Twoja strona WordPress przekierowuje na pharma albo kasyno? Google pokazuje czerwone ostrzeżenie deceptive site ahead? Widzisz nowych adminów, których nigdy nie dodawałeś? Spokojnie – to się da naprawić, najczęściej w ciągu 24 godzin. Czytasz to prawdopodobnie w panice, więc od razu konkret: najpierw zrób backup (nawet zainfekowanej wersji), potem zmień hasła, a dopiero później czyść. Każdy inny porządek kończy się utratą danych albo niepełnym usunięciem malware.
Przez ostatni rok wyciągnęliśmy z opresji ponad 200 stron WordPress – sklepy WooCommerce, blogi, strony usługowe, korporacyjne portale. Wzorce powtarzają się w kółko: Japanese SEO spam, pharma redirecty, backdoory w wp-config.php, fałszywi adminowie. Ten przewodnik pokazuje krok po kroku, jak zdiagnozować problem, jak go usunąć samodzielnie (jeśli masz czas i kompetencje) i jak zlecić naprawę specjalistom (599 zł brutto, gwarancja 24h). Linki do naszej usługi naprawy i kontaktu znajdziesz wewnątrz – zadzwoń jeśli potrzebujesz pomocy już teraz.
Krótka odpowiedź
Usługi KC Mobile
Sprawdź naszą ofertę
Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.
Jak rozpoznać, że WordPress jest zhakowany
TL;DR: jeśli widzisz przekierowania na obce strony, ostrzeżenie Google albo nieznanych userów w panelu WP – jesteś zhakowany. Zrób Sucuri SiteCheck w 30 sekund, żeby potwierdzić.
Sygnały dzielą się na oczywiste (widzi je każdy odwiedzający) i ukryte (widzi tylko Googlebot albo logi serwera). Te drugie są groźniejsze, bo potrafią działać miesiącami, zanim ktoś je wychwyci. Zanim cokolwiek usuniesz, ustal najpierw typ infekcji – od tego zależy cała dalsza strategia czyszczenia.
Potrzebujesz profesjonalnej strony WordPress?
Tworzymy strony WordPress, które są szybkie, bezpieczne i zoptymalizowane pod SEO. Od 3000 zł.
Co zrobić w pierwszych 30 minutach po wykryciu infekcji
TL;DR: backup, hasła, wywal lewych adminów, włącz tryb konserwacji. W tej kolejności. Bez backupu nie ruszaj nic innego.
Najczęstszy błąd – ktoś w panice usuwa pliki, restartuje serwer, kasuje pluginy. Dwie godziny później okazuje się, że razem z malware skasowane zostały zdjęcia produktów albo treść kilkudziesięciu wpisów. Backup jest jak fotografia miejsca zbrodni – nawet zainfekowana wersja zawiera dane, które trzeba uratować.
Jakie typy malware najczęściej atakują WordPress
TL;DR: SEO spam (cloaking), redirecty, backdoory, mailery, miner kryptowalut, defacement. Każdy typ wymaga innej metody czyszczenia.
W praktyce dominują dwie kategorie: SEO spam (cichy, działa miesiącami) i malicious redirects (głośny, klienci dzwonią po godzinie). Identyfikacja typu to nie ciekawostka – od niej zależy, czy szukasz w bazie, w plikach core, czy w .htaccess.
Jakimi narzędziami przeskanować WordPress
TL;DR: Sucuri SiteCheck na zewnątrz, Wordfence albo MalCare wewnątrz, wp core verify-checksums dla plików core, ręczny grep dla backdoorów.
Żadne pojedyncze narzędzie nie wykryje wszystkiego. Dobra diagnostyka łączy trzy warstwy: skan z zewnątrz, skan wewnętrzny i weryfikację sum kontrolnych. Poniższa tabela porządkuje, co które narzędzie faktycznie łapie, a czego nie.
| Narzędzie | Typ | Co wykrywa | Czego NIE wykryje |
|---|---|---|---|
| Sucuri SiteCheck | online (free) | blacklisty, redirecty, iframe injection, widoczny malware | backdoorów ukrytych w plikach |
| Wordfence | plugin (free/Premium) | sygnatury malware, zmiany w core, podejrzane pliki, linki wychodzące | nietypowych zaciemnień spoza bazy sygnatur |
| MalCare | plugin (chmura) | skan poza serwerem, nie obciąża hostingu, jednoklikowy clean | wymaga konta i połączenia z chmurą |
| verify-checksums | WP-CLI | każdą modyfikację plików core i pluginów z repo | plików theme i custom kodu |
| ręczny grep | SSH | wzorce backdoorów (eval, base64, gzinflate) | wymaga wiedzy i dostępu SSH |
Jak ręcznie wyczyścić WordPress krok po kroku
TL;DR: pliki core nadpisz świeżymi, pluginy i theme zainstaluj od zera, bazę przeszukaj pod kątem wstrzyknięć, .htaccess odtwórz z czystego wzorca, backdoory usuń na końcu.
Ręczne czyszczenie ma jedną zasadę nadrzędną: pracujesz warstwami, od najłatwiejszych do najtrudniejszych, a backdoory zostawiasz na koniec. Odwrotna kolejność kosztuje godziny – usuniesz widoczny malware, a furtka odtworzy go w nocy.
