Twoja strona przekierowuje na podejrzaną domenę? Chrome pokazuje ostrzeżenie, a Google oznaczył witrynę jako zhakowaną? Zajmiemy się tym spokojnie i po kolei — zdiagnozujemy, wyczyścimy, zabezpieczymy.
Zainfekowana strona to stresująca sytuacja — ale nie wyjątkowa. Większość takich przypadków daje się naprawić w kilka dni.
Co się stało? Najczęstsze scenariusze, z którymi do nas trafiacie: Chrome wyświetla komunikat „strona niebezpieczna", Google w wynikach wyszukiwania oznaczył witrynę jako „site may be hacked", wtyczka bezpieczeństwa (WordFence, Malcare) wykryła malware, strona nagle przekierowuje na obce domeny (pharma-hack, viagra-spam), albo w Google pojawiają się setki nowych podstron typu „cheap-viagra-online" pod Twoją domeną. Każdy z tych objawów to sygnał, że ktoś wszedł do kodu lub bazy i zostawił tam złośliwy skrypt.
Nie panikuj — to częste. WordPress jest najczęściej atakowanym CMS-em na świecie (bo najpopularniejszym), a większość zainfekowań wynika z banalnych przyczyn: przestarzałej wtyczki z publiczną luką, nulled themu z backdoorem albo hasła „admin/admin". Większość zainfekowanych WordPressów odzyskujemy w 1–3 dni robocze, z pełnym raportem i zabezpieczeniem przed powrotem problemu.
Co robić teraz? Po pierwsze — zachowaj spokój. Po drugie — nie loguj się do panelu administracyjnego z zainfekowanego urządzenia, może tam siedzieć keylogger. Po trzecie — zmień natychmiast hasło do bazy danych i FTP (przez panel hostingu, nie przez WP). Po czwarte — napisz do nas. Zgłoszenia przyjmujemy w dni robocze 9–17, ale jeśli jest weekend i strona aktywnie rozsiewa spam, pokażemy Ci, jak uruchomić „maintenance mode" przez FTP — to zatrzyma szkody do poniedziałku.
Sześć etapów pracy — od skanu po zdjęcie ostrzeżenia z Google.
Używamy WordFence, Malcare i manualnego grepa po plikach — identyfikujemy, gdzie siedzi malware, ile plików jest zmienionych, czy został zainstalowany backdoor, czy strona już aktywnie rozsiewa spam-linki. Bez dokładnej diagnozy nie ma skutecznej naprawy.
Czyścimy pliki core przez reinstall oficjalnego WordPress zip z wordpress.org, usuwamy obce wtyczki i fałszywe motywy, wyczyszczamy bazę ze spam-linków, iframe-ów i wstrzykniętych skryptów JS. Wszystko na kopii — strona produkcyjna nie cierpi.
Typowy skutek ataku albo przepełnionej bazy. Diagnozujemy wp-config.php, credentials MySQL, sprawdzamy limity hostingu i rozmiar bazy. Często to nie wirus — tylko wyczerpany limit albo uszkodzona tabela. Naprawiamy i raportujemy.
Identyfikujemy, którą drogą włamał się atakujący — stara wtyczka z CVE? Nulled theme z backdoorem? Exploit XSS w formularzu? Brak aktualizacji core? Łatamy podatność, usuwamy nullowane komponenty, aktualizujemy wszystko do najnowszych wersji.
Rotacja haseł: admin WP, FTP, MySQL, cPanel/Plesk. Wdrożenie Two-Factor Authentication dla konta administratora. Rotacja SALT-kluczy w wp-config.php — wylogowuje wszystkie istniejące sesje, w tym te podszyte przez atakującego.
Jeśli Google oflagował stronę jako „site may be hacked", składamy reconsideration request w Google Search Console. Zwykle 48–72h do zdjęcia ostrzeżenia — ale to już w rękach Google, nie w naszych. My robimy co trzeba po swojej stronie.
Naprawa to reakcja. Prewencja jest o rząd tańsza — warto znać resztę grupy.
Kompleksowa obsługa strony na stałe — prewencja, nie reakcja.
Zobacz 02Abonament 389–1097 zł/mc. Po naprawie **bardzo** polecamy — 80% zainfekowań udaje się zawczasu wyłapać monitoringiem.
Zobacz 03Aktualizacja silnika i wtyczek — podstawowa prewencja. Większość ataków korzysta ze starych CVE.
Zobacz 04Stałe wsparcie techniczne WP — poza kryzysami, w codziennym rozwoju strony.
Zobacz 05 · tutaj jesteśJesteś tutaj. Interwencja w sytuacji kryzysowej.
Czytasz teraz
Pakiet opieki 389 zł/mc to cena jednej naprawy raz w roku. Wybór należy do Ciebie. — obserwacja po 100+ naprawach
Cztery kroki. Pierwszy trwa kilka godzin (dni robocze), całość zwykle 1–3 dni.
Email, formularz albo telefon. W ciągu kilku godzin (w dni robocze) patrzymy na stronę, określamy skalę infekcji i dajemy wycenę. Zwykle 500 / 900 / 1500 zł netto, w zależności od głębokości problemu.
Pełny backup zainfekowanej strony — archiwalnie, do ewentualnej analizy post-mortem. Jeśli strona wciąż aktywnie rozsiewa spam, przełączamy ją w tryb konserwacji — żeby nie pogłębiać szkód.
Skan, wyczyszczenie plików, naprawa bazy, łatanie luk, reset haseł, rotacja SALT-kluczy. Dla typowych przypadków 1–2 dni robocze. Dla głębokich zhakowań z backdoorem — do 3 dni.
