O WordPressie Porady

WordPress zhakowany — co robić krok po kroku

Otwierasz swoją stronę i widzisz coś co tam nie powinno być. Obcy tekst. Przekierowanie na inną domenę. Ogłoszenie w języku rosyjskim. Albo po prostu — biały ekran, gdzie jeszcze wczoraj była strona.

Pierwszy instynkt: panika. Drugi: natychmiast coś kliknąć, usunąć, zmienić.

Zatrzymaj się. Działanie na oślep może utrudnić diagnozę i zniszczyć dowody które pomogą zrozumieć co się stało. Oto co zrobić — w jakiej kolejności.


Jak rozpoznać że WordPress został zhakowany

Nie każde włamanie jest oczywiste. Część infekcji WordPress działa w tle tygodniami, zanim cokolwiek stanie się widoczne. Oto objawy, które powinny wzbudzić podejrzenie:

Widoczne zmiany na stronie:

  • Obca treść, linki do nieznanych stron, reklamy których nie dodawałeś
  • Przekierowanie strony lub niektórych podstron na inny adres
  • Strona wyświetla komunikat „Ta strona może być niebezpieczna” w Google
  • Panel administracyjny niedostępny lub zmienione hasło

Sygnały techniczne:

  • Google Search Console wysyła alert o malware lub nieautoryzowanym dostępie
  • Dostawca hostingu blokuje konto z powodu „podejrzanej aktywności”
  • Drastyczny spadek ruchu organicznego w ciągu kilku dni (Google odindeksowało stronę lub dodało ostrzeżenie)
  • Pliki z podejrzanymi nazwami w folderach WordPress (np. losowe ciągi znaków, pliki .php w folderze uploads)

Pośrednie sygnały:

  • Klienci zgłaszają przekierowania na inne strony
  • Hosting informuje o przeciążeniu serwera (boty używają Twojego serwera do ataków)
  • W Google po wyszukaniu Twojej domeny pojawiają się opisy które nie mają związku z Twoją firmą

Zanim zaczniesz czyścić — zrób to najpierw

1. Nie usuwaj niczego bez rozpoznania

Hakerzy często zostawiają kilka warstw backdoorów. Usunięcie widocznego złośliwego pliku bez znalezienia pozostałych oznacza że infekcja wróci — często w ciągu kilku godzin.

2. Zrób kopię zainfekowanego stanu

Brzmi paradoksalnie — ale kopia zainfekowanej strony może być potrzebna do analizy. Jeśli masz dostęp do FTP — pobierz pliki. Jeśli nie — nie trać na to czasu, przejdź dalej.

3. Zmień wszystkie hasła — natychmiast

Hasło do panelu WordPress (wszystkich kont admin), hasło FTP, hasło do bazy danych (w pliku wp-config.php), hasło do panelu hostingu. Jeśli atakujący ma dostęp do któregokolwiek z tych haseł — przywrócona strona zostanie ponownie zainfekowana.

4. Sprawdź czy masz backup

Jeśli masz świeży backup z okresu przed infekcją — jesteś w relatywnie dobrej sytuacji. Przywrócenie czystego stanu jest możliwe. Pamiętaj: backup z okresu po infekcji może zawierać już złośliwy kod.

Jak sprawdzić kiedy infekcja się zaczęła? Sprawdź datę modyfikacji podejrzanych plików przez FTP lub w menedżerze plików hostingu.


Krok po kroku — jak wyczyścić zhakowany WordPress

Krok 1 — Przejdź stronę w tryb konserwacji

Wyłącz stronę publicznie dostępną — przez hosting (zawieszenie strony) lub przez zmianę pliku .htaccess żeby blokował ruch. Nie chcesz żeby Twoi klienci widzieli zainfekowaną stronę podczas gdy ją naprawiasz.

Krok 2 — Opcja A: Przywróć backup (jeśli masz czysty)

Jeśli masz backup z okresu przed infekcją — to najprostsza i najbezpieczniejsza droga. Przywróć pliki i bazę danych, zmień hasła, zaktualizuj wszystko co było nieaktualne (bo przez to prawdopodobnie się dostali), wdróż zabezpieczenia opisane dalej.

