Twoja strona na WordPressie została zhakowana — co robić krok po kroku

Dziwne przekierowania na stronie. Spam w wynikach Google pod Twoją domeną. Powiadomienia od hostingodawcy. Jeśli to brzmi znajomo, Twoja strona na WordPressie prawdopodobnie została zainfekowana. Panika jest naturalną reakcją, ale nie rozwiązuje problemu. W takiej sytuacji najważniejsze jest szybkie uporządkowanie działań i odcięcie źródła szkody. Im wcześniej zaczniesz działać metodycznie, tym większa szansa, że ograniczysz straty i skrócisz czas niedostępności strony.
Jak rozpoznać włamanie
Nie każdy atak jest oczywisty. Czasem strona wygląda normalnie, ale Google widzi spam. Czasem złośliwy kod działa tylko na telefonach. Szybki test: wpisz w Google frazę „site:twojadomena.pl”. Jeśli widzisz strony po japońsku albo reklamy leków, masz problem. Warto też sprawdzić, czy nie pojawiły się nowe podstrony, użytkownicy albo pliki, których nie było wcześniej. Częstym sygnałem są również nagłe spadki ruchu, ostrzeżenia w przeglądarce albo wiadomości od klientów, że strona zachowuje się podejrzanie.
Pierwsze 30 minut
Nie usuwaj niczego na oślep. Zrób backup, nawet zainfekowanej strony, bo przyda się do analizy. Zmień wszystkie hasła: WordPress, FTP, baza danych, panel hostingu. Powiadom hostingodawcę. Uruchom pełny skan za pomocą wtyczki bezpieczeństwa. Dobrze też tymczasowo ograniczyć dostęp do panelu administracyjnego i sprawdzić, czy na serwerze nie pojawiły się obce konta lub zadania cron. W pierwszej fazie chodzi nie tylko o usunięcie skutków, ale też o zatrzymanie dalszych zmian w plikach i bazie danych.
Czyszczenie
Sprawdzonym źródłem wiedzy na ten temat jest praktyczny poradnik postępowania po włamaniu na WordPressa — prowadzi od identyfikacji zainfekowanych plików, przez czyszczenie bazy danych, po reinstalację core WordPressa. Taki plan działania porządkuje pracę i zmniejsza ryzyko, że pominiesz któryś etap. Przy infekcji WordPressa problem rzadko kończy się na jednym podejrzanym pliku, dlatego trzeba sprawdzić także motyw, wtyczki, katalog uploads i wpisy w bazie danych.
Kluczowe: nie wystarczy usunąć wirusa. Trzeba znaleźć backdoor i go zamknąć. Inaczej za tydzień będziesz w tym samym miejscu. W praktyce oznacza to przejrzenie zmodyfikowanych plików, porównanie ich z czystą wersją WordPressa i usunięcie wszystkich nieautoryzowanych zmian. Dopiero po takim czyszczeniu można odzyskać kontrolę nad stroną w sposób trwały.
Zabezpieczenie na przyszłość
Aktualizuj WordPress, motywy i wtyczki regularnie, bo nieaktualne oprogramowanie często staje się najłatwiejszym punktem wejścia dla atakujących. Używaj silnych haseł i 2FA. Zainstaluj firewall. Rób automatyczne backupy codziennie. I nigdy nie instaluj wtyczek z nieznanych źródeł. Warto też ograniczyć liczbę dodatków do tych, które są naprawdę potrzebne, bo każda zbędna wtyczka zwiększa powierzchnię ryzyka. Dobrą praktyką jest również stały monitoring zmian w plikach i regularny przegląd kont użytkowników z uprawnieniami administratora.
Nowa strona czy naprawa?
Jeśli infekcja jest rozległa, strona zaniedbana od lat i koszt czyszczenia zbliża się do kosztu nowej strony, zbudowanie serwisu od nowa na czystej instalacji bywa szybsze i bezpieczniejsze niż szukanie ostatniego backdoora. Taka decyzja ma sens zwłaszcza wtedy, gdy witryna działa na przestarzałym motywie, ma dużo porzuconych wtyczek i nie była porządnie aktualizowana od dawna. Wtedy naprawa pojedynczego problemu nie usuwa chaosu technicznego, który ułatwił włamanie. Czasem rozsądniej potraktować incydent jako moment na uporządkowanie całej strony, zamiast łatać system, który od dawna wymagał większej przebudowy.
Ostatnie Artykuły

Kwiaty, które wychodzą poza ogród. Muzeum Śląskie pokaże niezwykłą czeską wystawę

Rolna i Bugla skracają godziny. Pogoda wymusiła wcześniejsze zamknięcie

Vader na katowickim Rynku - ten patrol ma studzić każdy zły pomysł

Psy służbowe i elektryczny radiowóz skradły uwagę półkolonii w Katowicach

Policyjne rowery wróciły na Katowice - tam radiowóz nie dojedzie

Katowicki letni parkiet ruszy w Szopienicach - będzie dancing i karaoke

Tkocze z Katowic ruszają nad morze. Teatr Śląski zagra w Gdańsku

Trzech kierowców straciło prawa jazdy jednego dnia - tak jeździli w Katowicach

KAS przypomina o kasach fiskalnych. Latem kontrole idą pełną parą

Kia 39-latka trafiła na lawetę, a straż miejska dołożyła 800 zł

Zadole zacznie dzień wcześniej. Korty i siłownia ruszą w nowym rytmie

Nawigacja podsuwa zły manewr na S1. Przy tunelach robi się naprawdę groźnie

Ponad 500 mln zł dla śląskich hut. Plan ma wzmocnić stalowy filar regionu

Śląski Hamlet znów podgrzewa rozmowę - dwie recenzje, jeden mocny punkt
Przydatne dane teleadresowe
- Węglokoks Energia Katowice - kontakt, biuro obsługi klienta, zgłaszanie awarii
- Powiatowa Stacja Sanitarno-Epidemiologiczna w Katowicach - kontakt, godziny, zgłoszenia
- Drugi Urząd Skarbowy w Katowicach - kontakt, godziny, zasięg terytorialny
- Wyższy Urząd Górniczy w Katowicach - kontakt, godziny i zadania
- Pierwszy Urząd Skarbowy w Katowicach - adres, kontakt, godziny i e-usługi
- Okręgowy Szpital Kolejowy w Katowicach - kontakt, oddziały, rejestracja

