Przejdź do treści
WordPress i Strony WWW Ogólne

Usuwanie wirusów WordPress – kompletny przewodnik 2026 (naprawa w 24h)

Opublikowano: 5 maja 2026 | Zaktualizowano: 4 maja 2026

Twoja strona WordPress przekierowuje na pharma albo kasyno? Google pokazuje czerwone ostrzeżenie <em>deceptive site ahead</em>? Widzisz nowych adminów, których nigdy nie dodawałeś? Spokojnie – to się da naprawić, najczęściej w ciągu 24 godzin. Czytasz to prawdopodobnie w panice, więc od razu konkret: <strong>najpierw zrób backup (nawet zainfekowanej wersji), potem zmień hasła, a dopiero później czyść.</strong> Każdy inny porządek kończy się utratą danych albo niepełnym usunięciem malware. Przez ostatni rok wyciągnęliśmy z opresji ponad 200 stron WordPress – sklepy WooCommerce, blogi, strony usługowe, korporacyjne portale. Wzorce powtarzają się w kółko: Japanese SEO spam, pharma redirecty, backdoory w <code>wp-config.php</code>, fałszywi adminowie. Ten przewodnik pokazuje krok po kroku, jak zdiagnozować problem, jak go usunąć samodzielnie (jeśli masz czas i kompetencje) i jak zlecić naprawę specjalistom (599 zł brutto, gwarancja 24h). Linki do <a href="/usuwanie-wirusow-wordpress/">naszej usługi naprawy</a> i <a href="/kontakt/">kontaktu</a> znajdziesz wewnątrz – zadzwoń jeśli potrzebujesz pomocy już teraz.

Krótka odpowiedź

Usługi KC Mobile

Sprawdź naszą ofertę

Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.

WordPress i Strony WWW Strony internetowe

Jak rozpoznać, że WordPress jest zhakowany

TL;DR: jeśli widzisz przekierowania na obce strony, ostrzeżenie Google albo nieznanych userów w panelu WP – jesteś zhakowany. Zrób Sucuri SiteCheck w 30 sekund, żeby potwierdzić.

Sygnały dzielą się na oczywiste (widzi je każdy odwiedzający) i ukryte (widzi tylko Googlebot albo logi serwera). Te drugie są groźniejsze, bo potrafią działać miesiącami, zanim ktoś je wychwyci.

Pierwsza pomoc – co zrobić w pierwszych 30 minutach

TL;DR: backup, hasła, wywal lewych adminów, włącz tryb konserwacji. W tej kolejności. Bez backupu nie ruszaj nic innego.

Najczęstszy błąd – ktoś w panice usuwa pliki, restartuje serwer, kasuje pluginy. Dwie godziny później okazuje się, że razem z malware skasowane zostały zdjęcia produktów albo treść 80 wpisów. Backup jest jak fotografia miejsca zbrodni – nawet zainfekowana wersja zawiera dane, które trzeba uratować.

Potrzebujesz profesjonalnej strony WordPress?

Tworzymy strony WordPress, które są szybkie, bezpieczne i zoptymalizowane pod SEO. Od 3000 zł.

Sprawdź ofertę WordPress 604 939 140

Najczęstsze typy malware w WordPress 2026

TL;DR: SEO spam (cloaking), redirecty, backdoory, mailery, miner kryptowalut, defacement. Każdy typ wymaga innej metody czyszczenia.

W 2026 dominują dwie kategorie: SEO spam (cichy, działa miesiącami) i malicious redirects (głośny, klienci dzwonią po godzinie). Reszta to mniejsze procentowo, ale groźne nisze.

Diagnoza – narzędzia do skanowania WordPress

TL;DR: Sucuri SiteCheck na zewnątrz, Wordfence albo MalCare wewnątrz, wp core verify-checksums dla plików core, ręczny grep dla backdoorów.

Żadne pojedyncze narzędzie nie wykryje wszystkiego. Dobra diagnostyka łączy minimum trzy warstwy.

Czyszczenie samodzielne czy zlecone profesjonalistom

TL;DR: DIY = 8-16 godzin twojego czasu plus 60 procent szans, że backdoor zostanie. Pro = 599 zł, 24h, gwarancja. Sklepy WooCommerce zawsze zlecaj.

Ścieżka A (DIY) ma sens, jeśli jesteś developerem WordPress albo masz budżet zerowy. Ścieżka B (Pro) – jeśli każda godzina downtime to utracona sprzedaż albo ranking. Praktyka: 8 na 10 osób, które zaczynają DIY, kończy w naszym formularzu po 6 godzinach z prośbą o ratunek.

Po naprawie – kompletna checklista hardeningu

TL;DR: reinstall core/pluginów/theme, reset keys, wymuszenie logout, 2FA, firewall, Search Console review, monitoring 14 dni.

Czyszczenie to pierwsza połowa pracy. Druga to upewnienie się, że nie wrócą i że Google szybko zdejmie flagę. Pomijanie tego etapu jest najczęstszą przyczyną nawrotów.

Prewencja – jak nie dopuścić do drugiej infekcji

TL;DR: aktualizuj co tydzień, backupuj automatycznie, hosting z auto-skanem malware, pakiet opieki dla spokoju ducha.