Po przywróceniu backupu — nie kończ pracy. Jeśli nie wiesz jak doszło do włamania, wróci. Sprawdź logi dostępu, zaktualizuj wszystkie wtyczki i rdzeń, zmień hasła.

Krok 2 — Opcja B: Czyść ręcznie (jeśli nie masz backupu)

To żmudna praca. Porządek działania:

Zainstaluj skaner malware. Wtyczka Wordfence Security (bezpłatna) lub Sucuri Security. Uruchom pełne skanowanie. Zapisz co znalazł — to lista podejrzanych plików i zmodyfikowanych plików rdzenia.

Porównaj pliki z czystą instalacją WordPress. Pobierz czystą wersję WordPress z wordpress.org i porównaj pliki rdzenia. Zmodyfikowane pliki rdzenia zastąp czystymi.

Sprawdź wtyczki i motyw. Usuń wszystkie nieaktywne wtyczki i motywy — to częste wektory ataku. Przeinstaluj aktywne wtyczki z ich oryginalnych źródeł (wordpress.org lub autorskie strony).

Wyczyść bazę danych. Złośliwy kod często jest wstrzykiwany do bazy danych (w treści postów, widgetów, ustawień). Przeszukaj tabele pod kątem <script>eval(base64_decode w miejscach gdzie kod JavaScript nie powinien się znaleźć.

Sprawdź plik functions.php każdego motywu i wp-config.php — popularne miejsca na backdoory.

Krok 3 — Zaktualizuj wszystko

Po wyczyszczeniu: zaktualizuj rdzeń WordPress, wszystkie wtyczki, motyw. Usuń wtyczki których nie używasz.

Krok 4 — Poproś Google o ponowne sprawdzenie

Jeśli strona trafiła na blacklistę Google: w Search Console → Bezpieczeństwo i działania ręczne → zażądaj przeglądu. Google zazwyczaj odpowiada w ciągu kilku dni do tygodnia.


Jak sprawdzić czy strona jest na blackliście Google

Wpisz w Google: site:twojadomena.pl i sprawdź czy przy wynikach pojawia się ostrzeżenie „Ta strona może być niebezpieczna”.

Możesz też skorzystać z narzędzi:

Strona na blackliście traci ruch organiczny z dnia na dzień. Powrót po wyczyszczeniu i weryfikacji przez Google to zazwyczaj kilka dni do kilku tygodni.


Jak zabezpieczyć WordPress po ataku — żeby nie wróciło

Wyczyszczenie infekcji bez zabezpieczenia to przepis na powrót problemu. Oto co wdrożyć po każdym ataku:

Aktualizuj regularnie. Ponad 60% zainfekowanych stron WordPress miało przestarzałe oprogramowanie w chwili ataku. Regularne aktualizacje WordPress i wtyczek to pierwsza linia obrony. Procedurę bezpiecznych aktualizacji opisujemy w osobnym artykule.

Silne hasła i 2FA. Wszystkie konta WordPress admin — długie, losowe hasła (menedżer haseł) i dwuskładnikowe uwierzytelnianie (wtyczka WP 2FA lub Wordfence).

Ogranicz dostęp do panelu logowania. Zmień domyślny adres /wp-admin lub /wp-login.php na niestandardowy, ogranicz dostęp do IP biura.

Wtyczka bezpieczeństwa. Wordfence lub Sucuri — firewall aplikacyjny, skanowanie malware, monitoring logowań.

Regularny backup zdalny. Jeśli masz backup — masz wyjście awaryjne. Konfiguracja kopii zapasowej WordPress to praca na 15 minut, która może oszczędzić dni odbudowywania strony.

Usuń nieużywane wtyczki i motywy. Każda nieaktywna wtyczka to potencjalny wektor ataku. Jeśli jej nie używasz — usuń, nie tylko deaktywuj.

Monitoruj stronę. Monitoring uptime i skanowanie bezpieczeństwa powinny być ciągłe, nie jednorazowe. To część profesjonalnej opieki nad WordPress.


