Otwierasz swoją stronę i widzisz coś co tam nie powinno być. Obcy tekst. Przekierowanie na inną domenę. Ogłoszenie w języku rosyjskim. Albo po prostu — biały ekran, gdzie jeszcze wczoraj była strona.
Pierwszy instynkt: panika. Drugi: natychmiast coś kliknąć, usunąć, zmienić.
Zatrzymaj się. Działanie na oślep może utrudnić diagnozę i zniszczyć dowody które pomogą zrozumieć co się stało. Oto co zrobić — w jakiej kolejności.
Jak rozpoznać że WordPress został zhakowany
Nie każde włamanie jest oczywiste. Część infekcji WordPress działa w tle tygodniami, zanim cokolwiek stanie się widoczne. Oto objawy, które powinny wzbudzić podejrzenie:
Widoczne zmiany na stronie:
- Obca treść, linki do nieznanych stron, reklamy których nie dodawałeś
- Przekierowanie strony lub niektórych podstron na inny adres
- Strona wyświetla komunikat „Ta strona może być niebezpieczna” w Google
- Panel administracyjny niedostępny lub zmienione hasło
Sygnały techniczne:
- Google Search Console wysyła alert o malware lub nieautoryzowanym dostępie
- Dostawca hostingu blokuje konto z powodu „podejrzanej aktywności”
- Drastyczny spadek ruchu organicznego w ciągu kilku dni (Google odindeksowało stronę lub dodało ostrzeżenie)
- Pliki z podejrzanymi nazwami w folderach WordPress (np. losowe ciągi znaków, pliki .php w folderze uploads)
Pośrednie sygnały:
- Klienci zgłaszają przekierowania na inne strony
- Hosting informuje o przeciążeniu serwera (boty używają Twojego serwera do ataków)
- W Google po wyszukaniu Twojej domeny pojawiają się opisy które nie mają związku z Twoją firmą
Zanim zaczniesz czyścić — zrób to najpierw
1. Nie usuwaj niczego bez rozpoznania
Hakerzy często zostawiają kilka warstw backdoorów. Usunięcie widocznego złośliwego pliku bez znalezienia pozostałych oznacza że infekcja wróci — często w ciągu kilku godzin.
2. Zrób kopię zainfekowanego stanu
Brzmi paradoksalnie — ale kopia zainfekowanej strony może być potrzebna do analizy. Jeśli masz dostęp do FTP — pobierz pliki. Jeśli nie — nie trać na to czasu, przejdź dalej.
3. Zmień wszystkie hasła — natychmiast
Hasło do panelu WordPress (wszystkich kont admin), hasło FTP, hasło do bazy danych (w pliku wp-config.php), hasło do panelu hostingu. Jeśli atakujący ma dostęp do któregokolwiek z tych haseł — przywrócona strona zostanie ponownie zainfekowana.
4. Sprawdź czy masz backup
Jeśli masz świeży backup z okresu przed infekcją — jesteś w relatywnie dobrej sytuacji. Przywrócenie czystego stanu jest możliwe. Pamiętaj: backup z okresu po infekcji może zawierać już złośliwy kod.
Jak sprawdzić kiedy infekcja się zaczęła? Sprawdź datę modyfikacji podejrzanych plików przez FTP lub w menedżerze plików hostingu.
Krok po kroku — jak wyczyścić zhakowany WordPress
Krok 1 — Przejdź stronę w tryb konserwacji
Wyłącz stronę publicznie dostępną — przez hosting (zawieszenie strony) lub przez zmianę pliku .htaccess żeby blokował ruch. Nie chcesz żeby Twoi klienci widzieli zainfekowaną stronę podczas gdy ją naprawiasz.
Krok 2 — Opcja A: Przywróć backup (jeśli masz czysty)
Jeśli masz backup z okresu przed infekcją — to najprostsza i najbezpieczniejsza droga. Przywróć pliki i bazę danych, zmień hasła, zaktualizuj wszystko co było nieaktualne (bo przez to prawdopodobnie się dostali), wdróż zabezpieczenia opisane dalej.
