Dlaczego WordPress jest hackowany? Najczęstsze błędy i ataki.

Dlaczego WordPress jest hackowany? Najczęstsze błędy i ataki.

W Spider-Manie wujek Ben powiedział Peterowi: „z wielką mocą przychodzi wielka odpowiedzialność”.

W przypadku WordPressa można to spokojnie sparafrazować: z dużą popularnością wiąże się duże ryzyko.

Im coś popularniejsze, tym częściej staje się celem. A WordPress - mimo upływu lat, kolejnych „rewolucyjnych” CMS-ów i regularnych zapowiedzi jego rychłego końca - nadal jest jednym z najczęściej wybieranych systemów do budowy stron internetowych. I nic nie wskazuje na to, żeby miało się to szybko zmienić.

Jeśli szukasz pełnego przewodnika o tym, jak zabezpieczyć WordPress krok po kroku, zacznij od głównego artykułu o zabezpieczeniu WordPressa. Ten tekst jest jego rozwinięciem. Zamiast szerokiego „co robić”, skupimy się tutaj na tym, co najczęściej idzie źle: błędach, typowych atakach i sygnałach ostrzegawczych, że z Twoją stroną dzieje się coś, czego raczej nie planowałeś.

Ilustracja pulpitu WordPress z tarczą i znacznikiem wyboru z przodu, obok kreskówkowego rycerza trzymającego miecz i tarczę, reprezentującego bezpieczeństwo strony internetowej.

Czy WordPress jest bezpieczny?

Tak - pod warunkiem, że jest aktualizowany, utrzymywany i zwyczajnie pilnowany.

Sam WordPress nie jest problemem. Jak większość narzędzi, działa dokładnie tak, jak go używasz. Problem zaczyna się wtedy, gdy strona zostaje pozostawiona sama sobie. Bez aktualizacji, bez kontroli, z przypadkowymi wtyczkami, słabymi hasłami i klasycznym podejściem: „przecież działa, to po co ruszać?”.

A później przychodzi płacz, często nie tylko materialny, ale też wizerunkowy.

Większość stron WordPress nie jest hackowana dlatego, że ktoś przeprowadził na nie spektakularny cyberatak rodem z filmu. Najczęściej są po prostu źle utrzymywane.

Z mojej strony bardzo często wygląda to podobnie: strona „działa od lat”, nikt jej nie ruszał, wszystko wydaje się w porządku i nagle:

  • przestają działać maile,
  • pojawia się spam w Google,
  • strona zaczyna dziwnie przekierowywać,
  • albo klient dowiaduje się o problemie… od własnych klientów.

I w większości takich przypadków nie było żadnego wielkiego „ataku hakerskiego”. Był brak aktualizacji, za dużo dodatków i instalowanie wszystkiego jak leci, bo szablon sugerował osiem wtyczek, z których realnie potrzebne były może dwie.

Ilustracja osoby w żółtym prochowcu i kapeluszu trzymającej szkło powiększające, badającej kod na ekranie komputera, gdzie wśród cyfr binarnych podświetlony jest ERROR.

Najczęstsze błędy, przez które WordPress staje się łatwym celem

Większość problemów z bezpieczeństwem WordPressa nie zaczyna się od ataku. Zaczyna się od zaniedbania. To ważna różnica, bo atak zwykle jest tylko wykorzystaniem okazji, którą ktoś wcześniej sam przygotował.

Brak aktualizacji

To klasyk. Strona działa, więc nikt jej nie rusza. WordPress, motywy i wtyczki stoją miesiącami, czasem latami, bo „przecież nic się nie dzieje”.

Do czasu.

Problem w tym, że stare wersje oprogramowania często mają znane podatności. A jeśli luka jest znana, to boty zwykle już wiedzą, jak ją wykorzystać. Czyli nie trzeba być wyjątkowo interesującą firmą, żeby wpaść w czyjś automat do skanowania internetu.

