Uptime: 99.978%
Strony WWW:
Nowe strony WWW dzisiaj:
100 000 Użytkowników w SEOHOST. To dzięki Wam! Czytaj więcej W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / WordPress / Złośliwe malware w WordPress – jak je rozpoznać, jak się chronić?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
28 Lipca 2025
6 minut

Złośliwe malware w WordPress – jak je rozpoznać, jak się chronić?

Zainfekowana strona WordPress to nie tylko problem techniczny – to realne zagrożenie dla reputacji Twojej marki, pozycji w Google i bezpieczeństwa danych użytkowników. Co gorsza, złośliwe oprogramowanie potrafi działać po cichu, przez wiele tygodni, a nawet miesięcy, zanim zostanie wykryte. Jakie są najczęstsze miejsca infekcji? Jak rozpoznać, że coś jest nie tak? I co zrobić, by zminimalizować ryzyko? Złośliwe malware w WordPress? Przejdźmy przez to krok po kroku. 

Gdzie ukrywa się malware w WordPress?

Najczęściej złośliwe pliki trafiają do motywów, wtyczek i katalogów przesyłanych przez FTP. Często są to:

  • pliki functions.php motywów – hakerzy dopisują tam fragmenty kodu wykonującego złośliwe operacje;
  • nieaktualizowane lub porzucone wtyczki, które mają dziury w zabezpieczeniach;
  • wtyczki i motywy z nieoficjalnych źródeł (np. pobrane z forów czy serwisów oferujących "premium plugins za darmo");
  • ukryte pliki .php z losowymi nazwami, wrzucone bezpośrednio na serwer.

Malware może zmieniać treść stron, przekierowywać ruch, dodawać reklamy lub tworzyć konta administratorów. Bywa też wykorzystywane do tworzenia zapleczy spamerskich lub kopania kryptowalut. 

Czy w takim razie lepszym wyjściem, jest instalować wtyczki i motywy z repozytorium WordPress? Nawet oficjalne repozytorium WordPressa nie gwarantuje stuprocentowego bezpieczeństwa. Chociaż jest to bez porównania najbezpieczniejsze źródło wtyczek i motywów, to:

  • zdarzają się przypadki, gdy dawno nieaktualizowane wtyczki z repozytorium zawierają niezałatane luki, które mogą zostać wykorzystane do ataku;

  • bywa, że autorzy porzucają projekt, a wtyczka nie jest już wspierana, mimo że nadal jest dostępna do pobrania;

  • w rzadkich przypadkach zdarza się, że wtyczka została przejęta przez innego dewelopera, który może wprowadzić złośliwe aktualizacje, zawierające np. backdoory czy funkcje śledzące.

Ponad 8 tysięcy nowych zagrożeń rocznie dotyczy właśnie wtyczek i motywów, z czego część znajduje się w oficjalnym repozytorium. Najczęściej problem dotyczy nieintencjonalnych luk bezpieczeństwa, które wynikają z błędów w kodzie. Repozytorium WordPressa to miejsce, od którego zawsze warto zacząć – ale z głową. Trzeba obserwować, analizować i aktualizować.

Jak zabezpieczyć WordPress przed malware?

Tak. Mimo że do wszystkiego podchodzimy z dystansem i jednak ostrzegamy, nie ma złotego rozwiązania, to tak, można zabezpieczyć WordPress przed malware. Wystarczy wprowadzić podstawowe, ale często ignorowane zasady:

  • Zawsze instaluj motywy i wtyczki z oficjalnego repozytorium WordPressa lub zaufanych źródeł. Jeśli wtyczka jest za darmo, a normalnie kosztuje 69$, to jesteś produktem, nie klientem.
  • Usuwaj nieużywane motywy i wtyczki. Nawet jeśli nieaktywne, nadal są obecne na serwerze i mogą być bramką do ataku.
  • Regularnie aktualizuj wszystko. Chodzi tu nie tylko o WordPress core, ale też wtyczki i motywy – nawet te najprostsze. Pamiętaj, że większość ataków opiera się na znanych lukach bezpieczeństwa.
  • Zmień domyślne ustawienia logowania. Ukrycie lub zmiana URL logowania (np. za pomocą wtyczki WPS Hide Login) znacząco utrudnia życie botom próbującym brute-force.
  • Zainstaluj wtyczkę ochrony i zapory (firewall). Polecane narzędzia to: Wordfence (bardzo dokładne skanowanie, blokowanie IP), MalCare (lekkie, działa poza serwerem), iThemes Security (dodatkowe warstwy zabezpieczeń).

Kopia zapasowa – Twoje koło ratunkowe

Zabezpieczenie WordPress to jedno, jak wspominaliśmy, nie ma złotego rozwiązania. Nie ma też znaczenia, jak bezpieczny wydaje Ci się Twój WordPress. Jeśli nie masz kopii zapasowej – dużo ryzykujesz. Brak backupu to największy błąd, jaki możesz popełnić jako właściciel strony. Bo w sytuacji ataku malware, to nie firewall, nie antywirus, tylko kopie zapasowe są Twoją ostatnią linią obrony. Zresztą przydają się też, gdy wtyczka przestanie działać, gdy zepsujesz motyw w CSS czy gdy niechcący skasujesz kawałek kodu w sekcji Edycji. 

Złośliwy kod często modyfikuje pliki WordPressa: functions.php, wp-config.php, pliki szablonu, a nawet całą strukturę katalogów. Dodaje linijki PHP, które uruchamiają spam, backdoory, przekierowania. Problem? Często nie da się tego naprawić ręcznie – szczególnie jeśli nie masz doświadczenia z kodem lub nie wiesz, co dokładnie zostało zmienione.