Kiedy wezwać specjalistę

Sam możesz sobie poradzić gdy: masz czysty backup, wiesz jak go przywrócić, i rozumiesz jak doszło do włamania.

Wezwij specjalistę gdy:

  • Nie masz backupu z przed infekcji
  • Strona wróciła do zainfekowanego stanu po wyczyszczeniu (backdoor którego nie znalazłeś)
  • Masz sklep WooCommerce z danymi klientów i zamówieniami — wymaga dokładniejszej analizy
  • Nie jesteś pewien że infekcja została w pełni usunięta
  • Strona jest na blackliście Google i nie wiesz jak złożyć wniosek o przegląd

Koszt profesjonalnego usunięcia malware z WordPress: 1 500–3 000 zł, w zależności od skali infekcji i tego czy masz backup. Przy braku backupu i pełnym odtworzeniu — może to być 5 000–15 000 zł.


Najczęstsze pytania o zhakowany WordPress

Jak sprawdzić czy WordPress został zhakowany?

Sprawdź Google Search Console pod kątem alertów bezpieczeństwa, wpisz adres strony w Google Transparency Report i Sucuri SiteCheck. W panelu WordPress: Kokpit → Aktualizacje — sprawdź czy są nieznane konta admin. Przez FTP: przejrzyj daty modyfikacji plików — podejrzane są pliki zmodyfikowane niedawno, których nie powinieneś był dotykać.

Ile kosztuje usunięcie hakowania z WordPress?

Od ok. 1 500 zł za proste przypadki z backup do przywrócenia, do 3 000–8 000 zł przy złożonych infekcjach bez backupu lub przy pełnym audycie bezpieczeństwa po ataku. Cena rośnie ze złożonością infekcji i brakiem backupu.

Dlaczego WordPress jest często atakowany?

Bo jest najpopularniejszą platformą CMS na świecie (43% wszystkich stron). Nie chodzi o to że WordPress jest słaby — chodzi o skalę. Boty atakują masowo, automatycznie, szukając znanych luk w przestarzałych wersjach wtyczek. Strona na aktualnym oprogramowaniu jest znacznie trudniejszym celem.

Czy mogę sam wyczyścić zainfekowany WordPress?

Tak, jeśli masz czysty backup — przywrócenie jest technicznie proste. Bez backupu ręczne czyszczenie jest możliwe, ale ryzykowne — pominięcie jednego backdoora oznacza powrót infekcji. Przy sklepach e-commerce z danymi klientów zdecydowanie warto zlecić to specjaliście.

Jak zabezpieczyć WordPress przed hakerami?

Podstawy: regularne aktualizacje rdzenia i wtyczek, silne hasła i 2FA dla kont admin, backup zdalny, wtyczka bezpieczeństwa (Wordfence), usunięcie nieużywanych wtyczek i motywów. Zaawansowane: ograniczenie dostępu do wp-admin do znanych IP, zmiana domyślnego adresu logowania, monitoring bezpieczeństwa 24/7.

Jak długo trwa powrót z blacklisty Google po ataku?

Po wyczyszczeniu strony i złożeniu wniosku w Search Console — zazwyczaj 3–7 dni. W niektórych przypadkach dłużej. Im szybciej zgłoszysz po wyczyszczeniu, tym szybciej Google zweryfikuje i usunie ostrzeżenie.


Masz zainfekowaną stronę i potrzebujesz pomocy teraz?

Zadzwoń: +48 883-655-181 — reagujemy na sytuacje awaryjne.

Jeśli to nie jest nagłe, napisz do nas i opisz co widzisz na stronie. Odpiszemy z oceną sytuacji i planem działania.

Napisz do nas →

Jeśli chcesz mieć pewność że to się nie powtórzy — stała opieka WordPress obejmuje monitoring bezpieczeństwa, regularne aktualizacje i backup zdalny. Włamania które widzimy zdarzają się na stronach bez opieki.


Artykuł napisany przez zespół SzamaniWP — agencję specjalizującą się wyłącznie w WordPress od 2012 roku.