenia, frame-ancestors, Permissions Policy i CORS – działających niezależnie od konfiguracji Apache, NGINX czy LiteSpeed.
To historyczny rdzeń produktu, z którego wyrosła cała wtyczka. Wcześniej znana jako Really Simple SSL.
Wymuszanie HTTPS, przekierowania 301 i Let’s Encrypt
Migracja na HTTPS sprowadza się do jednego kliknięcia: wtyczka ustawia poprawne przekierowanie 301 (przez PHP lub plik .htaccess) i bezpieczne ciasteczka, więc cały ruch trafia na wersję szyfrowaną. Dla witryn bez certyfikatu wbudowany kreator generuje darmowy certyfikat Let’s Encrypt, korzystając z biblioteki le-acme2-php. Działa to u dostawców wspierających ręczną instalację certyfikatu, w tym u polskich hostingów udostępniających taką opcję przez panel.
Mixed Content Scan & Fixer
Mixed Content Scan & Fixer wykrywa zasoby ładowane wciąż przez HTTP – obrazy, skrypty, style – i przepisuje je na HTTPS zarówno na froncie, jak i w panelu. Zaawansowany skaner przeszukujący całą witrynę należy do wersji Pro, podczas gdy wersja darmowa naprawia mixed content w podstawowym zakresie. Jedno zastrzeżenie: fixer działa „w locie”, podmieniając adresy podczas wyświetlania strony. Część specjalistów traktuje to jako rozwiązanie pomostowe i zaleca docelowo poprawienie adresów bezpośrednio w bazie i treści.
HSTS, CSP i pozostałe nagłówki z trybem uczenia
Nagłówki bezpieczeństwa konfiguruje się z poziomu wtyczki, bez ręcznej edycji konfiguracji serwera, i działają one tak samo na Apache, NGINX oraz LiteSpeed.
- HSTS i HSTS Preload – wymuszają ładowanie strony wyłącznie przez HTTPS, z opcją zgłoszenia domeny na listę preload.
- Content Security Policy z trybem uczenia – tryb uczenia obserwuje, jakie zasoby ładuje witryna, i buduje politykę dopasowaną do niej, blokując wstrzyknięte złośliwe skrypty.
- frame-ancestors – chroni przed clickjackingiem, wskazując, które domeny mogą osadzać stronę w ramce (od wersji 9.0.0 zastępuje X-Frame-Options).
- Permissions Policy, Referrer Policy, X-Content-Type-Options, CORS – ograniczają dostęp do funkcji przeglądarki, wyciek danych w referrerze, MIME sniffing oraz konfigurują izolację cross-origin.
Dla jakich witryn Really Simple Security Pro ma sens
Really Simple Security Pro sprawdza się najlepiej u właścicieli stron i sklepów WooCommerce, którzy chcą solidnego zabezpieczenia bez obciążania wydajności, na stronach migrujących z HTTP na HTTPS oraz w agencjach utrzymujących wiele witryn klientów. Dzięki architekturze modułowej wyłączone funkcje nie ładują kodu, więc wtyczka dobrze działa nawet na słabszym hostingu współdzielonym. Nie zastępuje jednak skanera malware ani chmurowego WAF-a.
Sklepy WooCommerce i strony z logowaniem użytkowników
Sklepy WooCommerce i serwisy z kontami użytkowników są szczególnie narażone na ataki na logowanie, bo dają napastnikowi dostęp do danych klientów i sesji płatniczych. Limit Login Attempts ma kompatybilność z WooCommerce, a 2FA, passkey i Password Security chronią zarówno konta administratorów, jak i klientów. Custom Login URL dodatkowo zsuwa formularz logowania poza standardowy adres, w który celują boty.
Agencje i utrzymanie wielu witryn klientów
Agencje i opiekunowie portfela witryn najwięcej zyskują na zarządzaniu podatnościami. Skan dwa razy dziennie, powiadomienia e-mail oraz automatyczny force-update i kwarantanna pozwalają reagować na luki w komponentach bez ręcznego doglądania każdej strony z osobna. Modułowa budowa ułatwia ujednolicenie konfiguracji na wielu witrynach, a niski narzut wydajnościowy ma znaczenie tam, gdzie strony klientów stoją na różnym, czasem słabszym hostingu.
