Zawirusowana strona na WordPressie – co zrobić krok po kroku

Jak poznać, że strona WordPress została zawirusowana?

Włamanie na stronę WordPress rzadko wygląda jak w filmie — hakerzy zazwyczaj nie chcą, żebyś wiedział o ich obecności tak długo, jak to możliwe. Objawy bywają subtelne i mylące. Oto najczęstsze sygnały, że coś jest nie tak:

• Przekierowania na zewnętrzne strony — użytkownicy lądują na stronach z reklamami, phishingiem albo treściami dla dorosłych zamiast na Twojej witrynie.
• Obcy kod w stopce lub nagłówku — podejrzane skrypty JavaScript, iframe'y, ukryte linki do obcych domen.
• Ostrzeżenie Google — „Ta strona może być niebezpieczna" lub „Witryna zawiera szkodliwe programy" w wynikach wyszukiwania.
• Spam w Google Search Console — nowe podstrony z obcymi słowami kluczowymi (często japońskimi, chińskimi lub farmaceutycznymi).
• Powolne ładowanie lub awarie — złośliwy kod generuje obciążenie serwera i wysyła spam e-mail przez Twój hosting.
• Nieznane konta administratora — w panelu WordPress pojawiają się użytkownicy, których nie zakładałeś.
• Hosting zablokował konto — dobry hosting wykrywa masowe wysyłanie spamu i zawiesza konto z komunikatem o naruszeniu regulaminu.

Jeśli widzisz którykolwiek z tych objawów — działaj natychmiast. Każda godzina zwłoki to czas, w którym hakerzy mogą pogłębiać szkody, a Google obniża zaufanie do Twojej domeny.

Krok 1 – Zrób backup i wejdź w tryb maintenance

Zanim cokolwiek zmienisz, zrób kopię zapasową obecnego stanu — nawet zawirusowanego. Może się przydać przy analizie wektora ataku. Następnie włącz tryb konserwacji (maintenance mode), żeby chronić odwiedzających. Możesz to zrobić przez plik .htaccess lub wtyczkę.

Jeśli Twój hosting ma panel (cPanel, Plesk, Hetzner), pobierz pełną kopię plików i bazy danych przez menedżer plików lub FTP. Nie polegaj wyłącznie na wtyczkach do backupów — złośliwy kod mógł je zainfekować.

Krok 2 – Zeskanuj stronę narzędziami do wykrywania malware

Istnieje kilka narzędzi, które pomogą Ci zlokalizować zainfekowane pliki:

• Wordfence Security — darmowa wtyczka z rozbudowanym skanerem. Po instalacji uruchom „Threat Scan" i sprawdź listę wykrytych plików.
• Sucuri SiteCheck — skaner online. Wystarczy wpisać adres strony na sucuri.net/website-antivirus.
• MalCare — alternatywa dla Wordfence, dobra przy dużych stronach WooCommerce.
• Serwer FTP + narzędzie grep — jeśli masz dostęp SSH, możesz ręcznie szukać podejrzanego kodu: grep -r "eval(base64_decode" /public_html/

Zanotuj wszystkie zainfekowane pliki. Najczęściej złośliwy kod pojawia się w wp-config.php, plikach motywu, wtyczkach i pliku index.php w katalogu głównym.

Krok 3 – Usuń złośliwy kod i przywróć czyste pliki

Dla plików WordPressa (core) — pobierz świeżą kopię tej samej wersji WordPress ze strony wordpress.org i zastąp wszystkie pliki w wp-admin/ i wp-includes/. Nigdy nie edytuj plików core ręcznie.

Dla zainfekowanych wtyczek i motywów — usuń je całkowicie i zainstaluj od nowa z oficjalnych repozytoriów. Jeśli używasz premium motywu lub wtyczki, pobierz czystą wersję z konta zakupu.

Nigdy nie usuwaj samego złośliwego kodu ręcznie bez zastąpienia całego pliku czystą wersją. Hakerzy często zostawiają kilka warstw backdoorów. Usunięcie jednej nie gwarantuje bezpieczeństwa.

Krok 4 – Zmień wszystkie hasła i klucze bezpieczeństwa

Po wyczyszczeniu plików natychmiast:

• Zmień hasło do konta administratora WordPress (i wszystkich innych użytkowników)
• Zmień hasło do bazy danych w wp-config.php i w panelu hostingu
• Zmień hasło do panelu hostingu i FTP
• Wygeneruj nowe klucze bezpieczeństwa WordPress (sekcja AUTH_KEY w wp-config.php) — możesz je wygenerować na api.wordpress.org/secret-key/1.1/salt/
• Usuń wszystkich nieznanych użytkowników administratora

Krok 5 – Zabezpiecz stronę przed kolejnym atakiem

Sama naprawa to połowa sukcesu. Jeśli nie usuniesz przyczyny włamania, hakerzy wrócą w ciągu kilku dni. Najczęstsze wektory ataku:

• Przestarzałe wtyczki lub motyw — aktualizuj wszystko natychmiast po pojawieniu się nowych wersji
• Słabe hasło — używaj hasła minimum 16 znaków, włącz 2FA (np. przez wtyczkę Google Authenticator for WP)
• Nullowane premium wtyczki — pirackie wersje płatnych wtyczek zawierają celowo wbudowane backdoory
• Brak ochrony wp-login.php — ogranicz dostęp do panelu logowania przez IP lub zainstaluj Limit Login Attempts Reloaded
• Stare konto FTP — usuń nieużywane konta FTP w panelu hostingu

Po przywróceniu strony zgłoś ją do Google przez Search Console (sekcja „Zabezpieczenia i działania ręczne" → „Poproś o sprawdzenie"). Google usunie ostrzeżenie po weryfikacji, zazwyczaj w ciągu 24–72 godzin.

Kiedy skorzystać z pomocy specjalisty?

Jeśli nie masz dostępu do FTP, nie znasz się na strukturze WordPressa lub złośliwy kod pojawia się ponownie po wyczyszczeniu — skontaktuj się ze specjalistą. Koszt profesjonalnego czyszczenia strony (100–500 zł) jest wielokrotnie niższy niż straty wynikające z długotrwałego zablokowania przez Google lub utraty danych klientów.

Warto też wiedzieć, że zawirusowana strona może powodować inne objawy: jeśli po wyczyszczeniu widzisz pusty ekran, przeczytaj jak naprawić biały ekran WordPress. Jeśli masz problem z zalogowaniem się do panelu, sprawdź jak odzyskać dostęp do WordPressa.