Po przywróceniu backupu — nie kończ pracy. Jeśli nie wiesz jak doszło do włamania, wróci. Sprawdź logi dostępu, zaktualizuj wszystkie wtyczki i rdzeń, zmień hasła.
Krok 2 — Opcja B: Czyść ręcznie (jeśli nie masz backupu)
To żmudna praca. Porządek działania:
Zainstaluj skaner malware. Wtyczka Wordfence Security (bezpłatna) lub Sucuri Security. Uruchom pełne skanowanie. Zapisz co znalazł — to lista podejrzanych plików i zmodyfikowanych plików rdzenia.
Porównaj pliki z czystą instalacją WordPress. Pobierz czystą wersję WordPress z wordpress.org i porównaj pliki rdzenia. Zmodyfikowane pliki rdzenia zastąp czystymi.
Sprawdź wtyczki i motyw. Usuń wszystkie nieaktywne wtyczki i motywy — to częste wektory ataku. Przeinstaluj aktywne wtyczki z ich oryginalnych źródeł (wordpress.org lub autorskie strony).
Wyczyść bazę danych. Złośliwy kod często jest wstrzykiwany do bazy danych (w treści postów, widgetów, ustawień). Przeszukaj tabele pod kątem <script>, eval(, base64_decode w miejscach gdzie kod JavaScript nie powinien się znaleźć.
Sprawdź plik functions.php każdego motywu i wp-config.php — popularne miejsca na backdoory.
Krok 3 — Zaktualizuj wszystko
Po wyczyszczeniu: zaktualizuj rdzeń WordPress, wszystkie wtyczki, motyw. Usuń wtyczki których nie używasz.
Krok 4 — Poproś Google o ponowne sprawdzenie
Jeśli strona trafiła na blacklistę Google: w Search Console → Bezpieczeństwo i działania ręczne → zażądaj przeglądu. Google zazwyczaj odpowiada w ciągu kilku dni do tygodnia.
Jak sprawdzić czy strona jest na blackliście Google
Wpisz w Google: site:twojadomena.pl i sprawdź czy przy wynikach pojawia się ostrzeżenie „Ta strona może być niebezpieczna”.
Możesz też skorzystać z narzędzi:
- Google Transparency Report (google.com/transparencyreport/safebrowsing/) — wpisz adres strony
- Sucuri SiteCheck (sitecheck.sucuri.net) — bezpłatny skaner blacklist i malware
- Google Search Console → Bezpieczeństwo i działania ręczne
Strona na blackliście traci ruch organiczny z dnia na dzień. Powrót po wyczyszczeniu i weryfikacji przez Google to zazwyczaj kilka dni do kilku tygodni.
Jak zabezpieczyć WordPress po ataku — żeby nie wróciło
Wyczyszczenie infekcji bez zabezpieczenia to przepis na powrót problemu. Oto co wdrożyć po każdym ataku:
Aktualizuj regularnie. Ponad 60% zainfekowanych stron WordPress miało przestarzałe oprogramowanie w chwili ataku. Regularne aktualizacje WordPress i wtyczek to pierwsza linia obrony. Procedurę bezpiecznych aktualizacji opisujemy w osobnym artykule.
Silne hasła i 2FA. Wszystkie konta WordPress admin — długie, losowe hasła (menedżer haseł) i dwuskładnikowe uwierzytelnianie (wtyczka WP 2FA lub Wordfence).
Ogranicz dostęp do panelu logowania. Zmień domyślny adres /wp-admin lub /wp-login.php na niestandardowy, ogranicz dostęp do IP biura.
Wtyczka bezpieczeństwa. Wordfence lub Sucuri — firewall aplikacyjny, skanowanie malware, monitoring logowań.
Regularny backup zdalny. Jeśli masz backup — masz wyjście awaryjne. Konfiguracja kopii zapasowej WordPress to praca na 15 minut, która może oszczędzić dni odbudowywania strony.
Usuń nieużywane wtyczki i motywy. Każda nieaktywna wtyczka to potencjalny wektor ataku. Jeśli jej nie używasz — usuń, nie tylko deaktywuj.
