Jak rozpoznać, że WordPress jest zainfekowany

Skanowanie malware i bezpieczeństwo WordPress idą w parze — regularne skanowanie pozwala wykryć infekcję zanim wyrządzi poważne szkody. Problem w tym, że złośliwe oprogramowanie często działa w ukryciu przez tygodnie lub miesiące, nie dając oczywistych oznak swojej obecności. Warto jednak znać sygnały, które powinny wzbudzić Twój niepokój.

Wizualne znaki infekcji: Na stronie pojawiają się nieznane treści — spam, linki do podejrzanych serwisów, reklamy kasyn lub farmaceutyków. Użytkownicy są przekierowywani na inne strony. Na stronie wyświetla się komunikat Google o zagrożeniu bezpieczeństwa ("Ta strona może zaszkodzić Twojemu komputerowi"). Wygląd strony zmienia się bez Twojej ingerencji — pojawia się nowy pasek lub elementy, których nie dodawałeś.

Techniczne sygnały zagrożenia: Zauważasz nowe konta administratorów, których nie tworzyłeś. W logach serwera widać dziwne żądania — dostęp do nieistniejących plików, próby wykonania poleceń. Strona działa znacznie wolniej niż zazwyczaj (złośliwy kod może wysyłać spam lub kopać kryptowalutę). Pliki w katalogu WordPress zostały zmodyfikowane — data ostatniej modyfikacji jest niezgodna z Twoją ostatnią aktualizacją. Dostawca hostingu lub Google Search Console wysyła alert o wykryciu złośliwego oprogramowania.

Nawet jeśli nie widzisz żadnych z powyższych objawów, nie oznacza to, że WordPress jest bezpieczny — najgroźniejszy malware jest ten, który nie daje o sobie znać. Dlatego regularne skanowanie jest kluczowym elementem bezpieczeństwa WordPress, niezależnie od tego, czy zauważasz coś podejrzanego.

Narzędzia do skanowania WordPress

Do dyspozycji masz kilka kategorii narzędzi do skanowania WordPress — każde działa na innym poziomie i wykrywa inne typy zagrożeń. Dla kompleksowej ochrony warto używać przynajmniej dwóch narzędzi z różnych kategorii.

Wtyczki skanujące (działają od wewnątrz WordPress): Wordfence Security — skaner plików rdzenia, wtyczek, motywów i bazy danych z bazą sygnatur złośliwego oprogramowania aktualizowaną przez Defiant. MalCare — zaawansowany skaner chmurowy, który nie obciąża serwera. Sucuri Security — prosta wtyczka z monitorem integralności plików i skanerem zdalnym.

Skanery online (działają z zewnątrz, bez dostępu do plików): Sucuri SiteCheck (sitecheck.sucuri.net) — bezpłatny skaner, który sprawdza stronę z zewnątrz, szuka złośliwego kodu w HTML i JavaScript oraz weryfikuje, czy domena figuruje na czarnych listach Google, McAfee, Yandex i innych. VirusTotal (virustotal.com) — możliwość skanowania URL strony przez ponad 70 różnych silników antywirusowych.

Narzędzia serwerowe: Imunify360 — zaawansowany system ochrony dostępny w panelu Plesk na hostingu WordPress w smartxhosting.pl. Skanuje pliki na poziomie serwera, niezależnie od WordPressa. ClamAV — darmowy skaner antywirusowy działający z wiersza poleceń, dostępny na wielu hostingach.

Jak wykonać skan przez Wordfence

Jak ręcznie sprawdzić pliki WordPress

Ręczna weryfikacja plików WordPress jest przydatna, gdy masz konkretne podejrzenia dotyczące infekcji lub gdy wyniki automatycznego skanowania są niejednoznaczne. Dostęp do plików możesz uzyskać przez Menedżer plików w Plesk lub przez FTP/SFTP.

Przede wszystkim zwróć uwagę na pliki z podejrzaną datą modyfikacji — jeśli widzisz, że plik functions.php aktywnego motywu był modyfikowany w dniu, kiedy nic nie robiłeś na stronie, to sygnał alarmowy. W Plesk Menedżerze plików możesz sortować pliki według daty modyfikacji — wyświetl katalog wp-content/themes/[aktywny-motyw] i check daty.

Znaki złośliwego kodu w plikach PHP to między innymi: funkcje eval(), base64_decode(), str_rot13(), gzinflate(), gzuncompress() używane razem z długimi zakodowanymi ciągami znaków — to klasyczna technika obfuskacji złośliwego kodu. Szukaj też ukrytych plików PHP w katalogach z obrazkami (/wp-content/uploads/) — tu pliki PHP nie powinny się normalnie znajdować. Jeśli widzisz pliki .php w katalogu uploads, to prawie zawsze oznacza infekcję.

Porównaj sumy kontrolne plików rdzenia WordPress z oryginalnymi. Możesz pobrać tę samą wersję WordPress z wordpress.org i porównać pliki lub skorzystać z narzędzia WP-CLI: wp core verify-checksums (jeśli masz dostęp SSH przez Plesk).

Często zadawane pytania

Co zrobić po wykryciu malware w WordPress?

Po wykryciu malware w WordPress działaj szybko: najpierw zrób backup obecnego stanu (nawet zainfekowanego — przyda się do analizy), następnie odizoluj stronę (wyłącz ją lub przełącz w tryb konserwacji przez Plesk), usuń złośliwy kod wskazany przez skaner lub przywróć pliki z czystego backupu. Zmień wszystkie hasła: WordPress admin, FTP/SFTP, baza danych, panel hostingowy Plesk. Zaktualizuj WordPress, wtyczki i motywy do najnowszych wersji. Na koniec przeprowadź kolejny pełny skan, by upewnić się, że infekcja została całkowicie usunięta.

Czy Imunify360 w Plesk zastępuje skanowanie przez Wordfence?

Imunify360 i Wordfence uzupełniają się — działają na różnych poziomach. Imunify360 skanuje pliki na poziomie serwera i wykrywa zagrożenia niezależnie od WordPressa, co jest szczególnie przydatne, gdy WordPress sam jest zainfekowany i nie może normalnie działać. Wordfence działa na poziomie aplikacji WordPress, ma dostęp do bazy danych i logów aktywności. Korzystanie z obu daje najszersze pokrycie — Imunify360 jest dostępny w panelu Plesk na hostingu smartxhosting.pl w wyższych planach.

Jak często powinienem skanować WordPress w poszukiwaniu malware?

Zalecamy pełne skanowanie WordPress przynajmniej raz w tygodniu — Wordfence robi to automatycznie w wersji darmowej. Dodatkowo uruchom ręczny skan po każdej instalacji nowej wtyczki lub motywu z zewnętrznego źródła, po zauważeniu podejrzanej aktywności oraz po aktualizacji do nowej głównej wersji WordPress. Skanowanie online przez Sucuri SiteCheck warto wykonywać raz w miesiącu jako dodatkową weryfikację z zewnątrz.