Wstęp

WordPress jest jednym z najpopularniejszych systemów CMS, co czyni go również częstym celem ataków hakerskich. Infekcje mogą prowadzić do kradzieży danych, uszkodzenia witryny lub wykorzystania serwera do celów przestępczych. Szybka reakcja i właściwe procedury to klucz do skutecznego oczyszczenia strony.

W tym poradniku zostanie omówione:

• Identyfikacja objawów infekcji
• Skanowanie serwera i analiza wyników
• Procedura oczyszczania strony
• Fortyfikacja po usunięciu infekcji
• Monitorowanie i zapobieganie
• FAQ – pytania i odpowiedzi

Mini słownik pojęć:

.htaccess — plik konfiguracyjny serwera Apache umożliwiający zarządzanie przekierowaniami, zabezpieczeniami i innymi ustawieniami na poziomie katalogu.

Backdoor — ukryte wejście w systemie lub aplikacji umożliwiające nieautoryzowany dostęp z pominięciem standardowych zabezpieczeń.

Core WordPress — pliki źródłowe systemu wymagane do uruchomienia podstawowej aplikacji WordPress.

SQL Injection — atak polegający na wstrzyknięciu złośliwego kodu SQL przez formularz w celu nieautoryzowanego dostępu do bazy danych.

Brute Force Attack — metoda łamania haseł przez systematyczne próbowanie wszystkich możliwych kombinacji znaków.

Cross-Site Scripting (XSS) — atak wstrzykujący złośliwy kod JavaScript do strony internetowej, wykonywany w przeglądarce ofiary.

RODO — Rozporządzenie o Ochronie Danych Osobowych, prawo UE regulujące przetwarzanie danych osobowych.

Suma kontrolna — unikalny kod weryfikacyjny pliku, pozwalający sprawdzić jego integralność.

DDoS — atak polegający na przeciążeniu serwera ogromną liczbą żądań, mający na celu uniemożliwienie dostępu do strony.

Fortyfikacja — proces wzmacniania zabezpieczeń systemu po usunięciu infekcji, mający na celu zapobieganie przyszłym atakom.

1. Identyfikacja objawów infekcji

Pierwszym krokiem w zwalczaniu infekcji jest jej rozpoznanie. Objawy mogą być różnorodne i nie zawsze oczywiste:

Objawy widoczne dla użytkowników:

• Niespodziewane przekierowania na obce strony
• Wyskakujące okienka z reklamami lub ostrzeżeniami
• Ostrzeżenia przeglądarek o niebezpiecznej witrynie
• Znaczne spowolnienie ładowania strony
• Nieoczekiwane zmiany w treści lub wyglądzie strony

Objawy techniczne:

• Nagły wzrost zużycia zasobów serwera
• Nietypowy ruch sieciowy
• Podejrzane procesy PHP w menadżerze procesów
• Nieznane pliki lub katalogi w strukturze witryny
• Zmiany w plikach systemowych bez autoryzacji
• Nagłe ponowne awarie strony:
  – Błędy krytyczne WordPress (Critical Error)
  – Błędy 500 (Internal Server Error)
  – Błędy 403 (Forbidden Access)
  – Błędy 404 dla wcześniej działających podstron
  – Błędy połączenia z bazą danych

Objawy w panelu administracyjnym:

• Nieznani użytkownicy w panelu WordPress
• Niewłaściwe uprawnienia do plików i katalogów
• Nowe, nieznane wtyczki lub motywy
• Zmienione ustawienia bez wiedzy administratora

2. Skanowanie serwera i analiza wyników

Po podejrzeniach, że na serwerze znajdują się zainfekowane pliki, nie zwlekaj i jak najszybciej skontaktuj się z nami adresem wsparcie@cyberfolks.pl i zleć nam wykonanie skanowania antywirusowego. Jest to w pełni bezpłatna procedura.

Procedura skanowania:

1. Zlecenie skanowania — skontaktuj się z działem wsparcia pod z prośbą o uruchomienie skanowania antywirusowego
2. Oczekiwanie na wyniki — skanowanie może potrwać od kilku minut do kilku godzin w zależności od rozmiaru danych
3. Lokalizacja raportu — po zakończeniu skanowania, raport pojawi się w menadżerze plików jako plik scan_RRRR-MM-DD_HH-MM

Analiza wyników skanowania:

Zainfekowane pliki są widoczne w pliku wspomnianym wyżej, a ich ścieżki dokładnie wylistowane tak, aby ułatwić procedurę ich usuwania.