Dla kogo Really Simple Security Pro nie wystarczy
Część potrzeb leży poza świadomie wyznaczonym zakresem wtyczki – dobrze wiedzieć to przed wyborem.
Dla kogo Really Simple Security Pro nie jest najlepszym wyborem:
- Witryny wymagające skanowania i usuwania malware – wtyczka wykrywa znane podatności, ale nie przeszukuje plików ani nie czyści zainfekowanych stron (tu sprawdzą się Wordfence lub MalCare).
- Strony potrzebujące chmurowego WAF-a lub ochrony przed atakami DDoS – firewall jest aplikacyjny i nie filtruje ruchu, zanim dotrze on do serwera (to domena Cloudflare lub Sucuri).
- Użytkownicy oczekujący pełnych logów aktywności i głębokiego wglądu „za kulisami” – produkt świadomie stawia na prostotę kosztem rozbudowanej widoczności.

Kompatybilność z WordPress, PHP, hostingiem i cache
Really Simple Security Pro wymaga WordPress 6.6 lub nowszego oraz PHP 7.4 i jest testowany do WordPress 7.0. Wtyczka działa na serwerach Apache, LiteSpeed i NGINX, obsługuje multisite (dla Pro przez dedykowany plugin multisite) oraz WooCommerce, a także integruje się z wtyczkami cache i Cloudflare. Interfejs przetłumaczyła na język polski społeczność.
| Parametr | Wartość |
|---|---|
| Wersja | 9.6.1 |
| Wersja WordPress | 6.6 lub nowsza (testowana do 7.0) |
| Wersja PHP | 7.4 lub nowsza (środowisko zgodne z rekomendacją WordPress, czyli PHP 8.x) |
| WooCommerce | Kompatybilny (Limit Login Attempts zgodny z WooCommerce) |
| Wymagane rozszerzenie PHP | OpenSSL (sprawdzane przez wtyczkę) |
| Serwery web | Apache, LiteSpeed, NGINX |
| Multisite | Tak — dla Pro przez dedykowany plugin multisite |
| WP-CLI | Tak — konfiguracja i aktywacja SSL z linii poleceń |
| Integracje cache | WP Rocket, LiteSpeed Cache, FlyingPress, WP Fastest Cache |
| CDN / proxy | Cloudflare (wykrywanie, czyszczenie cache po aktywacji SSL) |
| CAPTCHA | hCaptcha, Google reCAPTCHA |
| Tłumaczenia | 58 lokalizacji, w tym polski (tłumaczenie społecznościowe) |
Wymagania WordPress i PHP
Minimalne wymagania bieżącej linii to WordPress 6.6 i PHP 7.4 – oba progi podniosły nowsze wydania, więc starsze poradniki wskazujące WordPress 5.9 są nieaktualne. Wtyczka jest testowana do WordPress 7.0. Producent podaje wyłącznie minimalną wersję PHP; dla wydajności i bezpieczeństwa lepiej trzymać się aktualnej rekomendacji środowiska WordPress, czyli PHP w gałęzi 8.x. Wtyczka sprawdza obecność modułu OpenSSL, potrzebnego między innymi do generowania certyfikatów.
Multisite i obsługa WP-CLI
Multisite obsługuje dedykowana strona ustawień sieciowych, jednak wersja Pro na sieci wymaga osobnego pluginu „Really Simple Security Pro multisite” – zwykła instalacja Pro tu nie wystarczy, co liczy się zwłaszcza dla agencji. Konfigurację i aktywację SSL przeprowadza się też z linii poleceń przez WP-CLI, co ułatwia automatyzację wdrożeń i pracę na wielu witrynach naraz.
