← Powrót do bloga

Opublikowano: 23 lutego 2026

Twoja strona WordPress została zhackowana. Co zrobić w ciągu najbliższych 24 godzin.

Właśnie dowiedziałeś się, że Twoja strona WordPress jest zhackowana. Może Google wyświetla czerwone ostrzeżenie „Ta witryna może być niebezpieczna”. Może strona główna przekierowuje na jakiś spam o podróbkach okularów. Może zauważyłeś konta administratora, których nie zakładałeś.

Bez względu na objaw — oddech. Sytuacja jest poważna, ale da się ją opanować. Przez 15 lat czyściłem setki zhackowanych stron WordPress. To wygląda gorzej niż jest — pod warunkiem że działasz szybko i nie pogorszysz sprawy na samym początku.

Ten poradnik napisałem dla Ciebie — właściciela firmy — nie dla programisty. Bez żargonu. Bez „połącz przez SFTP i zamień wp-config.php”. Tylko konkretne kroki, po ludzku.

Po pierwsze: Czego NIE robić

Zanim cokolwiek zaczniesz, unikaj tych błędów. Widzę je co tydzień.

Nie usuwaj strony i nie zaczynaj od zera. Twoje treści, pozycje w Google, dane klientów — to wszystko ma wartość. Czyszczenie pozwala zachować to, co zbudowałeś. Zaczynanie od nowa wyrzuca to w błoto.

Nie zmieniaj wszystkich haseł w panice. Tak, hasła trzeba zmienić — ale nie teraz. Jeśli na stronie jest backdoor (a pewnie jest), zmiana haseł nic nie da. Haker wróci tą samą drogą. Hasła zmienisz po czyszczeniu.

Nie instaluj pięciu pluginów bezpieczeństwa naraz. Więcej pluginów nie pomoże. Strona jest już skompromitowana. Dokładanie kolejnych tylko utrudni czyszczenie i jeszcze bardziej ją spowolni.

Nie płać pierwszej osobie, która wyśle Ci DM z ofertą naprawy za 50 zł. Tanie czyszczenie pomija backdoory. Za 2-3 tygodnie historia się powtórzy. Czyściłem strony, które były „już poczyszczone” trzy razy przez trzy różne osoby.

Pierwsze 30 minut

Oto co zrobić teraz, w tej kolejności.

1. Udokumentuj, co widzisz

Zrób screenshoty wszystkiego, co wygląda podejrzanie. Adres URL przekierowania. Ostrzeżenie Google. Nieznane konta administratora. Podejrzane e-maile, które dostałeś. To przyda się dostawcy hostingu, specjaliście, którego zatrudnisz, i ewentualnie prawnikom.

2. Skontaktuj się z dostawcą hostingu

Zadzwoń lub napisz na czat do swojego hostingu. Powiedz, że strona została zhackowana. Poproś, żeby:

  • Sprawdzili, czy mają czystą kopię zapasową sprzed włamania
  • Powiedzieli, kiedy atak się zaczął (często widać to w logach serwera)
  • Tymczasowo ograniczyli dostęp do strony, jeśli atak nadal się rozprzestrzenia

Porządne firmy hostingowe mają zespoły bezpieczeństwa, które zajmują się tym codziennie. Nikt Cię nie osądzi. Dla nich to rutyna.

3. Nie wyłączaj strony (zazwyczaj)

Pierwszym odruchem jest zdjęcie strony. W większości przypadków — nie rób tego. Strona niedostępna kosztuje Cię więcej niż strona zainfekowana, zwłaszcza jeśli Google jeszcze jej nie oflagowało. Wyjątek: jeśli atak aktywnie kradnie dane kart płatniczych klientów (np. skimmer w kasie WooCommerce) — wyłącz natychmiast.

4. Sprawdź, czy Google już Cię oflagowało

Wejdź do Google Search Console. Jeśli jeszcze tego nie masz — to problem na potem, ale teraz po prostu wygoogluj nazwę swojej firmy. Jeśli widzisz „Ta witryna może być niebezpieczna” lub „Witryna wprowadzająca w błąd” w wynikach — Google już wie. To oznacza, że Twój ruch organiczny praktycznie spadł do zera i tak będzie, dopóki problemu nie rozwiążesz.

5. Zdecyduj: sam czy ze specjalistą

Bądź ze sobą szczery.