3. Procedura oczyszczania strony

Krok 1: Zabezpieczenie i izolacja

Nie panikuj — każda infekcja da się usunąć przy zastosowaniu właściwej procedury

1. Zmień hasła — do panelu WordPress, FTP, bazy danych i hostingu
2. Wykonaj kopię zapasową — nawet zainfekowanej strony, na wypadek potrzeby odzyskania danych
3. Wyloguj wszystkich użytkowników — usuń aktywne sesje w panelu WordPress

Krok 2: Usuwanie zainfekowanych plików

1. Przejrzyj raport skanowania — zanotuj lokalizacje wszystkich zainfekowanych plików.
2. Usuń pliki z wskazane w raporcie — bezwzględnie usuń wszystkie pliki wylistowane w naszym skanie oraz oznaczone jako zainfekowane.
3. Sprawdź pliki konfiguracyjne — szczególnie wp-config.php, .htaccess, functions.php.
4. Opcjonalne skanowanie — Przeskanuj dodatkowo stronę za pomocą wtyczki: Anti-Malware Security and Brute-Force Firewall
   

Krok 3: Usuwanie podejrzanych użytkowników w kokpicie WordPress

1. Przejdź do Użytkownicy → Wszyscy użytkownicy — w panelu administracyjnym WordPress
2. Przeanalizuj listę użytkowników — zwróć uwagę na:
   • Użytkowników z dziwnymi nazwami (np. losowe ciągi znaków),
   • Konta utworzone w ostatnim czasie bez Twojej wiedzy,
   • Użytkowników z uprawnieniami Administratora, których nie rozpoznajesz.
3. Sprawdź adresy email — podejrzane konta często mają przypadkowe lub podejrzane adresy email.
4. Usuń podejrzanych użytkowników — kliknij „Usuń” przy każdym podejrzanym koncie.
5. Przypisz treści — jeśli usuwany użytkownik ma przypisane treści, przekaż je prawdziwemu użytkownikowi lub usuń.
6. Zmień hasła pozostałych — po oczyszczeniu wymuś zmianę haseł na wszystkich prawidłowych kontach.

Krok 4: Reinstalacja plików core WordPress

1. Pobierz świeżą kopię WordPress — z oficjalnej strony wordpress.org.
2. Zastąp pliki systemowe — zachowaj wp-config.php i katalog wp-content.

4. Fortyfikacja po usunięciu infekcji

Natychmiastowe działania:

• Wykonaj kopię zapasową — np. poprzez Installatron
• Aktualizuj wszystko — WordPress core, wtyczki, motywy
• Usuń nieużywane elementy — stare wtyczki, motywy, pliki
• Wzmocnij hasła — użyj silnych, unikalnych haseł
• Ogranicz uprawnienia — pliki 644, katalogi 755, wp-config.php 600

Zabezpieczenia długoterminowe:

• Zainstaluj wtyczkę bezpieczeństwa — np. Wordfence, Anti-Malware Security.
• Włącz dwuskładnikowe uwierzytelnianie — dla wszystkich kont administracyjnych.
• Ukryj wp-admin — zmień domyślny URL panelu logowania.
• Regularnie twórz kopie zapasowe — najlepiej automatyczne, poza serwerem.
• Skonfiguruj Cloudflare — włącz ochronę przed atakami DDoS i filtrowanie ruchu.
• Wykluczenie podejrzanych IP w .htaccess — zablokuj adresy IP z których pochodziły ataki.
• Włącz WAF (Web Application Firewall) — dodatkowa warstwa ochrony przed atakami (SQL Injection, Brute Force Attack, Cross-Site Scripting, etc.).
• Włącz mod_security — moduł serwera filtrujący i blokujący złośliwe zapytania HTTP.

5. Monitorowanie i zapobieganie

Regularne kontrole:

• Codziennie — sprawdzaj logi błędów i aktywność użytkowników
• Tygodniowo — przegląd nowych plików i zmian w systemie
• Miesięcznie — pełne skanowanie antywirusowe
• Kwartalnie — audyt bezpieczeństwa i przegląd uprawnień

Oznaki powracającej infekcji:

• Ponowne pojawienie się usuniętych plików
• Nowi, nieznani użytkownicy w systemie
• Nietypowe zapytania w logach serwera
• Powrót problemów z wydajnością
• Nagłe ponowne awarie strony

Z poziomu wsparcia technicznego CyberFolks możemy pomóc w:

• Uruchomieniu skanowania antywirusowego całego serwera
• Włączeniu separacji plików stron internetowych
• Przywróceniu kopii zapasowej sprzed infekcji
• Zweryfikowaniu strony po oczyszczeniu zainfekowanych plików

Jeśli wskazane działania nie przyniosą efektu lub infekcja okaże się szczególnie zaawansowana, konieczne może być skontaktowanie się z naszymi specjalistami WP-Assist, którzy skutecznie oczyszczą stronę z zainfekowanych plików. Zachęcamy do kontaktu poprzez czat, mail oraz adres wsparcie@cyberfolks.pl.

Pamiętaj: Najlepszą obroną przed infekcjami jest proaktywna postawa – regularne aktualizacje, silne hasła, kopie zapasowe i monitorowanie. Inwestycja w bezpieczeństwo to zawsze mniej kosztowna opcja niż usuwanie skutków ataku.

6. FAQ – Pytania i odpowiedzi