Najważniejsze fakty: Według Sucuri Hacked Website Report 96,2% wszystkich infekcji CMS to WordPress — najpopularniejszy CMS na świecie jest też najczęściej atakowanym. Najczęstsze przyczyny włamań w 2024-2025 to nieaktualne wtyczki (52% przypadków), słabe hasła (18%) i zhakowane konta hostingu (12%). Dobre wieści: 80% ataków zatrzymujesz 12 prostymi krokami opisanymi niżej. Złe wieści: większość polskich firm w UK na WordPressie nie zrobiła żadnego z nich. Sprawdzałem.
Dlaczego WordPress jest największym celem hakerów?
WordPress trzyma globalnie ~43% udziału wszystkich stron internetowych wg W3Techs CMS Usage Statistics 2025. To największa baza zainfekowanych celów na świecie — atak na WP, który zadziała, działa od razu na miliony stron. Hakerzy nie atakują Twojej firmy. Atakują WordPressa i Twoja strona jest po prostu jedną z milionów ofiar w łańcuchu skryptu.
Drugi powód: ekosystem wtyczek. W repozytorium WordPress.org jest ponad 60 000 wtyczek, plus tysiące premium. Każda to potencjalna luka. Wtyczka z 100 000 instalacji, w której znajdzie się exploit, daje od razu 100 000 podatnych stron.
Z mojego badania 100 polskich firm w UK: 51% było na WordPressie. Ile z nich miało aktualizacje z ostatnich 3 miesięcy? Heurystycznie patrząc po headerach i markerach — mniej niż 30%. To matematyka, dlaczego polskie strony w UK regularnie padają.
Co się dzieje, kiedy Twoja strona jest zhakowana?
Spoiler: nigdy nie widzisz tego od razu. Typowy malware na WP:
- Dodaje SEO spam (chińskie aptece, kasyna, fake produkty) — Twoja strona zaczyna ranking na "viagra cheap" w Google
- Przekierowuje mobilnych użytkowników na strony pornograficzne lub scam
- Wysyła spam mailowy z Twojego serwera — Twoja domena trafia na blacklisty (Spamhaus, Barracuda)
- Kradnie dane klientów z formularzy i bazy
- Zamienia stronę w bota w sieci ataków DDoS
Co tracisz finansowo:
- Google indeksuje malware = penalty wg Google Search Quality Guidelines. Wracasz w ranking po 4-12 tygodni od cleanup
- Klienci tracą zaufanie — opinia "ta strona próbowała mnie zainfekować"
- Hosting może wyłączyć stronę przy wykryciu malware (większość UK hostów to robi)
- Cleanup u specjalisty: £200-1500 jednorazowo (Sucuri, Wordfence, polskie firmy security)
- Jeśli były dane klientów = obowiązek zgłoszenia do ICO w 72h (ICO breach reporting)
Średni czas wykrycia włamania przez właściciela: 30-90 dni. W tym czasie szkody narastają.
Jakie 12 kroków zabezpiecza Twojego WordPressa?
Posegregowane od najważniejszych. Pierwszych 5 to MUSI MIEĆ, reszta to dobrze mieć.
MUSI MIEĆ (5 kroków, 2 godziny pracy)
1. Włącz automatyczne aktualizacje core, wtyczek i themów. W WordPress 5.5+ jest natywne: Dashboard → Updates → "Enable auto-updates" przy każdej wtyczce. Według Sucuri reports, 52% włamań to nieaktualne wtyczki. To jest najtańszy fix w historii bezpieczeństwa.
2. Zmień admin username z "admin" na coś innego. "admin" to pierwsza próba w 99% atakach brute force. Stwórz nowego admina (np. "tomek_2026") i usuń starego "admin". Konkretne kroki: Users → Add New (rola Administrator) → wyloguj → zaloguj na nowe → usuń stare konto z opcją "Attribute all content to new user".