Integracje z cache, Cloudflare i CAPTCHA
Really Simple Security Pro współpracuje z popularnymi wtyczkami cache – WP Rocket, LiteSpeed Cache, FlyingPress i WP Fastest Cache – między innymi przez poprawne reguły w pliku .htaccess, a dla LiteSpeed obsługuje whitelisting crawlera. Wtyczka wykrywa Cloudflare i czyści jego cache po aktywacji SSL, dzięki czemu zmiany w przekierowaniach nie zostają zamrożone na proxy. CAPTCHA w Limit Login Attempts obsługuje hCaptcha oraz Google reCAPTCHA, do wyboru w zależności od preferencji witryny.
Najczęściej zadawane pytania
Czy mogę używać Really Simple Security obok Wordfence?
Tak, Really Simple Security można uruchomić obok Wordfence, ale obie wtyczki funkcjonalnie mocno się pokrywają. Najważniejsza zasada: nie włączać tych samych funkcji w dwóch wtyczkach jednocześnie – na przykład dwóch firewalli czy dwóch mechanizmów 2FA – bo prowadzi to do konfliktów i podwójnego narzutu. Dzięki modułowej budowie Really Simple Security zostawia włączone tylko te warstwy, których nie pokrywa drugie rozwiązanie, na przykład wymuszanie HTTPS i nagłówki bezpieczeństwa.
Czy potrzebuję obu wersji — free i pro?
Nie, od wersji 8.0 wystarczy jedna wtyczka – Really Simple Security Pro zastępuje wersję darmową i działa samodzielnie, więc po instalacji Pro można usunąć dotychczasowy darmowy plugin Really Simple SSL. Wcześniejszy model wymagał trzymania obu wtyczek aktywnych obok siebie, co dziś już nie obowiązuje. Wersja Pro zawiera wszystkie funkcje wersji darmowej i dokłada do nich firewall, zaawansowany hardening, pełną ochronę logowania, nagłówki bezpieczeństwa oraz automatyczne środki przy podatnościach.
Czy wtyczka przekierowuje http na https?
Tak, Really Simple Security wymusza HTTPS i przekierowuje ruch z HTTP na HTTPS za pomocą przekierowania 301, realizowanego przez PHP lub plik .htaccess. Migracja sprowadza się do jednego kliknięcia i obejmuje też ustawienie bezpiecznych ciasteczek. Oprócz samego przekierowania wtyczka naprawia mixed content, czyli zasoby nadal ładowane przez HTTP, aby strona ładowała się w pełni szyfrowanym połączeniem.
Czy Really Simple SSL jest jeszcze potrzebny skoro mam już https?
Tak, wtyczka pozostaje przydatna nawet po wystawieniu certyfikatu SSL przez hosting, ponieważ samo wystawienie certyfikatu to nie to samo co wymuszenie HTTPS. Really Simple Security dba o poprawne przekierowanie 301 z HTTP, naprawę mixed content oraz dodaje warstwy, których certyfikat nie obejmuje – nagłówek HSTS, hardening i ochronę logowania. Dzięki temu witryna nie tylko ma certyfikat, ale realnie serwuje cały ruch przez szyfrowane połączenie.
Really Simple Security Pro czy Wordfence Pro — co wybrać?
Really Simple Security Pro i Wordfence Pro różnią się przede wszystkim filozofią: Really Simple Security stawia na lekkość, prostotę i minimalny wpływ na wydajność, podczas gdy Wordfence to cięższy pakiet z pełnym firewallem i skanerem malware. Jeśli priorytetem jest wydajne zabezpieczenie logowania, HTTPS, hardening i nagłówki bez obciążania serwera, Really Simple Security Pro dobrze odpowiada na te potrzeby. Gdy liczy się skanowanie i usuwanie malware z plików, ten zakres leży poza zaprojektowanymi funkcjami tej wtyczki.
Czy wtyczka działa na multisite?
Tak, Really Simple Security obsługuje multisite przez dedykowaną stronę ustawień sieciowych dostępną z poziomu sieci. W przypadku wersji Pro na multisite potrzebny jest jednak osobny plugin „Really Simple Security Pro multisite” – standardowa instalacja Pro nie wystarczy do objęcia całej sieci. To rozróżnienie liczy się zwłaszcza dla agencji utrzymujących wiele witryn w ramach jednej instalacji multisite.


Opinie
Na razie nie ma opinii o produkcie.