Czyszczenie samodzielne czy zlecone profesjonalistom
TL;DR: DIY to kilka–kilkanaście godzin Twojego czasu i realne ryzyko, że backdoor zostanie. Zlecenie = stała cena, szybki termin, gwarancja. Sklepy WooCommerce zawsze warto zlecić.
Ścieżka DIY ma sens, jeśli jesteś developerem albo masz budżet zerowy i czas na naukę. Ścieżka profesjonalna – jeśli każda godzina downtime to utracona sprzedaż albo ranking. Niezależnie od wyboru kluczowa decyzja brzmi: czy na pewno znalazłeś wszystkie furtki?
wp-config.php lub fałszywy plik w /uploads/. Efekt: strona wraca do normy na dzień, dwa, a potem infekcja odradza się sama. Dlatego u nas etap szukania furtek (grep wzorców plus weryfikacja sum kontrolnych) jest ważniejszy niż samo kasowanie malware. Czyste pliki bez zamkniętej furtki to tylko odroczenie problemu.Jeśli budujesz biznes na WordPressie, warto od początku stawiać na solidnie wykonane strony internetowe z poprawną konfiguracją serwera – to znacząco zmniejsza powierzchnię ataku jeszcze przed jakimkolwiek hardeningiem.
Jak zgłosić czystą stronę do Google i ściągnąć ostrzeżenie
TL;DR: po wyczyszczeniu strony zgłoś Request Review w Search Console – Google przeskanuje ponownie i zdejmie flagę, jeśli nie znajdzie pozostałości malware.
Usunięcie malware nie zdejmuje automatycznie czerwonego ostrzeżenia w wynikach wyszukiwania. Dopóki nie poprosisz Google o ponowną weryfikację, odwiedzający dalej widzą this site may harm your computer, a ruch leży. To etap, który właściciele najczęściej pomijają, dziwiąc się później, czemu pozycje nie wracają.
Jak nie dopuścić do drugiej infekcji
TL;DR: reinstall ze świeżych źródeł, reset keys, wymuszenie logout, 2FA, firewall, aktualizacje co tydzień, automatyczne backupy, hosting z auto-skanem.
Czyszczenie to pierwsza połowa pracy. Druga to upewnienie się, że atakujący nie wróci. Większość nawrotów, które widzimy, bierze się z trzech rzeczy: nieaktualnych pluginów, słabych haseł administratorów i braku 2FA. Wszystkie trzy łatwo wyeliminować.
Ile kosztuje usuwanie wirusów WordPress w KC Mobile
TL;DR: Basic 599 zł (clean + 24h), Standard 999 zł (+ Wordfence Premium + 2FA), Premium 1999 zł (+ 30 dni opieki + audyt). Wszystkie z gwarancją.
Cennik jest jasny i nie ma ukrytych kosztów. Diagnoza wstępna jest zawsze bezpłatna – najpierw mówimy, co znaleźliśmy i ile potrwa naprawa, a dopiero potem wyceniamy.
| Pakiet | Co zawiera | Cena brutto | Czas |
|---|---|---|---|
| Basic | Diagnoza + clean malware + reinstall WP core + raport | 599 zł | 24h |
| Standard | Basic + reinstall pluginów/theme + 2FA + Wordfence Premium 1 rok | 999 zł | 24h |
| Premium | Standard + 30 dni opieki + pełny audyt security | 1999 zł | 24h |
Co dalej? Pełny opis usługi naprawy WordPress albo zadzwoń pod +48 604 939 140 – diagnoza bez zobowiązań, wycena od ręki. Możesz też wypełnić formularz kontaktowy, oddzwonimy w godzinach pracy.
Pomagamy w tym na co dzień – strony internetowe.
Nie chcesz grzebać w tym sam i ryzykować pogłębienia awarii? Naprawimy Twój WordPress – diagnoza w 30 minut, pełna naprawa od 299 zł, z miesięczną opieką w pakiecie.
Potrzebujesz pomocy z WordPress?
Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 20+ lat doświadczenia.
Najczęściej zadawane pytania
Jak rozpoznać, że WordPress został zhakowany?
Ile kosztuje usunięcie wirusa z WordPress?
Czy Wordfence usuwa wirusy automatycznie?
Jak ręcznie wyczyścić bazę danych WordPress z malware?
Co zrobić po usunięciu wirusa z WordPress?
Czy mogę sam usunąć wirusa z WordPress?
Jak Google reaguje na zhakowaną stronę WordPress?
Krzysztof Czapnik
Founder & Technical Lead, KC Mobile
20 lat WordPress + 12 lat WooCommerce. Specjalizuję się w technicznej stronie e-commerce: automatyzacje WooCommerce, Google Ads dla SMB, migracje sklepów i optymalizacja konwersji.
Potrzebujesz pomocy z tym tematem? Napisz – odpowiem osobiście w 24h.
Potrzebujesz pomocy?
Potrzebujesz profesjonalnej strony WordPress?
Tworzymy strony WordPress, które są szybkie, bezpieczne i zoptymalizowane pod SEO. Od 3000 zł.