Monitoruj stronę. Monitoring uptime i skanowanie bezpieczeństwa powinny być ciągłe, nie jednorazowe. To część profesjonalnej opieki nad WordPress.
Kiedy wezwać specjalistę
Sam możesz sobie poradzić gdy: masz czysty backup, wiesz jak go przywrócić, i rozumiesz jak doszło do włamania.
Wezwij specjalistę gdy:
- Nie masz backupu z przed infekcji
- Strona wróciła do zainfekowanego stanu po wyczyszczeniu (backdoor którego nie znalazłeś)
- Masz sklep WooCommerce z danymi klientów i zamówieniami — wymaga dokładniejszej analizy
- Nie jesteś pewien że infekcja została w pełni usunięta
- Strona jest na blackliście Google i nie wiesz jak złożyć wniosek o przegląd
Koszt profesjonalnego usunięcia malware z WordPress: 1 500–3 000 zł, w zależności od skali infekcji i tego czy masz backup. Przy braku backupu i pełnym odtworzeniu — może to być 5 000–15 000 zł.
Najczęstsze pytania o zhakowany WordPress
Jak sprawdzić czy WordPress został zhakowany?
Sprawdź Google Search Console pod kątem alertów bezpieczeństwa, wpisz adres strony w Google Transparency Report i Sucuri SiteCheck. W panelu WordPress: Kokpit → Aktualizacje — sprawdź czy są nieznane konta admin. Przez FTP: przejrzyj daty modyfikacji plików — podejrzane są pliki zmodyfikowane niedawno, których nie powinieneś był dotykać.
Ile kosztuje usunięcie hakowania z WordPress?
Od ok. 1 500 zł za proste przypadki z backup do przywrócenia, do 3 000–8 000 zł przy złożonych infekcjach bez backupu lub przy pełnym audycie bezpieczeństwa po ataku. Cena rośnie ze złożonością infekcji i brakiem backupu.
Dlaczego WordPress jest często atakowany?
Bo jest najpopularniejszą platformą CMS na świecie (43% wszystkich stron). Nie chodzi o to że WordPress jest słaby — chodzi o skalę. Boty atakują masowo, automatycznie, szukając znanych luk w przestarzałych wersjach wtyczek. Strona na aktualnym oprogramowaniu jest znacznie trudniejszym celem.
Czy mogę sam wyczyścić zainfekowany WordPress?
Tak, jeśli masz czysty backup — przywrócenie jest technicznie proste. Bez backupu ręczne czyszczenie jest możliwe, ale ryzykowne — pominięcie jednego backdoora oznacza powrót infekcji. Przy sklepach e-commerce z danymi klientów zdecydowanie warto zlecić to specjaliście.
Jak zabezpieczyć WordPress przed hakerami?
Podstawy: regularne aktualizacje rdzenia i wtyczek, silne hasła i 2FA dla kont admin, backup zdalny, wtyczka bezpieczeństwa (Wordfence), usunięcie nieużywanych wtyczek i motywów. Zaawansowane: ograniczenie dostępu do wp-admin do znanych IP, zmiana domyślnego adresu logowania, monitoring bezpieczeństwa 24/7.
Jak długo trwa powrót z blacklisty Google po ataku?
Po wyczyszczeniu strony i złożeniu wniosku w Search Console — zazwyczaj 3–7 dni. W niektórych przypadkach dłużej. Im szybciej zgłoszysz po wyczyszczeniu, tym szybciej Google zweryfikuje i usunie ostrzeżenie.
Masz zainfekowaną stronę i potrzebujesz pomocy teraz?
Zadzwoń: +48 883-655-181 — reagujemy na sytuacje awaryjne.
Jeśli to nie jest nagłe, napisz do nas i opisz co widzisz na stronie. Odpiszemy z oceną sytuacji i planem działania.
Jeśli chcesz mieć pewność że to się nie powtórzy — stała opieka WordPress obejmuje monitoring bezpieczeństwa, regularne aktualizacje i backup zdalny. Włamania które widzimy zdarzają się na stronach bez opieki.
Artykuł napisany przez zespół SzamaniWP — agencję specjalizującą się wyłącznie w WordPress od 2012 roku.