Za dużo wtyczek

WordPress daje ogromną swobodę rozbudowy. I to jest jego siła. Ale też jedna z największych słabości, jeśli ktoś zaczyna traktować wtyczki jak naklejki na laptopie.

Każda dodatkowa wtyczka to:

  • kolejny fragment kodu,
  • kolejna potencjalna luka,
  • kolejny element, który trzeba aktualizować i monitorować.

Im więcej dodatków, tym większa powierzchnia ataku i tym trudniejsza kontrola nad tym, co właściwie działa na stronie.

Wtyczki i motywy z niepewnego źródła

Darmowe „premium”, nulled plugins, motywy pobrane z podejrzanych stron i cudowne paczki typu „wszystko do WordPressa za darmo” to nie oszczędność. To tani skrót do problemów.

Nie wiesz:

  • kto to zmodyfikował,
  • co zostało dodane,
  • kiedy to wybuchnie.

A potem zdziwienie, że po instalacji „okazji” strona nagle zaczyna robić rzeczy, których nikt jej nie kazał robić.

Słabe hasła i brak kontroli dostępu

Niektóre rzeczy są tak banalne, że aż głupio o nich pisać. Ale potem i tak okazuje się, że hasło administratora wygląda jak miks nazwy firmy, roku i wykrzyknika.

Słabe hasła, brak 2FA, zbyt szerokie uprawnienia użytkowników i brak ograniczeń logowania to prosty sposób, żeby zamienić panel WordPressa w drzwi otwarte dla bota.

Zerowa higiena techniczna

Są też strony, które przez lata obrastają cyfrowym kurzem:

  • nieaktywne wtyczki,
  • stare motywy,
  • porzucone konta użytkowników,
  • pliki, których nikt już nie kontroluje,
  • dziwne rozwiązania dodane „na chwilę”, które zostały na zawsze.

To właśnie w takim bałaganie bardzo często zaczyna się problem. Nie od hakera. Od zaniedbanego środowiska.

Ilustracja zamaskowanego hakera w bluzie z kapturem korzystającego z laptopa, z ikonami ostrzegawczymi, fragmentami kodu pokazującymi nazwy użytkowników, statusy błędów i ikoną robota, symbolizującą cyberatak lub próbę włamania.

Najczęstsze ataki na WordPress

Większość ataków na WordPress nie wygląda jak scena z thrillera technologicznego. To nie jest grupa ludzi w kapturach, która wybiera akurat Twoją stronę, bo ma wobec niej osobistą misję.

Najczęściej to proste, automatyczne i powtarzalne schematy, które działają, bo ktoś zostawił uchylone drzwi.

Brute force - czyli odgadywanie hasła do skutku

Bot zna adres logowania /wp-admin albo /wp-login.php i próbuje kolejnych haseł. Jedno po drugim. Nie musi być sprytny. Wystarczy, że jest cierpliwy.

Jeśli strona nie ma żadnych ograniczeń logowania, nie ma 2FA, a hasło jest słabe, to taki atak nie wymaga żadnej finezji. Wymaga tylko czasu.

I z tym boty akurat nie mają problemu.

Złośliwe lub podatne wtyczki i motywy

To, że coś da się zainstalować, nie oznacza jeszcze, że to dobry pomysł.

Zdarza się, że problemem jest porzucona wtyczka, stary motyw albo kod napisany byle szybciej, byle działało. Czasem wystarczy usunięcie jednej nieaktualnej wtyczki i aktualizacja systemu, żeby zamknąć całą lukę.

W praktyce ogromna część znanych podatności w ekosystemie WordPressa dotyczy właśnie wtyczek i motywów, a nie samego rdzenia systemu.

SQL Injection i XSS

Brzmi technicznie, ale mechanizm bywa prosty: strona dostaje dane, których nie powinna zaakceptować, a potem robi coś, czego nie powinna zrobić.

Najczęściej wynika to z:

  • błędów w kodzie,
  • braku walidacji danych,
  • starych albo źle napisanych dodatków.