Poradź sobie sam, jeśli:

  • Swobodnie poruszasz się po panelu WordPress
  • Atak jest drobny (jedna spamowa podstrona, bez przekierowań, bez ostrzeżenia Google)
  • Masz świeżą kopię zapasową, z której możesz przywrócić stronę
  • Masz 3-5 godzin na to dzisiaj

Zatrudnij kogoś, jeśli:

  • Nie wiesz, co to jest wp-admin
  • Strona przekierowuje, Google ją oflagowało albo masz nieznane konta admina
  • Prowadzisz sklep WooCommerce lub zbierasz jakiekolwiek dane klientów
  • Atak trwa od więcej niż kilku dni
  • Próbowałeś już naprawić i wróciło
  • Twój poprzedni programista zniknął i nie wiesz, jak strona działa

Nie ma w tym nic wstydliwego. Nie naprawiasz sam piwnicy, gdy ją zaleje.

Ile naprawdę Cię to kosztuje

Większość właścicieli firm myśli: „zajmę się tym w przyszłym tygodniu”. Oto dlaczego to drogie myślenie.

Ruch: Gdy Google doda ostrzeżenie „Witryna wprowadzająca w błąd”, Twój ruch organiczny spada o 60-90% z dnia na dzień. Każdy dzień zwłoki to dzień, w którym potencjalni klienci zamiast Twojej strony widzą czerwoną stronę ostrzegawczą.

Odbudowa SEO: Nawet po wyczyszczeniu ataku, Google potrzebuje 2-8 tygodni na pełne przywrócenie pozycji. Im dłużej atak pozostaje aktywny, tym dłuższa odbudowa. Strony, które były zainfekowane przez miesiące, czasem nigdy nie wracają do poprzednich wyników.

Zaufanie klientów: Jeśli klient odwiedzi Twoją stronę i zostanie przekierowany na spam, nie wróci. Pójdzie do konkurencji. I powie o tym znajomym.

Realna strata: Jeśli prowadzisz sklep robiący €5 000 miesięcznie, każdy tydzień przestoju lub ograniczonego ruchu kosztuje Cię ponad €1 000. Koszt profesjonalnego czyszczenia (zazwyczaj €200-500) zwraca się w ciągu jednego dnia.

Kwestia GDPR, o której nikt nie mówi

Jeśli Twoja firma obsługuje klientów z UE — a jeśli czytasz to w Europie, to tak — zhackowana strona może być naruszeniem danych osobowych w rozumieniu GDPR.

Artykuł 33 mówi: Jeśli dane osobowe mogły zostać ujawnione (imiona, e-maile, adresy, dane płatnicze), musisz powiadomić swój organ ochrony danych w ciągu 72 godzin od stwierdzenia naruszenia.

Czy Twoja strona WordPress ma:

  • Formularz kontaktowy? Te zgłoszenia zawierają imiona i e-maile.
  • Zapis do newslettera? To są dane osobowe.
  • Sklep WooCommerce? Imiona, adresy, historia zamówień.
  • Konta użytkowników? Adresy e-mail i hasła.

Jeśli cokolwiek z tego zostało skompromitowane, możesz mieć prawny obowiązek zgłoszenia incydentu. Kary za brak powiadomienia sięgają €10 milionów lub 2% globalnego rocznego obrotu.

Nie jestem prawnikiem. Ale widziałem właścicieli firm zaskoczonych tym na zimno. Jeśli jest jakikolwiek szansa, że dane klientów zostały ujawnione — skonsultuj się z prawnikiem. Nie czyść po cichu i nie licz, że nikt tego nie zauważy.

Dlaczego „wyczyszczone” strony są hackowane ponownie

To najczęstsza skarga, którą słyszę: „Zapłaciłem komuś za wyczyszczenie i po trzech tygodniach historia się powtórzyła.”

Oto dlaczego tak się dzieje.

Gdy haker dostaje się do Twojej strony WordPress, pierwszą rzeczą, którą robi, jest tworzenie backdoorów. To ukryte pliki lub fragmenty kodu porozrzucane po stronie, które umożliwiają mu powrót — nawet po zmianie wszystkich haseł i aktualizacji każdego pluginu.