3. Wymuś silne hasła + 2FA dla każdego konta admin/editor. Wtyczki: Wordfence (darmowa) ma 2FA wbudowane, alternatywa Two Factor Authentication. Hasła generuj w 1Password (£3-5/mc) albo Bitwarden (free). 18+ znaków, mix duże/małe/cyfry/znaki specjalne.
4. Zainstaluj firewall (WAF) — Wordfence albo Sucuri. Wordfence free blokuje ~80% typowych ataków. Premium (£100/rok) dodaje real-time threat intelligence — warto. Alternatywa: Sucuri WAF (£15-50/mc), działa na poziomie DNS — szybsze, ale droższe.
5. Backup automatyczny każdej nocy — minimum 14 dni retencji. Wtyczki: UpdraftPlus (free + Vault £50/rok), Solid Backups (£99/rok). Backupy ZAWSZE off-site (Google Drive, Dropbox, AWS S3) — nie na tym samym serwerze co strona. Inaczej włamanie usunie też backupy.
DOBRZE MIEĆ (7 kroków, 1 godzina pracy)
6. Ukryj URL logowania. Domyślny /wp-admin to pierwsza próba ataku brute force. Zmień na coś nieoczywistego (np. /loginXYZ) wtyczką WPS Hide Login (free). Spadek ataków o 70-90%.
7. Wyłącz edycję plików przez panel. W wp-config.php dodaj:
define('DISALLOW_FILE_EDIT', true);
Bez tego haker, który włamie się na konto admin, może natychmiast edytować PHP całej strony.
8. Ogranicz próby logowania (rate limiting). Wordfence robi to domyślnie. Albo dedykowana wtyczka Limit Login Attempts Reloaded (free). Blokuje IP po 3-5 nieudanych próbach na 30 minut.
9. SSL/HTTPS na całej stronie. Jeśli hosting nie ma darmowego SSL, masz zły hosting. Sprawdź Let's Encrypt — darmowy, każdy poważny host go obsługuje. Wymuszaj redirect HTTP → HTTPS w .htaccess albo wtyczką Really Simple SSL.
10. Wyłącz XML-RPC, jeśli nie używasz. XML-RPC to stary interfejs WordPressa, używany do pingbacków i mobilnej aplikacji. Większość małych firm go nie używa, a to vector ataku amplification. Dodaj do .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
11. Monitoruj zmiany plików. Wordfence i Sucuri to robią automatycznie — alert gdy plik core/wtyczki został zmodyfikowany. Często pierwszy sygnał włamania.
12. Audytuj logi co miesiąc. Logi hostingu pokazują nieudane próby logowania, dziwny ruch (np. 1000 requestów z Chin w 5 minut). Większość hostów UK ma dashboard logów; jeśli nie — SiteGround, Cloudways mają świetne.
Jak często co robić w utrzymaniu WP?
| Częstotliwość | Co |
|---|---|
| Codziennie | Automatyczny backup (skonfigurowany raz) |
| Tygodniowo | Sprawdź dashboard Wordfence — czy nie ma alertów |
| Miesięcznie | Audytuj logi, sprawdź czy backup faktycznie się robi (próba restore) |
| Co 3 miesiące | Review zainstalowanych wtyczek — usuń te, których nie używasz |
| Co 6 miesięcy | Pełny audyt: wszystkie hasła, role użytkowników, file permissions |
| Co rok | Penetration test od zewnętrznej firmy (£500-2000) — dla firm z danymi klientów |
Co zrobić, jeśli już Cię zhakowali?
Spokojnie. To nie koniec świata, ale wymaga szybkiej reakcji.
