Uptime: 99.925%
Strony WWW:
Nowe strony WWW dzisiaj:
100 000 Użytkowników w SEOHOST. To dzięki Wam! Czytaj więcej W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / WordPress / Jak rozpoznać złośliwe motywy i wtyczki na WordPress?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
06 Stycznia 2026
7 minut

Jak rozpoznać złośliwe motywy i wtyczki na WordPress?

Wyobraź sobie, że instalujesz „zwykłą” wtyczkę do formularzy. Wszystko wygląda dobrze, strona działa. Mijają dwa tygodnie. Nagle w Google pojawiają się podstrony, których nigdy nie stworzyłeś. Klienci zgłaszają przekierowania. W panelu jest nowy administrator „support”. Zaczyna się gaszenie pożaru. To nie jest rzadki scenariusz. WordPress sam w sobie bywa stabilny, ale ekosystem dodatków jest ogromny – i właśnie tam atakujący znajdują skróty. Dlatego w naszym zespole nie podchodzimy do wtyczek i motywów jak do „funkcji”, tylko jak do kodu, któremu dajesz uprawnienia. A im większe uprawnienia, tym większa odpowiedzialność.

Poniżej dostajesz podejście, które stosujemy w pracy: co sprawdzić przed instalacją, jak weryfikować po instalacji, jak nadzorować w trakcie używania i jak dochodzić do źródła problemu, gdy strona wygląda na przejętą. 

Co robi złośliwe oprogramowanie w Wordpress, jak działa?

Złośliwa wtyczka/motyw to nie zawsze dodatek, od razu powoduje problem ze stroną, to częściej to komponent, który:

  • ukrywa fragment kodu (obfuskacja), by nie dało się go łatwo zidentyfikować,
  • tworzy „tylną furtkę” (backdoor), żeby ktoś mógł wrócić na serwer nawet po zmianie hasła,
  • wykonuje akcje dopiero po czasie lub przy określonych warunkach (ruch, data, wywołanie URL),
  • wstrzykuje spam SEO, linki, reklamy, przekierowania albo dołącza stronę do botnetu.

Najgroźniejsze jest to, że przez pewien czas wszystko może wyglądać normalnie. I właśnie dlatego potrzebujesz procesu.

Dalsza cześć naszego poradnika przybierze formę tak naprawdę list kontrolnych, aby pominąć opisywanie wszystkich możliwych scenariuszy. Chcemy, żebyś mógł łatwo zidentyfikować problem i od razu wdrożyć rozwiązanie. To nie są rzeczy trudne i, np. weryfikacja wtyczki przed instalacją, nie wymaga wiedzy technicznej, co zdrowego podejścia i sprawdzenia kilku faktów. 

Przed instalacją: jak wybrać wtyczki

W tym etapie chodzi o to, żeby wyeliminować to, co oczywiście ryzykowne oraz podnieść poprzeczkę tak wysoko, żeby przypadkowe „wtyczki” nie miały szans być w naszym systemie, ani tym bardziej stworzyć backdoor. 

Sprawdź źródło pochodzenia, ma to znaczenie większe niż oceny

Jeśli widzisz oznaczenia typu „płatny motyw za darmo”, „nulled”, „GPL pack” z losowego forum – to nie jest okazja. To jest model biznesowy: ktoś rozdaje kod, bo coś w nim ukrył. Nie musisz wnikać, czy „ten konkretny” plik jest czysty. Wystarczy, że zrozumiesz motywację: nikt nie utrzymuje ryzykownego kanału dystrybucji charytatywnie.

Jeżeli budujesz strony klientom albo pracujesz na projektach, które mają generować sprzedaż, decyzja jest prosta: instalujesz wtyczki tylko z wiarygodnych źródeł. A są nimi, np. repozytorium WordPress i markety, np. Envato czy ThemeForest. 

Czy wtyczka jest porzucona, czy działa i nie trzeba jej zmieniać?