Czyli znowu - nie magia, tylko zaniedbanie.

Malware i spam SEO

To jeden z bardziej podstępnych scenariuszy, bo strona może przez dłuższy czas wyglądać normalnie.

Na pierwszy rzut oka wszystko działa, ale:

  • pojawiają się dziwne linki,
  • Google pokazuje inne treści niż Ty widzisz,
  • użytkownicy trafiają na podejrzane strony,
  • wyszukiwarka zaczyna traktować Twoją witrynę jak problem.

I wtedy robi się naprawdę nieprzyjemnie, bo problem nie kończy się na technikaliach. Zaczyna dotyczyć marki, widoczności i zaufania.

Ataki przez XML-RPC i podobne mechanizmy

XML-RPC pozwala na zdalne operacje na stronie. Sam w sobie nie jest „zły”, ale bywa nadużywany do masowych prób logowania i przeciążania serwera.

Jeśli z niego nie korzystasz, zostawianie go otwartego tylko dlatego, że „jest domyślnie”, nie ma większego sensu. To trochę jak zostawienie zapasowych drzwi otwartych, bo przecież może kiedyś się przydadzą.

To nie jest zaawansowany hacking, tylko wykorzystywanie prostych luk w logowaniu. Jeśli chcesz to faktycznie zamknąć, a nie tylko „mieć świadomość”, zobacz tutaj → bezpieczeństwo logowania do WordPress

Ilustracja ceglanego muru z logo WordPress, znakiem ostrzegawczym, ikoną czaszki, fragmentami kodu wskazującymi na próby włamania i paskami postępu omijania zapory sieciowej, symbolizującymi naruszenie bezpieczeństwa WordPress.

Po czym poznać, że WordPress ma problem?

Najgorsze w problemach z bezpieczeństwem WordPressa jest to, że często długo nie wyglądają jak problem.

Strona się otwiera. Logo nadal jest na miejscu. Formularz czasem działa. W panelu niby wszystko wygląda znajomo. A obok zaczyna rozjeżdżać się cała reszta.

Typowe sygnały ostrzegawcze to:

  • spam w wynikach Google,
  • dziwne przekierowania,
  • problemy z wysyłką maili,
  • ostrzeżenia od hostingu,
  • nieznane wpisy, komentarze albo linki,
  • nagłe spadki widoczności,
  • komunikaty w Google Search Console,
  • podejrzane pliki lub nietypowy ruch na serwerze.

Najgorszy scenariusz? Dowiedzieć się o problemie z maila klienta (lub telefonu jeśli masz szczęście) albo informacji z Google lub innego serwisu który uznał Twoją stronę za podejrzaną. Wtedy zaczynasz od naprawy a nie profilaktyki.

Ilustracja osoby z laptopem i szkłem powiększającym obok pulpitu nawigacyjnego wtyczek WordPress, podkreślająca poziomy ryzyka wtyczek z etykietami "NISKI" i "ŚREDNI" obok ikon tarcz.

Wtyczki i motywy: miejsce, w którym najczęściej zaczyna się problem

Większość włamań na WordPressa zaczyna się właśnie tutaj. Nie dlatego, że każda wtyczka jest zła. Tylko dlatego, że to właśnie dodatki są najczęściej stare oraz nieaktualizowane, niektóre są wręcz porzucane z różnych powodów przez deweloperów. Inne są źle napisane (kiepskiej jakości kod) lub instalowane bez zastanowienia.

Dlaczego wtyczki są tak częstym problemem?

Każda wtyczka to dodatkowy kod. A każdy dodatkowy kod to potencjalne miejsce, w którym coś może być źle zrobione.

Im więcej wtyczek, tym:

  • większa powierzchnia ataku,
  • większe ryzyko konfliktów,
  • większy bałagan,
  • mniejsza kontrola.

I nagle okazuje się, że zamiast strony masz patchwork, nad którym nikt już nie panuje.