Backdoor może wyglądać tak:

  • Mały plik zakopany w /wp-content/uploads/2024/03/, który wygląda jak obrazek, ale jest kodem wykonywalnym
  • Jedna linia zaciemnionego kodu wstrzyknięta do functions.php szablonu
  • Fałszywy plugin wyglądający normalnie, ale zawierający narzędzie zdalnego dostępu
  • Zmodyfikowany plik rdzenia WordPress, który przechodzi podstawowe kontrole integralności

Tanie lub powierzchowne czyszczenia to pomijają. Usuwają widoczne objawy — spamowe strony, przekierowania — ale zostawiają backdoory. Haker czeka kilka tygodni, wraca przez backdoor i zaczynasz od początku.

Prawidłowe czyszczenie to skanowanie każdego pliku na stronie, porównanie ze znанymi czystymi wersjami, sprawdzenie bazy danych pod kątem wstrzykniętego kodu i usunięcie każdego backdoora. To metodyczna robota. Zajmuje czas. Ale to różnica między naprawieniem problemu raz a naprawianiem go co miesiąc.

Co powiedzieć klientom

Jeśli prowadzisz sklep internetowy lub zbierasz dane klientów, pewnie zastanawiasz się: czy muszę ich informować?

Jeśli dane płatnicze zostały skompromitowane: Tak. Natychmiast. Skontaktuj się też ze swoim operatorem płatności — mają własne procedury powiadamiania.

Jeśli dane osobowe (e-maile, adresy) mogły zostać ujawnione: Na mocy GDPR — prawdopodobnie tak. Krótki, szczery e-mail działa lepiej niż milczenie. Coś w stylu:

„Niedawno wykryliśmy nieautoryzowany dostęp do naszej strony. Zabezpieczyliśmy witrynę i współpracujemy ze specjalistą ds. bezpieczeństwa, żeby taka sytuacja się nie powtórzyła. Jako środek ostrożności zalecamy zmianę hasła, jeśli masz u nas konto. Traktujemy Twoją prywatność poważnie i przepraszamy za niepokój.”

Jeśli żadne dane klientów nie były zaangażowane (strona informacyjna bez formularzy i kont): Nie musisz nikogo powiadamiać. Po prostu wyczyść i zabezpiecz.

Szczerość działa lepiej niż milczenie. Klienci szanują przejrzystość. Nie szanują sytuacji, gdy dowiadują się później, że wiedziałeś i nic nie powiedziałeś.

Jak sprawić, żeby się to nie powtórzyło

Gdy strona jest już czysta, pytanie brzmi: jak zapobiec temu następnym razem?

Odpowiedź jest nudna, ale skuteczna: regularna konserwacja.

Aktualizuj WordPress, szablony i pluginy. Zdecydowana większość ataków wykorzystuje znane luki w przestarzałym oprogramowaniu. Aktualizacja zajmująca 5 minut może zapobiec atakowi, który będzie Cię kosztował dni.

Usuń nieużywane pluginy i szablony. Nawet wyłączone pluginy mogą być exploitowane. Jeśli tego nie używasz — usuń.

Używaj silnych, unikalnych haseł. I nie udostępniaj danych logowania admina pięciu różnym osobom. Każda dostaje własne konto z odpowiednimi uprawnieniami.

Ustaw automatyczne kopie zapasowe. Codzienne backupy przechowywane poza serwerem. Gdy wydarzy się najgorsze, możesz przywrócić czystą wersję w ciągu godzin, a nie dni.

Monitoruj stronę. Monitoring bezpieczeństwa wykrywa problemy wcześnie — zanim Google, zanim Twoi klienci, zanim szkody się nawarstwiają.

To dokładnie to, co obejmuje plan konserwacyjny. Prowadzę plany opieki od €79/miesiąc, które zajmują się tym wszystkim — aktualizacje, kopie zapasowe, monitoring bezpieczeństwa i szybka reakcja, gdy coś pójdzie nie tak. To tańsze niż jednorazowe czyszczenie i oznacza, że nigdy więcej nie będziesz przez to przechodzić.

Jeśli Twoja strona była niedawno zhackowana i chcesz, żeby ktoś ją porządnie wyczyścił i skonfigurował stałą ochronę, napisz na jakub.babiuch@pm.me lub umów się na 15-minutową rozmowę. Powiem Ci dokładnie, co się stało, co trzeba zrobić i ile to kosztuje. Bez nacisku, bez wciskania czegokolwiek na siłę — po prostu konkretna odpowiedź.