Twoja strona na WordPressie została zhakowana — co robić krok po kroku

Dziwne przekierowania na stronie. Spam w wynikach Google pod Twoją domeną. Powiadomienia od hostingodawcy. Jeśli to brzmi znajomo, Twoja strona na WordPressie prawdopodobnie została zainfekowana. Panika jest naturalną reakcją, ale nie rozwiązuje problemu. W takiej sytuacji najważniejsze jest szybkie uporządkowanie działań i odcięcie źródła szkody. Im wcześniej zaczniesz działać metodycznie, tym większa szansa, że ograniczysz straty i skrócisz czas niedostępności strony.

Jak rozpoznać włamanie

Nie każdy atak jest oczywisty. Czasem strona wygląda normalnie, ale Google widzi spam. Czasem złośliwy kod działa tylko na telefonach. Szybki test: wpisz w Google frazę „site:twojadomena.pl”. Jeśli widzisz strony po japońsku albo reklamy leków, masz problem. Warto też sprawdzić, czy nie pojawiły się nowe podstrony, użytkownicy albo pliki, których nie było wcześniej. Częstym sygnałem są również nagłe spadki ruchu, ostrzeżenia w przeglądarce albo wiadomości od klientów, że strona zachowuje się podejrzanie.

Pierwsze 30 minut

Nie usuwaj niczego na oślep. Zrób backup, nawet zainfekowanej strony, bo przyda się do analizy. Zmień wszystkie hasła: WordPress, FTP, baza danych, panel hostingu. Powiadom hostingodawcę. Uruchom pełny skan za pomocą wtyczki bezpieczeństwa. Dobrze też tymczasowo ograniczyć dostęp do panelu administracyjnego i sprawdzić, czy na serwerze nie pojawiły się obce konta lub zadania cron. W pierwszej fazie chodzi nie tylko o usunięcie skutków, ale też o zatrzymanie dalszych zmian w plikach i bazie danych.

Czyszczenie

Sprawdzonym źródłem wiedzy na ten temat jest praktyczny poradnik postępowania po włamaniu na WordPressa — prowadzi od identyfikacji zainfekowanych plików, przez czyszczenie bazy danych, po reinstalację core WordPressa. Taki plan działania porządkuje pracę i zmniejsza ryzyko, że pominiesz któryś etap. Przy infekcji WordPressa problem rzadko kończy się na jednym podejrzanym pliku, dlatego trzeba sprawdzić także motyw, wtyczki, katalog uploads i wpisy w bazie danych.

Kluczowe: nie wystarczy usunąć wirusa. Trzeba znaleźć backdoor i go zamknąć. Inaczej za tydzień będziesz w tym samym miejscu. W praktyce oznacza to przejrzenie zmodyfikowanych plików, porównanie ich z czystą wersją WordPressa i usunięcie wszystkich nieautoryzowanych zmian. Dopiero po takim czyszczeniu można odzyskać kontrolę nad stroną w sposób trwały.

Zabezpieczenie na przyszłość

Aktualizuj WordPress, motywy i wtyczki regularnie, bo nieaktualne oprogramowanie często staje się najłatwiejszym punktem wejścia dla atakujących. Używaj silnych haseł i 2FA. Zainstaluj firewall. Rób automatyczne backupy codziennie. I nigdy nie instaluj wtyczek z nieznanych źródeł. Warto też ograniczyć liczbę dodatków do tych, które są naprawdę potrzebne, bo każda zbędna wtyczka zwiększa powierzchnię ryzyka. Dobrą praktyką jest również stały monitoring zmian w plikach i regularny przegląd kont użytkowników z uprawnieniami administratora.

Nowa strona czy naprawa?

Jeśli infekcja jest rozległa, strona zaniedbana od lat i koszt czyszczenia zbliża się do kosztu nowej strony, zbudowanie serwisu od nowa na czystej instalacji bywa szybsze i bezpieczniejsze niż szukanie ostatniego backdoora. Taka decyzja ma sens zwłaszcza wtedy, gdy witryna działa na przestarzałym motywie, ma dużo porzuconych wtyczek i nie była porządnie aktualizowana od dawna. Wtedy naprawa pojedynczego problemu nie usuwa chaosu technicznego, który ułatwił włamanie. Czasem rozsądniej potraktować incydent jako moment na uporządkowanie całej strony, zamiast łatać system, który od dawna wymagał większej przebudowy.