Jak sprawdzić, czy wtyczka jest bezpieczna?

Nie trzeba być programistą, żeby odsiać najgorsze przypadki. Wystarczy odrobina zdrowego rozsądku.

Sprawdź:

  • kiedy była ostatnia aktualizacja,
  • ile aktywnych instalacji ma wtyczka,
  • czy autor odpowiada na zgłoszenia,
  • czy nie ma świeżych problemów zgłaszanych przez użytkowników.

Jeśli coś nie było aktualizowane od kilku lat, to nie jest „ukryty skarb”. To częściej cyfrowy trup, którego ktoś jeszcze nie wyniósł.

Nulled plugins - czyli proszenie się o kłopoty

Pirackie, zmodyfikowane wersje płatnych wtyczek to jeden z najprostszych sposobów na infekcję strony.

Instalując taki dodatek, w praktyce wrzucasz na firmową stronę obcy kod i liczysz, że nic złego się nie stanie. To już nie jest oszczędność. To hazard.

Ile wtyczek to za dużo?

Nie ma jednej liczby. Nie chodzi o to, czy masz pięć, osiem czy piętnaście wtyczek. Chodzi o to, czy każda z nich jest potrzebna, aktualna i sensownie dobrana.

Najprostsza zasada brzmi: jeśli nie wiesz, po co dana wtyczka jest zainstalowana, prawdopodobnie nie powinna tam być.

Ilustracja formularza logowania WordPress przed żółtą tarczą, symbolizującą bezpieczeństwo i ochronę dostępu do strony internetowej.

Słabo zabezpieczone logowanie to zaproszenie dla botów

Panel logowania WordPressa jest publiczny i przewidywalny. Dla użytkownika to wygodne. Dla bota jeszcze bardziej.

Wystarczy sprawdzić adres logowania i rozpocząć próby. Jeśli po drugiej stronie nie ma sensownych zabezpieczeń, automat robi dokładnie to, do czego został stworzony: testuje, próbuje, powtarza.

Najczęstsze błędy w tym obszarze to:

  • brak ograniczenia prób logowania,
  • brak 2FA,
  • brak dodatkowej ochrony panelu,
  • pozostawiony aktywny XML-RPC mimo braku potrzeby,
  • słabe hasła.

Jeśli chcesz wdrożyć to krok po kroku, warto rozdzielić ten temat do osobnego poradnika o zabezpieczeniu logowania do WordPressa. Tutaj najważniejsze jest jedno: słabo chroniony panel administracyjny bardzo szybko staje się pierwszym miejscem, od którego zaczyna się problem.

Kreskówkowa ilustracja przedstawiająca policjanta na żółtym tle naprzeciwko zamaskowanego hakera z laptopem na czerwonym tle, z pogrubionym VS oddzielającym ich, symbolizującym konflikt cyberbezpieczeństwa.

Ile kosztuje bezpieczeństwo WordPressa, a ile kosztuje jego brak?

To jest ten moment, w którym wiele osób zaczyna oszczędzać na rzeczy, na której akurat oszczędzać nie warto.

Zabezpieczenia kosztują. Monitoring kosztuje. Opieka techniczna kosztuje. Ale brak tych rzeczy zwykle kosztuje znacznie więcej, tylko rachunek przychodzi później i zazwyczaj w dużo gorszym momencie.

Koszt zaniedbań może oznaczać:

  • utratę SEO,
  • utratę danych,
  • utratę klientów,
  • straty wizerunkowe,
  • czas potrzebny na sprzątanie,
  • dodatkowe wdrożenia i naprawy,
  • nerwy, których nikt rozsądny nie wpisuje do excela, a szkoda.

Najgorsze w bezpieczeństwie WordPressa jest to, że oszczędności kończą się zwykle dopiero wtedy, gdy zaczynają kosztować naprawdę dużo.

Co zrobić, jeśli problem już się wydarzył?