Ponowny skan, testy funkcjonalne, sprawdzenie z narzędzi Google. Jeśli Google oflagował — składamy reconsideration request w GSC. Raport końcowy z listą zmian i rekomendacjami — w tym pakiet opieki prewencyjnej.
Trzy poziomy głębokości problemu — każdy ma widełki cenowe.
500 zł — drobne zainfekowanie (1 plugin, pojedyncze pliki, bez widocznego przekierowania). 900 zł — typowe zhakowanie (przekierowania, spam w bazie, obce strony generowane dynamicznie). 1500 zł — głębokie zhakowanie (backdoor, wielokrotna infekcja, deep clean plików core, baza skompromitowana). Dla rootkita lub rekurencyjnego malware — wycena indywidualna.
* Pracujemy w dni robocze 9–17. W weekend można napisać — zaczniemy w poniedziałek. Zgłoszenia 24/7 obsługujemy tylko w pakiecie PREMIUM opieki.
To klasyczny SEO-spam / pharma-hack — atakujący wstrzykuje kod, który przekierowuje ruch z Google na swoje zarobkowe domeny (viagra, kasyno, fake shops). Objaw: wchodzisz z Google, idziesz na obcą stronę; wchodzisz bezpośrednio z URL-a, strona działa normalnie. Dlatego długo można tego nie zauważyć.
Co zrobić zaraz: nie loguj się do admina z zainfekowanego urządzenia, zmień hasło bazy i FTP przez panel hostingu, napisz do nas. W większości takich przypadków czyścimy stronę w 1 dzień roboczy, cena 500–900 zł w zależności od zakresu infekcji.
Nie zawsze. Ten błąd bywa skutkiem trzech częstych sytuacji: (A) wyczerpanie limitów hostingu — za dużo zapytań, za dużo pamięci; (B) zmiana hasła MySQL po stronie hostingu bez aktualizacji wp-config; (C) uszkodzony plik wp-config.php (np. po edycji przez FTP).
Bywa jednak też skutkiem ataku — np. tabela users została nadpisana, baza ma uszkodzony indeks albo atakujący skasował dostępy. Diagnozujemy w ~30 minut. Jeśli to nie malware — 200–500 zł za naprawę i raport. Jeśli jest powiązany z wirusem — wchodzimy w ścieżkę pełnej naprawy.
Zdjęcie ostrzeżenia Chrome zależy od Google Safe Browsing — zwykle 48–72h po zgłoszeniu, że strona jest już czysta. Na to nie mamy wpływu — to proces Google.
Co możemy zrobić: sama naprawa zajmuje 1–2 dni, potem składamy reconsideration request w Google Search Console. Od tego momentu Google weryfikuje stronę i zdejmuje ostrzeżenie. Reszta to czekanie. W raporcie końcowym dajemy dokładne instrukcje, co zrobisz dalej sam.
Standardowo nie. Zgłoszenia przyjmujemy i obsługujemy w dni robocze pn–pt 9–17. Jeśli napiszesz w sobotę wieczorem — zaczniemy w poniedziałek od rana.
Jeśli jednak strona aktywnie rozsiewa spam (np. każda wizyta generuje nowe podstrony pharma, Google zaczyna masowo indeksować śmieci), w odpowiedzi na zgłoszenie dostaniesz instrukcję uruchomienia „maintenance mode" przez FTP — to zablokuje dalsze szkody do poniedziałku. Sam klient robi to w 5 minut.
W pakiecie PREMIUM opieki (1097 zł/mc) mamy priorytetową ścieżkę — jesteś pierwszy w kolejce poniedziałkowej. Ale 24/7 nie obiecujemy — wolimy robić dobrze w godzinach pracy, niż odpisywać zmęczeni po nocy.
90% przypadków to jedna z czterech rzeczy: (A) nieaktualna wtyczka ze starą luką CVE (publicznie znaną, skanowaną masowo przez boty), (B) nulled plugin — piracka wersja płatnej wtyczki, która zawsze ma w sobie backdoora, (C) słabe hasło administratora (admin/admin, imię-firmy123), (D) brak firewalla i monitoringu logowań.
10% to hosting — zhakowany serwer współdzielony, podatność 0-day w samym WordPressie (rzadkie), kompromitacja dostawcy hostingu. W raporcie końcowym zawsze wskazujemy dokładne źródło — żebyś wiedział, czego nie robić w przyszłości.
W 15–20% przypadków tak — ale tylko wtedy, gdy klient nie zmienia praktyk. Jeśli dalej ma stare wtyczki, hasło „admin123", nullowane komponenty i brak 2FA — atakujący wróci tymi samymi drzwiami.
Dlatego w każdej naprawie robimy: reset haseł, wdrożenie 2FA, usunięcie nullowanych wtyczek, rotację SALT-kluczy. Rekomendujemy też pakiet opieki od 389 zł/mc — z monitoringiem IP, firewallem aplikacyjnym, automatycznym backupem i aktualizacjami. To prewencja o rząd taniej niż kolejna naprawa.
Często to najszybsza droga. Sprawdzamy dokładnie, kiedy nastąpiła infekcja (po logach, po datach modyfikacji plików, po Google-search-console), przywracamy backup sprzed tego momentu, a następnie łatamy lukę wejścia — żeby scenariusz się nie powtórzył.
Cena w takim wariancie: 300–500 zł zamiast 900–1500 zł za pełną naprawę. Warunek: backup musi być kompletny (pliki + baza) i sprzed daty infekcji. Jeśli nie masz pewności, czy backup nie jest już zainfekowany — weryfikujemy go skanem przed przywróceniem.