Strona WordPress została zhakowana – jak ją odzyskać? Kompletny poradnik

Odkryłeś, że Twoja strona WordPress została zhakowana? Nie panikuj – to sytuacja, którą można opanować, ale wymaga szybkiego i przemyślanego działania. W tym poradniku przeprowadzę Cię krok po kroku przez cały proces odzyskiwania zainfekowanej witryny: od rozpoznania ataku, przez usunięcie złośliwego kodu, aż po zabezpieczenie strony na przyszłość.

Jako specjalista WordPress z wieloletnim doświadczeniem regularnie pomagam właścicielom zhakowanych stron – zarówno wizytówek, jak i sklepów WooCommerce. Wiem, że czas ma tu ogromne znaczenie, dlatego ten artykuł zawiera konkretne, praktyczne wskazówki, nie ogólniki.

Jak rozpoznać, że strona WordPress została zhakowana?

Zanim przejdziemy do działania, musisz wiedzieć, po czym poznać, że Twoja zainfekowana strona WordPress rzeczywiście padła ofiarą ataku. Objawy bywają bardzo różne – niektóre oczywiste, inne zupełnie niewidoczne dla właściciela strony.

Widoczne objawy włamania

• Strona wyświetla nieznane treści, reklamy lub linki do obcych witryn
• Po wejściu na stronę przeglądarka wyświetla ostrzeżenie „Ta strona może być niebezpieczna”
• Google Search Console informuje o złośliwym oprogramowaniu
• Strona przekierowuje użytkowników na inne domeny
• Na stronie pojawiają się nowe konta administratora, których nie zakładałeś
• Hosting poinformował Cię o zawieszeniu konta z powodu malware
• Strona bardzo wolno się ładuje lub w ogóle nie działa

Ukryte objawy włamania

• Strona wygląda normalnie, ale w kodzie źródłowym widoczny jest obcy skrypt
• W plikach motywu lub wtyczek pojawiły się nowe, nieznane pliki PHP
• Baza danych zawiera nieznane tabele lub zmodyfikowane wpisy
• Ruch organiczny w Google Analytics gwałtownie spadł bez wyraźnego powodu
• W logach serwera widać masowe żądania do pliku xmlrpc.php

Pamiętaj: wordpress hacked co robić to pytanie, które wpisujesz najczęściej właśnie wtedy, gdy problem jest już zaawansowany. Im szybciej zareagujesz, tym mniej szkód wyrządzi atak.

Natychmiastowe kroki po odkryciu włamania

Gdy tylko potwierdzisz, że Twoja strona jest zainfekowana, zacznij od tych działań:

1. Przełącz stronę w tryb maintenance

Zainstaluj wtyczkę do trybu konserwacji lub dodaj prostą stronę informacyjną. Zainfekowana strona może szkodzić Twoim użytkownikom – przekierowywać ich, infekować ich urządzenia lub wyłudzać dane. Ochrona odwiedzających jest priorytetem.

2. Zmień wszystkie hasła

Natychmiast zmień hasło do panelu WordPress, panelu hostingowego, FTP, bazy danych MySQL oraz poczty e-mail powiązanej z domeną. Używaj silnych, unikalnych haseł – generator haseł w menedżerach (np. Bitwarden, 1Password) jest tutaj nieoceniony.

3. Wykonaj kopię zapasową obecnego stanu

Nawet zainfekowaną stronę warto skopiować przed czyszczeniem – kopia może przydać się do analizy, jak doszło do włamania. Pobierz pliki przez FTP i wykonaj eksport bazy danych przez phpMyAdmin.

4. Zidentyfikuj wektor ataku

Zanim wyczyścisz stronę, spróbuj ustalić, jak doszło do włamania. Najczęstsze przyczyny to:

• Nieaktualizowane wtyczki lub motywy z lukami bezpieczeństwa
• Słabe hasło administratora
• Włączony XML-RPC bez potrzeby
• Hosting z nieaktualizowanym PHP
• Zainfekowany komputer, z którego zarządzałeś stroną

Usuwanie złośliwego oprogramowania – krok po kroku

Usuwanie malware WordPress to praca wymagająca wiedzy technicznej. Poniżej opisuję proces, który stosuję przy profesjonalnym czyszczeniu zhakowanych stron.

Skanowanie i identyfikacja zainfekowanych plików

Użyj jednego z narzędzi do skanowania:

• Wordfence Security – darmowa wtyczka z wbudowanym skanerem malware
• MalCare – wykrywa nawet zaawansowane infekcje ukryte w bazie danych
• Sucuri SiteCheck – zewnętrzny skaner online, nie wymaga dostępu do FTP
• ClamAV – jeśli masz dostęp do serwera SSH

Skaner wskaże pliki zawierające podejrzany kod: zakodowane base64 funkcje, eval() z zaszyfrowanym ciągiem znaków, iframe ładujące zewnętrzne zasoby czy backdoory ukryte w plikach graficznych.