Jeśli doszło do włamania albo infekcji, najgorsze co możesz zrobić to wpaść w panikę i zacząć naprawiać wszystko na szybko, bez zrozumienia źródła problemu.

Najpierw trzeba:

  • odciąć dostęp lub ograniczyć szkody,
  • zrobić kopię strony i plików,
  • przeskanować środowisko,
  • ustalić, co było źródłem problemu,
  • zaktualizować system, motywy i wtyczki,
  • zmienić hasła,
  • dopiero potem czyścić i przywracać działanie.

Improwizacja przy włamaniu zwykle kończy się dokładaniem sobie roboty. A czasem także usuwaniem śladów, które mogły pomóc ustalić, co właściwie poszło źle.

Podsumowanie

Wordfence oraz trzy losowe wtyczki i nadzieja to nadal nie strategia bezpieczeństwa.

Jeśli chcesz wiedzieć, dlaczego WordPress bywa hackowany, odpowiedź zwykle nie jest specjalnie egzotyczna. To najczęściej mieszanka braku aktualizacji, nadmiaru wtyczek, słabego zabezpieczenia logowania do panelu, bałaganu technicznego i klasycznego „zajmiemy się tym później”.

Tyle że „później” w takich sprawach często przychodzi dokładnie wtedy, gdy najmniej go potrzebujesz.

Bezpieczeństwo WordPressa nie zaczyna się od paniki po incydencie. Zaczyna się dużo wcześniej od porządku, aktualizacji, kontroli i decyzji, żeby nie robić ze strony łatwego celu.


FAQ

Czy WordPress jest bezpieczny?

Tak - pod warunkiem, że jest regularnie aktualizowany i poprawnie skonfigurowany. Sam WordPress rzadko jest problemem. Najczęściej źródłem podatności są wtyczki, słabe hasła i brak aktualizacji.

Co najczęściej prowadzi do włamań na WordPressa?

Najczęściej są to brak aktualizacji, słabe hasła, brak 2FA, stare wtyczki, dodatki z niepewnych źródeł i ogólny bałagan techniczny.

Czy większość włamań wynika z dziur w samym WordPressie?

Nie. W praktyce znacznie częściej problem leży we wtyczkach, motywach albo sposobie utrzymania strony.

Po czym poznać, że WordPress może być zainfekowany?

Typowe sygnały to spam w Google, dziwne przekierowania, problemy z mailami, ostrzeżenia od hostingu, nieznane linki lub treści oraz nagłe spadki widoczności.

Czy darmowe wtyczki są niebezpieczne?

Nie same z siebie. Problemem są raczej wtyczki porzucone, źle napisane albo pobierane z niepewnych źródeł.

Czy XML-RPC trzeba wyłączyć?

Jeśli z niego nie korzystasz, zwykle nie ma sensu zostawiać go aktywnego. Może być wykorzystywany do nadużyć, więc lepiej nie trzymać otwartych drzwi bez powodu.

Co zrobić po włamaniu na WordPress?

Nie działać chaotycznie. Najpierw zabezpieczyć środowisko, zrobić kopię, ustalić źródło problemu, zaktualizować wszystko i dopiero potem czyścić oraz przywracać stronę.

Czy warto zlecić opiekę nad bezpieczeństwem WordPressa?

Jeśli nie masz czasu albo zaplecza technicznego, to zwykle tak. Bezpieczeństwo nie polega na jednorazowym kliknięciu, tylko na regularnej opiece, monitoringu i sensownej reakcji.

Adam Anlauf
Adam Anlauf

CEO

O autorze.

Od lat związany z szeroko rozumianą informatyką. Pierwszą stronę stworzyłem w liceum, za co otrzymałem wyróżnienie.

Ciągle uczę się, aby dorównać tempu rozwoju nowoczesnych technologii łącząc je z wiedzą o psychologii aby zwiększać skuteczność stron i aplikacji internetowych.

wróć do artykułów