„Brak aktualizacji” nie zawsze oznacza złośliwość, ale prawie zawsze oznacza ryzyko. Zadaj sobie trzy pytania:

  1. Kiedy była ostatnia aktualizacja? Jeśli dodatek nie widział aktualizacji od dłuższego czasu, rośnie szansa, że ma luki znane od miesięcy.

  2. Jak wygląda tempo reagowania na zgłoszenia? Spójrz na sekcję wsparcia: czy autor odpowiada, czy tematami zajmuje się społeczność, czy panuje cisza.

  3. Czy zmiany są sensowne? Wtyczka, która przez kilka lat dostaje tylko kosmetyczne zmiany, może być stabilna. Ale jeśli jednocześnie jest rozbudowana, dotyka logowania, płatności, formularzy, uploadu plików – oczekujesz cyklicznego utrzymania.

Tu działa prosta reguła: im bardziej wtyczka dotyka warstwy bezpieczeństwa, tym bardziej musi być aktywnie utrzymywana. Co do zasady jednak, z uwagi chociażby na aktualizacje samego WordPress, wtyczki są przeważnie aktualizowane co kilka tygodni. 

„Popularna” nie znaczy „bezpieczna”. Co sprawdzać?

Opinie o wtyczkach są często tak samo mylące jak opinie w sklepach interentowych, szczególnie po Promocji w stylu "odbierz żelazko za opinię o lodówce". Tutaj musicie sami przyjrzeć się opiniom. Często, użytkownicy, którzy znają się na rzeczy, są w stanie zostawić wyczerpujący komentarz, a nawet odnieść się do do innych wtyczek, aby porównać je ze sobą. Dlatego zamiast patrzeć tylko na gwiazdki, patrz na dopasowanie do Twojego zastosowania.

  • Jeśli wtyczka działa na danych użytkowników (formularze, membership, e-commerce), powinna mieć silną reputację i historię.

  • Jeśli wtyczka obiecuje „magiczne” efekty (automatyczne SEO, generowanie stron, integracje „z wszystkim”), oczekuj większej powierzchni ataku.

Zadaj sobie pytanie, które trzyma w ryzach entuzjazm: Czy wtyczka daje funkcję, której nie da się uzyskać prostszą metodą? Jeśli odpowiedź brzmi „da się”, to często bezpieczniej i taniej jest wybrać prostsze rozwiązanie.

Dla bardziej technicznych: weryfikacja kodu wtyczki

Nie musisz czytać całego pluginu, ale jeśli znasz się na kodzie, wystarczy, że w rozpakowanym ZIP-ie zrobisz szybkie wyszukiwanie po frazach, które często towarzyszą ukrywaniu kodu:

  • eval(
  • base64_decode(
  • gzinflate(
  • str_rot13(

Jeśli widzisz je w losowych miejscach, w plikach o dziwnych nazwach, z długimi ciągami znaków i bez komentarzy – podnosi to poziom podejrzeń. W tym momencie masz wybór: albo rezygnujesz, albo przenosisz temat do kwarantanny i testów.P

Po instalacji: kwarantanna, testy

Największy błąd, który widzimy w praktyce, to instalowanie dodatków bezpośrednio na działającej stronie. Nawet jeśli wtyczka jest uczciwa, może mieć błąd, który zepsuje witrynę.Dlatego, masz miejsce na serwerze, masz mechanizm duplikowania instalacji WordPress, stwórz kopię strony i środowisko testowe:

Wtyczka/motyw trafia najpierw na staging (kopię). Dopiero po testach i skanowaniu przechodzi na produkcję. Jeśli nie masz stagingu, zadaj sobie pytanie: czy stać Cię na awarię w godzinach największego ruchu?

Co testujemy od razu po aktywacji wtyczki (i dlaczego)?

Pierwsze minuty po aktywacji są kluczowe. Sprawdzamy trzy rzeczy:

  1. Czy wtyczka nie tworzy podejrzanych plików – szczególnie poza swoim katalogiem.
  2. Czy nie dotyka miejsc, których nie powinna – np. modyfikacja .htaccess, plików rdzenia, wpisów w bazie, które nie mają związku z funkcją.
  3. Czy skaner bezpieczeństwa nie wykrywa sygnatur albo anomalii.