Krok 1 (pierwsze 15 minut):
- Zmień wszystkie hasła administratorów
- Wyłącz wszystkie wtyczki przez FTP (usuń folder z plugins do plugins_disabled)
- Skontaktuj się z hostingiem — wielu UK hostów oferuje cleanup w cenie albo za małą opłatą
Krok 2 (pierwsza godzina):
- Skanowanie Sucuri SiteCheck (free) — pokaże jakie malware znaleziono
- Skanowanie Wordfence (darmowe security scan)
- Jeśli widać malware = zatrzymaj indexowanie w Google: Search Console → Removals → Temporary remove
Krok 3 (pierwszy dzień):
- Cleanup: Sucuri (£199 jednorazowo), Wordfence (£399 rocznie z monitoring), albo polskie firmy security
- Po cleanup: zmień wszystkie hasła + tokeny API + klucze SSH
Krok 4 (pierwszy tydzień):
- Wdróż wszystkie 12 kroków z checklisty wyżej
- Reset salts w
wp-config.php(wymusza wylogowanie wszystkich) - Powiadom ICO jeśli były dane osobowe (72h od wykrycia, ICO breach form)
Kiedy w ogóle zostawić WordPress?
Jeśli czytasz to i myślisz "wszystko to brzmi jak druga praca" — może WordPress to nie jest dla Ciebie. Realne alternatywy z mojego doświadczenia z klientami:
- Astro static site — zero powierzchni ataku, zero aktualizacji, hosting £0 na Cloudflare Pages. Idealne dla landing page i strony firmowej. Wadą: brak panelu admin do edycji.
- Webflow / Framer — visual builder, hosting w cenie, brak aktualizacji. £18-40/mc. Dobre dla firm, które chcą same edytować bez programisty.
- Shopify dla sklepu — zarządzane przez Shopify, brak Twojej odpowiedzialności za bezpieczeństwo.
To NIE jest "zostaw WordPress, bo jest niebezpieczny" — milion stron jest bezpieczne i spokojne. To "rozważ, czy WordPress jest dla Ciebie, jeśli nie chcesz/nie umiesz dbać o aktualizacje". WordPress wymaga dyscypliny, którą wiele małych firm nie ma czasu zachować.
Powiązane: Dlaczego WordPress jest wolny w 2026, WordPress vs Astro vs Webflow 2026, Najlepszy hosting strony firmowej UK 2026, Badanie 100 stron polskich firm w UK.
FAQ — najczęstsze pytania o bezpieczeństwo WordPress
Czy darmowy Wordfence wystarczy dla małej firmy?
W 80% przypadków tak. Premium (£100/rok) dodaje real-time threat updates (najświeższe IP-atakujące w 24h zamiast 30 dni) i jest sensowne, jeśli masz dane klientów lub e-commerce.
Czy Sucuri jest warte £15-50/mc?
Tak, jeśli zarabiasz na stronie. Sucuri działa na poziomie DNS — szybciej niż wtyczka, plus mają cleanup w cenie subskrypcji. Dla blogów hobbystycznych — overkill.
Co zrobić, gdy hosting (Bluehost, HostGator itp.) wyłączył mi stronę przez malware?
Skontaktuj się z support, poproś o cleanup w cenie (większość UK hostów to oferuje raz w roku). Jeśli odmówią — Sucuri/Wordfence cleanup zewnętrznie, potem reaktywacja u hostingu.
Czy mogę odzyskać stronę z hostingu po skasowaniu przez malware?
Tak, jeśli masz backup. Hosting typu SiteGround, Cloudways trzyma własne backupy 7-30 dni. Bluehost, HostGator — tylko jeśli płacisz extra. To dlatego własny backup off-site jest kluczowy.
Ile kosztuje pełny audyt bezpieczeństwa zewnętrzny?
Penetration test od profesjonalnej firmy: £500-2000 jednorazowo. Dla typowej małej firmy w UK to overkill — wystarczy dobrze skonfigurowany Wordfence + dyscyplina aktualizacji.
Jak szybko po włamaniu mogę wrócić do Google?
Jeśli malware znikło i jest clean scan: w Search Console → Security Issues → "Request a review". Google sprawdza w 24-72h. Wracasz w ranking 2-8 tygodni (zależy od długości infekcji).
Zabezpieczę Twojego WordPressa albo pomogę przejść na Astro — porozmawiajmy →