Niektóre infekcje WordPress „śpią” w tle i uruchamiają się dopiero po jakimś czasie. W takich przypadkach przywrócenie strony z kopii zapasowej sprzed infekcji to jedyne sensowne rozwiązanie.

Jak robić kopie zapasowe WordPress?

My rekomendujemy automatyczne narzędzia, które nie tylko wykonają backup, ale też przechowają go, także poza serwerem (bo serwer też może zostać zainfekowany!). Najczęściej zaleca się używać:

  • UpdraftPlus – jeden z najpopularniejszych, prosty, z integracją z Google Drive i Dropbox;

  • WPvivid Backup – elastyczny, z harmonogramem, obsługą wielu lokalizacji;

  • BlogVault – rozwiązanie klasy premium, z opcją stagingu i przywracania jednym kliknięciem.

Backup musi obejmować nie tylko pliki WordPressa, ale również bazę danych – to w niej są Twoje wpisy, komentarze, konta użytkowników i ustawienia. W razie infekcji złośliwe skrypty potrafią zaszyć się właśnie w rekordach bazy.

Do tworzenia kopii zapasowej możesz używać także systemu Kopia zapasowa w DirectAdmin: Jak wykonać kopię zapasową w DirectAdmin?  oraz kopi zapasowej w menedżerze instalacji WordPress (autoinstalator) Softaculous: Jak wykonać automatyczną kopię zapasową WordPress w Softaculous?

Ile kopii zapasowych? Jak często?

Najlepsza praktyka? Codzienne automatyczne kopie zapasowe. Jeśli aktualizujesz stronę rzadziej – wystarczy backup co kilka dni. Ale zawsze trzymaj kilka wersji wstecz, na wypadek, gdyby infekcja była uśpiona lub pojawiła się dopiero po aktualizacji. Ponadto warto raz na jakiś czas pobrać również kopię zapasową, pliki strony na dysk komputera lub zewnętrzny, zgodnie z zasadą 3-2-1 backupu.

Zasada 3-2-1 backupu – czyli jak nie stracić strony 

  • 3 kopie zapasowe – zawsze powinieneś mieć minimum trzy wersje backupu: aktualną i przynajmniej dwie wcześniejsze. Dlaczego? Bo niektóre infekcje uaktywniają się po czasie i możesz nie zauważyć ich od razu. Wtedy potrzebna będzie starsza, czysta kopia.
  • 2 różne nośniki – przechowuj kopie na co najmniej dwóch różnych nośnikach. Przykład? Jeden backup na serwerze, drugi w chmurze (np. Google Drive), trzeci np. na zewnętrznym dysku lub innej lokalizacji FTP.
  • 1 kopia offline lub w zewnętrznej chmurze – to zabezpieczenie na wypadek, gdyby Twój serwer padł lub został zainfekowany. Tylko backup poza głównym środowiskiem daje Ci pewność, że będziesz mieć do czego wrócić.

Zainfekowana strona internetowa – co robić? Jak usunąć złośliwe oprogramowanie w WordPress?

Pierwsze pytanie, które naturalnie się pojawia: co robić, gdy zauważysz, że Twoja strona została zainfekowana malware? Drugie – równie ważne: jak usunąć złośliwe oprogramowanie w WordPress bez pogarszania sytuacji? Klucz to jedno: działaj szybko, ale metodycznie

Panika jest zrozumiała, ale nie kasuj od razu plików ani nie przywracaj kopii „na ślepo” – możesz tylko pogłębić problem. Jeśli do zainfekowania doszło wcześniej, Twoje działania mogą być nieskuteczne.

Przełącz stronę w tryb konserwacyjny lub zablokuj dostęp do katalogu głównego przez .htaccess albo hasło. Kolejny krok to analiza – sprawdź pliki functions.php, katalogi motywów i wtyczek, a także nietypowe pliki .php (często o dziwnych nazwach, np. tmp23.php, post_admin.php, itp.). 

Użyj narzędzi typu Wordfence, MalCare albo Sucuri SiteCheck, by przeskanować pliki i bazę danych.

Przyjrzyj się też logom serwera i użytkownikom w bazie danych – niechciane konta admina albo nagłe zmiany w plikach to częsty sygnał infekcji. Jeśli masz czystą kopię zapasową sprzed ataku – to może być najszybsze rozwiązanie. Ale uwaga: backup usuwa skutki, nie źródło problemu. Zawsze ustal, którędy doszło do infekcji (np. przez nieaktualną wtyczkę), i zamknij tę lukę.

Co robić krok po kroku po infekcji WordPressa:

  • Zablokuj dostęp do strony (tryb konserwacyjny / hasło / ograniczenie IP).
  • Zrób kopię obecnego stanu (nawet złośliwego – przyda się do analizy).
  • Przeskanuj pliki i bazę danych (Wordfence, MalCare, ręcznie).
  • Usuń podejrzane pliki lub nadpisz je czystymi wersjami z oficjalnego repozytorium.
  • Przywróć czysty backup – jeśli masz pewność, że jest wolny od infekcji.
  • Zmień wszystkie hasła (WordPress, FTP, hosting, MySQL).
  • Zaktualizuj WordPressa, motywy i wtyczki do najnowszych wersji.
  • Skonfiguruj firewall, monitorowanie i regularne skanowanie bezpieczeństwa.
Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?