Ręczne czyszczenie plików WordPress

Po identyfikacji zagrożeń przystępujesz do czyszczenia:

1. Pobierz czystą kopię WordPress ze strony wordpress.org i zastąp nią wszystkie pliki rdzenia (folder wp-admin, wp-includes oraz pliki w katalogu głównym z wyjątkiem wp-config.php i .htaccess)
2. Usuń lub zastąp zainfekowane wtyczki i motywy czystymi wersjami pobranymi bezpośrednio z repozytorium
3. Przejrzyj plik .htaccess – hakerzy często wstrzykują w niego przekierowania
4. Przejrzyj plik wp-config.php pod kątem obcego kodu
5. Sprawdź katalog wp-content/uploads – pliki PHP w tym folderze są podejrzane i należy je usunąć

Czyszczenie bazy danych

Złośliwy kod często trafia też do bazy danych – w treści postów, meta-danych czy opcjach WordPress. Sprawdź tabele wp_options (szczególnie pola siteurl, home, active_plugins) oraz wp_posts pod kątem osadzonych skryptów JavaScript lub iframe.

Możesz użyć zapytań SQL przez phpMyAdmin, aby przeszukać bazę pod kątem znanych sygnatur malware: eval(, base64_decode(, <iframe, <script src=.

Usunięcie backdoorów

To najtrudniejszy etap wordpress wirus usunięcie. Hakerzy często zostawiają ukryte backdoory, które pozwalają im na ponowne przejęcie strony po jej wyczyszczeniu. Backdoory są maskowane jako fragmenty legalnego kodu lub ukrywane w rzadko sprawdzanych miejscach: plikach sesji PHP, katalogach cache, plikach logów.

Przeszukaj wszystkie pliki PHP pod kątem funkcji: eval, base64_decode, gzinflate, str_rot13, preg_replace z modyfikatorem /e, assert oraz system/exec/passthru (te ostatnie są typowe dla webshelli).

Jak odzyskać zhakowaną stronę z kopii zapasowej?

Jeśli masz aktualną kopię zapasową sprzed włamania – to najszybszy sposób na przywrócenie działającej strony. Oto jak to zrobić:

1. Usuń wszystkie bieżące pliki strony przez FTP
2. Wgraj pliki z kopii zapasowej
3. Przywróć bazę danych ze zrzutu SQL
4. Zaktualizuj dane dostępowe w wp-config.php jeśli zmieniałeś hasła do bazy
5. Natychmiast zaktualizuj wszystkie wtyczki, motywy i rdzeń WordPress
6. Zmień wszystkie hasła (panel WP, FTP, hosting)

Uwaga: jeśli kopia zapasowa pochodzi z zainfekowanego okresu, przywrócenie jej nic nie da – malware wróci razem z plikami. Dlatego tak ważne jest regularne tworzenie kopii i przechowywanie ich poza serwerem.

Zabezpieczenie strony po usunięciu infekcji

Odzyskanie zhakowanej strony WordPress to dopiero połowa sukcesu. Bez wzmocnienia zabezpieczeń historia się powtórzy – często w ciągu kilku dni od czyszczenia.

Podstawowe zabezpieczenia po ataku

• Aktualizuj wszystko – WordPress, motywy i wtyczki powinny być zawsze w najnowszej wersji
• Usuń nieużywane wtyczki i motywy – nawet nieaktywne stanowią zagrożenie
• Zmień prefiks tabel bazy danych z domyślnego wp_ na losowy ciąg znaków
• Wyłącz XML-RPC jeśli nie korzystasz z aplikacji mobilnej WordPress
• Ogranicz próby logowania – zainstaluj wtyczkę Limit Login Attempts
• Włącz uwierzytelnianie dwuskładnikowe (2FA) dla konta administratora
• Skonfiguruj firewall aplikacji webowej (WAF) – Wordfence lub Cloudflare
• Ustaw prawidłowe uprawnienia do plików – katalogi 755, pliki 644, wp-config.php 440

Monitoring i regularne kopie zapasowe

Po wyczyszczeniu strony warto skonfigurować automatyczny monitoring dostępności i regularnie tworzone kopie zapasowe przechowywane poza serwerem (np. w Google Drive lub Dropbox). Pozwoli Ci to szybko wykryć kolejny atak i błyskawicznie przywrócić stronę.

Kiedy warto zlecić czyszczenie profesjonaliście?

