Strona WordPress zhakowana — protokół odzyskiwania strony

Odkryłeś, że Twoja strona WordPress została zhakowana? To stresująca sytuacja, ale nie panikuj. W tym poradniku przeprowadzimy Cię przez cały proces odzyskania strony — krok po kroku.

Spis treści

• Jak rozpoznać, że WordPress został zhakowany?
• Krok 1: Zachowaj spokój i zabezpiecz dowody
• Krok 2: Przełącz stronę w tryb konserwacji
• Krok 3: Zmień wszystkie hasła
• Krok 4: Przywróć z czystego backupu
• Krok 5: Ręczne czyszczenie (gdy brak backupu)
• Krok 6: Zabezpiecz stronę na przyszłość
• Krok 7: Usuń stronę z blacklist
• Ile kosztuje odzyskanie zhakowanej strony?
• Jak zapobiec kolejnemu atakowi?
• Podsumowanie

Jak rozpoznać, że WordPress został zhakowany?

Zanim przejdziemy do działań naprawczych, upewnij się że rzeczywiście masz do czynienia z włamaniem. Oto najczęstsze objawy:

Objawy widoczne dla użytkowników:

• Przekierowania na inne strony (często kasyna, farmacja, porno)
• Dziwne treści — spam, linki do podejrzanych stron
• Ostrzeżenie Google — “Ta strona może być niebezpieczna”
• Strona nie działa lub wyświetla błędy
• Zmieniony wygląd — podmieniona strona główna

Objawy w panelu administracyjnym:

• Nowi użytkownicy z uprawnieniami administratora
• Nieznane wtyczki lub motywy
• Zmodyfikowane pliki (sprawdź daty modyfikacji)
• Dziwne wpisy w bazie danych

Objawy techniczne:

• Ostrzeżenia od firmy hostingowej
• Strona na blackliście Google (sprawdź w Search Console)
• Zwiększone zużycie zasobów serwera
• Spam wysyłany z Twojego serwera

Krok 1: Zachowaj spokój i zabezpiecz dowody

Nie usuwaj niczego od razu! Najpierw:

1. Zrób screenshot wszystkich podejrzanych zmian
2. Zapisz listę nieznanych użytkowników i wtyczek
3. Sprawdź logi serwera (access.log, error.log)
4. Zanotuj datę kiedy zauważyłeś problem

Te informacje przydadzą się przy analizie i zapobieganiu przyszłym atakom.

Krok 2: Przełącz stronę w tryb konserwacji

Nie pozwól, by zhakowana strona dalej działała i zarażała odwiedzających lub wysyłała spam.

Opcja A: Przez hosting

Większość paneli hostingowych ma opcję “Maintenance mode” lub możliwość wyłączenia strony.

Opcja B: Ręcznie przez .htaccess

Dodaj na początek pliku .htaccess:

RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^TWOJ\.ADRES\.IP$
RewriteRule .* - [R=503,L]
ErrorDocument 503 "Strona w trakcie konserwacji"

Zamień TWOJ\.ADRES\.IP na swój adres IP (sprawdź na whatismyip.com).

Krok 3: Zmień wszystkie hasła

Natychmiast zmień:

1. Hasło do wp-admin — wszystkich administratorów
2. Hasło FTP/SFTP
3. Hasło do bazy danych (w pliku wp-config.php)
4. Hasło do panelu hostingu
5. Klucze bezpieczeństwa WordPress (AUTH_KEY, SECURE_AUTH_KEY, itd.)

Nowe klucze wygenerujesz na: https://api.wordpress.org/secret-key/1.1/salt/

Krok 4: Przywróć z czystego backupu

Jeśli masz backup sprzed włamania — to najszybsza droga do odzyskania strony.

Przed przywróceniem:

• Upewnij się, że backup jest CZYSTY (sprzed ataku)
• Sprawdź datę ostatniego backupu
• Przygotuj się na utratę danych od tego czasu

Jak znaleźć czysty backup:

1. Sprawdź automatyczne backupy hostingu
2. Sprawdź wtyczkę backupową (UpdraftPlus, Jetpack)
3. Skontaktuj się z firmą hostingową

Nie masz backupu? Przejdź do ręcznego czyszczenia (Krok 5).