Motywy to też kod. W przypadku motywów zwracamy uwagę na:

  • ukryte linki, iframe, „sprytne” wstawki w stopce,
  • pliki o nazwach udających systemowe,
  • nietypowe funkcje dodane do functions.php bez wyraźnej potrzeby.

Jeśli motyw robi rzeczy, których nie da się powiązać z wyglądem lub funkcjami frontu – mało prawdopodobne, że to przypadek.

W trakcie używania: jak wcześnie zauważyć, że coś zaczyna się dziać ze stroną?

Złośliwy kod rzadko ujawnia się natychmiast. Dużo częściej „czeka” i działa wtedy, gdy najbardziej boli: gdy jest ruch, gdy włączysz cache, gdy zaktualizujesz PHP albo gdy pojawi się konkretne żądanie.

Objawy, które powinny zapalić lampkę natychmiast. Są sygnały, których nie wolno bagatelizować:

  • przekierowania, których nie umiesz odtworzyć w panelu,
  • nagłe spadki widoczności lub ostrzeżenia bezpieczeństwa,
  • nowe konta administratorów lub zmiany ról,
  • pliki .php w folderach przeznaczonych na media,
  • dziwne zadania cron, które „wracają” po usunięciu,
  • wzrost obciążenia serwera bez wyraźnego powodu.

Jeśli widzisz dwa z tych objawów jednocześnie, nie rozważaj „czy to przypadek”. Rozważ „gdzie jest wejście”.

Najlepsza profilaktyka: kontrola integralności plików

Jeżeli miałbyś wdrożyć tylko jedną rzecz, która daje największą wartość: monitoruj, czy pliki zmieniają się wtedy, gdy nie powinny. W praktyce to wygląda tak:

  • narzędzie porównuje pliki wtyczek i rdzenia z oryginałami,
  • jeśli pojawia się różnica – dostajesz alert,
  • możesz sprawdzić, co dokładnie się zmieniło.

To często pozwala złapać problem zanim użytkownik zobaczy przekierowanie, a zanim Google zdąży zaindeksować spam.

Gdy strona wygląda na zaatakowaną: diagnostyka

Najgorsze, co możesz zrobić w kryzysie, to działać chaotycznie: usuwać losowe pliki, wgrywać „coś czystego” bez sprawdzenia, liczyć, że „przejdzie”. Tak powstaje sytuacja, w której infekcja wraca po tygodniu. Tak często przywracane są cześciowo kopie zapasowe albo odtwarzane, tylko że i one mogły być dawno temu "zainfekowane". 

Przeczytaj także: Co powoduje błąd “Ta witryna zawiera szkodliwe programy”

Najpierw zabezpiecz materiał i ogranicz szkody:

  1. Zrób kopię plików i bazy (tak, nawet jeśli są zainfekowane). To jest Twoje źródło informacji. Panel DirectAdmin - jak wykonać kopię zapasową?
  2. Ogranicz dostęp do panelu i serwera, jeśli możesz. Jeśli atak nadal trwa, każda minuta zwłoki działa na Twoją niekorzyść.
  3. Zmień hasła do kont, które dają dostęp do systemu: panel, FTP/SFTP, baza, hosting.

Znajdź źródło: wtyczka, motyw czy luka w starej wersji?

Dobre dochodzenie zaczyna się od prostego pytania: Co było ostatnią zmianą przed problemem? Nowa wtyczka? Aktualizacja? Migracja? Zmiana hostingu? To nie zawsze winowajca, ale bardzo często jest to pierwsza nitka.

Metoda eliminacji: co spowodowało problem?

  • tymczasowo wyłączasz wszystkie wtyczki (np. przez zmianę nazwy katalogu z wtyczkami), Jak dezaktywować wtyczkę WordPress przez FTP?
  • jeśli strona wraca do życia – wiesz, że problem leży po stronie jednego z dodatków,
  • włączasz je po jednej, aż trafisz na winowajcę. 
Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?