Samodzielne usuwanie infekcji WordPress jest możliwe, ale wymaga solidnej wiedzy technicznej. Warto rozważyć pomoc specjalisty gdy:

• Nie masz dostępu do FTP lub panelu hostingowego
• Strona to sklep WooCommerce – ryzyko utraty danych klientów jest zbyt duże
• Samodzielne czyszczenie nie pomogło i infekcja wraca
• Nie jesteś pewien, czy wszystkie backdoory zostały usunięte
• Hosting zablokował konto i wymaga potwierdzenia wyczyszczenia strony
• Strona jest objęta ostrzeżeniem Google i wymaga złożenia wniosku o ponowne sprawdzenie

Jako specjalista WordPress oferuję kompleksowe usuwanie infekcji WordPress – od diagnozy, przez czyszczenie plików i bazy danych, wzmocnienie zabezpieczeń, aż po 14-dniowy monitoring po zakończeniu prac. Działam szybko, ponieważ wiem, że każda godzina z zainfekowaną stroną to realne straty dla Twojego biznesu.

Potrzebujesz pomocy z zhakowaną stroną? Skontaktuj się ze mną →

Jak Google reaguje na zainfekowane strony?

Jeśli Google wykryje malware na Twojej stronie, wyświetli ostrzeżenie „Ta strona może szkodzić Twojemu komputerowi” w wynikach wyszukiwania lub w przeglądarce Chrome. To może niemal całkowicie wyzerować ruch organiczny.

Po wyczyszczeniu strony musisz złożyć wniosek o ponowne sprawdzenie w Google Search Console (zakładka Problemy dotyczące bezpieczeństwa → Poproś o sprawdzenie). Google zwykle odpowiada w ciągu 1–3 dni roboczych.

FAQ – najczęściej zadawane pytania o zhakowane strony WordPress

Czy zhakowana strona WordPress zagraża moim klientom?

Tak. Zainfekowana strona może wykradać dane użytkowników, instalować malware na ich urządzeniach lub przekierowywać ich na strony phishingowe. Dlatego po wykryciu włamania warto jak najszybciej wyłączyć stronę lub przełączyć ją w tryb maintenance, dopóki nie zostanie wyczyszczona.

Ile trwa usuwanie infekcji ze strony WordPress?

Czas zależy od stopnia zaawansowania infekcji. Proste przypadki można rozwiązać w 2–4 godziny. Złożone ataki z backdoorami ukrytymi w wielu miejscach mogą wymagać pełnego dnia pracy. Jeśli dostępna jest aktualna kopia zapasowa sprzed włamania, czas odbudowy skraca się znacznie.

Czy po wyczyszczeniu strona może zostać zainfekowana ponownie?

Tak, jeśli nie zostaną usunięte wszystkie backdoory i nie zostaną wzmocnione zabezpieczenia. To jeden z powodów, dla których warto powierzyć czyszczenie specjaliście – doświadczony technik wie, gdzie szukać ukrytych furtek i jak je skutecznie zamknąć.

Co to jest backdoor w WordPress i dlaczego jest groźny?

Backdoor to ukryty fragment kodu, który pozwala hakerowi na ponowny dostęp do strony, nawet po zmianie haseł i wyczyszczeniu znanych złośliwych plików. Hakerzy często instalują kilka backdoorów w różnych miejscach, właśnie po to, żeby utrudnić pełne wyczyszczenie strony.

Ile kosztuje usunięcie infekcji ze strony WordPress?

Koszt profesjonalnego usunięcia infekcji zaczyna się od 500 zł. Cena zależy od skali infekcji, rodzaju strony (wizytówka vs. sklep WooCommerce) oraz tego, czy dostępna jest kopia zapasowa. W przypadku bardziej rozbudowanych ataków lub konieczności przywrócenia danych cena może być wyższa. Zawsze wyceniam indywidualnie, po wstępnej diagnozie.

Jak mogę zapobiec przyszłym włamaniom na stronę WordPress?

Najważniejsze to regularne aktualizacje WordPress, wtyczek i motywów, silne i unikalne hasła, dwuskładnikowe uwierzytelnianie (2FA), ograniczenie prób logowania, wyłączenie XML-RPC jeśli nie jest potrzebny, oraz regularne kopie zapasowe przechowywane poza serwerem. Rozważenie stałej opieki technicznej to najskuteczniejszy sposób na uniknięcie problemów w przyszłości.

Mam sklep WooCommerce, który został zhakowany – co muszę zrobić?

W przypadku sklepu WooCommerce sytuacja jest poważniejsza – musisz poinformować klientów o potencjalnym naruszeniu danych (obowiązek wynikający z RODO), sprawdzić czy dane płatnicze mogły zostać przechwycone oraz jak najszybciej przywrócić działanie sklepu. Nie zwlekaj z kontaktem z profesjonalistą – każda godzina przestoju sklepu to realne straty finansowe.

Skontaktuj się ze mną – pomogę odzyskać Twoją stronę →