Krok 5: Ręczne czyszczenie (gdy brak backupu)

To bardziej czasochłonne, ale możliwe do wykonania.

5.1. Zaktualizuj rdzeń WordPress

Pobierz świeżą kopię WordPress z wordpress.org i nadpisz pliki rdzenia (bez katalogu wp-content).

5.2. Usuń nieznane wtyczki i motywy

W katalogu wp-content/plugins/ i wp-content/themes/ usuń wszystko, czego nie rozpoznajesz.

5.3. Sprawdź plik wp-config.php

Porównaj ze świeżym plikiem z WordPress. Szukaj podejrzanego kodu, szczególnie:

• eval()
• base64_decode()
• gzinflate()
• Dziwne adresy URL

5.4. Przeskanuj pliki

Użyj narzędzi do wykrywania malware:

• Wordfence (wtyczka WordPress)
• Sucuri SiteCheck (online, darmowy)
• MalCare (wtyczka)

5.5. Sprawdź bazę danych

W phpMyAdmin sprawdź tabele:

• wp_users — usuń nieznanych administratorów
• wp_options — szukaj podejrzanych wpisów (siteurl, home)
• wp_posts — szukaj spamu w treściach

5.6. Sprawdź cronjobs

Hakerzy często dodają zadania cron. Sprawdź:

• W WordPress: wtyczka WP Crontrol
• Na serwerze: crontab -l

Krok 6: Zabezpiecz stronę na przyszłość

Po odzyskaniu strony — nie wracaj do starych nawyków!

Podstawowe zabezpieczenia:

1. Aktualizuj regularnie — WordPress, wtyczki, motywy
2. Silne hasła — min. 16 znaków, unikalne dla każdego konta
3. 2FA (dwuskładnikowa weryfikacja) — obowiązkowa dla adminów
4. Backup automatyczny — codziennie, przechowuj poza serwerem
5. Firewall aplikacyjny — Wordfence, Sucuri, Cloudflare

Zaawansowane zabezpieczenia:

6. Zmień prefix tabel (domyślnie wp_)
7. Wyłącz edycję plików w wp-config.php: define('DISALLOW_FILE_EDIT', true);
8. Ogranicz próby logowania (Limit Login Attempts)
9. Ukryj wersję WordPress
10. Wyłącz XML-RPC jeśli nie używasz

Więcej o zabezpieczeniach: Bezpieczeństwo WordPress — kompletny przewodnik

Krok 7: Usuń stronę z blacklist

Jeśli Google oznaczył stronę jako niebezpieczną:

1. Zaloguj się do Google Search Console
2. Przejdź do Zabezpieczenia → Problemy z bezpieczeństwem
3. Po naprawie kliknij “Poproś o sprawdzenie”
4. Czekaj 24-72h na weryfikację

Ile kosztuje odzyskanie zhakowanej strony?

Jak zapobiec kolejnemu atakowi?

Statystyki są brutalne — 40% zhakowanych stron zostaje zaatakowanych ponownie w ciągu roku. Dlaczego? Bo właściciele wracają do starych nawyków.

Rozwiązanie: Profesjonalna opieka WordPress.

W ramach naszych pakietów opieki:

• Monitoring bezpieczeństwa 24/7
• Automatyczne aktualizacje (testowane przed wdrożeniem)
• Codzienne backupy z retencją 30 dni
• Firewall i ochrona przed atakami
• Szybka reakcja na incydenty

Podsumowanie

Zhakowanie strony to nie koniec świata. Z tym poradnikiem odzyskasz swoją witrynę i zabezpieczysz ją na przyszłość.

Kluczowe kroki:

1. Zachowaj spokój i zabezpiecz dowody
2. Przełącz stronę w tryb konserwacji
3. Zmień wszystkie hasła
4. Przywróć z backupu lub wyczyść ręcznie
5. Zabezpiecz na przyszłość
6. Usuń z blacklist Google

Potrzebujesz pomocy z odzyskaniem strony? Skontaktuj się z nami — pomożemy szybko i skutecznie. Dla klientów naszej opieki WordPress — reagujemy w ciągu 4 godzin.