Statystycznie 70 procent infekcji WordPress wynika z niezaktualizowanych pluginów (raport Wordfence 2025). Druga przyczyna to słabe hasła administratorów. Trzecia – kradzież sesji przez niezabezpieczony FTP. Wszystkie trzy łatwo wyeliminować.

Cennik usuwania wirusów WordPress w KC Mobile

TL;DR: Basic 599 zł (clean + 24h), Standard 999 zł (+ Wordfence Premium + 2FA), Premium 1999 zł (+ 30 dni opieki + audyt). Wszystkie z gwarancją.

Naprawiamy WordPressa od 2018 roku, tylko w 2025 wyciągnęliśmy z opresji 200+ stron. Cennik jest jasny i nie ma ukrytych kosztów. Diagnoza wstępna jest zawsze bezpłatna.







PakietCo zawieraCena bruttoCzas
BasicDiagnoza + clean malware + reinstall WP core + raport PDF599 zł24h
StandardBasic + reinstall pluginów/theme + 2FA + Wordfence Premium 1 rok999 zł24h
PremiumStandard + 30 dni opieki + pełny audyt security1999 zł24h

Co dalej? Pełny opis usługi naprawy WordPress albo zadzwoń pod +48 604 939 140 – diagnoza w 30 minut, wycena od ręki, ratujemy w tym samym dniu. Możesz też wypełnić formularz kontaktowy, oddzwonimy w 15 minut w godzinach pracy.

Potrzebujesz pomocy z WordPress?

Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 500+ zrealizowanych projektów.

Zamów wycenę Nasze usługi WordPress

Najczęściej zadawane pytania

Jak rozpoznać, że WordPress został zhakowany?
Sygnały oczywiste: Google blacklist, ostrzeżenie <em>deceptive site</em> w Chrome, przekierowania na pharma lub kasyno, nieznani administratorzy w panelu, podmieniona strona główna. Sygnały ukryte: cloaking SEO spam (widoczny dla Googlebota), pliki PHP w <code>/wp-content/uploads/</code>, spike ruchu wychodzącego. Najszybszy test – Sucuri SiteCheck w 30 sekund. Każdy z tych objawów wymaga natychmiastowej reakcji.
Ile kosztuje usunięcie wirusa z WordPress?
W KC Mobile od 599 zł brutto za pakiet Basic (clean + reinstall core + 24h gwarancji). Standard 999 zł dodaje Wordfence Premium na rok i konfigurację 2FA. Premium 1999 zł obejmuje 30 dni opieki po naprawie i pełny audyt bezpieczeństwa. DIY pozornie kosztuje zero złotych, ale realnie 8-16 godzin Twojej pracy plus 60 procent ryzyka, że backdoor zostanie i infekcja wróci w miesiąc.
Czy Wordfence usuwa wirusy automatycznie?
Wordfence wykrywa malware i pokazuje listę zainfekowanych plików, ale nie usuwa wszystkiego automatycznie. Wersja Premium ma funkcję <em>Repair Files</em> dla plików core i pluginów z oficjalnego repo – tam działa. Backdoory w <code>wp-config.php</code>, custom plikach themes albo wstrzyknięcia w bazę MySQL wymagają ręcznej weryfikacji i decyzji co usunąć. Wordfence to świetne narzędzie diagnostyczne, ale nie zastąpi specjalisty.
Co zrobić po usunięciu wirusa z WordPress?
Reinstall WP core, pluginów i theme ze świeżego źródła. Reset wszystkich 8 keys/salts w <code>wp-config.php</code>. Włącz 2FA dla każdego administratora. Skonfiguruj firewall (Cloudflare WAF lub Sucuri). Zgłoś <em>Request Review</em> w Google Search Console – Google zdejmie flagę w 24-72h. Monitoruj logi serwera przez 14 dni. Rozważ pakiet opieki WordPress, żeby uniknąć powtórki.
Czy mogę sam usunąć wirusa z WordPress?
Tak, jeśli znasz SSH, WP-CLI, MySQL i regex grep. Realny czas to 8-16 godzin. Ryzyko: według raportu Sucuri 2025 60 procent samodzielnych czyszczeń zostawia ukryty backdoor, infekcja wraca w ciągu 30 dni. Jeśli prowadzisz sklep WooCommerce, stronę generującą ruch z Google albo każda godzina downtime kosztuje Cię klientów – zdecydowanie lepiej zlecić profesjonalistom. 599 zł vs godziny stresu i ryzyko nawrotu.
Jak Google reaguje na zhakowaną stronę WordPress?
Google wykrywa malware przez Safe Browsing i nakłada flagi: <em>This site may be hacked</em>, <em>deceptive site ahead</em>, <em>this site may harm your computer</em>. Strona spada w rankingach o 50-90 procent, traci widoczność w Mapach i Google Ads zostaje zatrzymane. Po naprawie zgłoś <em>Request Review</em> w Search Console – Google przeskanuje ponownie i zdejmie flagę zwykle w 24-72 godziny. Powrót pełnych pozycji zajmuje 2-4 tygodnie.
Jak zabezpieczyć WordPress, żeby się nie powtórzyło?
Pakiet bazowy: aktualizuj WP, pluginy i theme co tydzień, wymuś silne hasła plus 2FA dla wszystkich admins, zainstaluj security plugin (Wordfence albo Solid Security), włącz Cloudflare WAF, ustaw auto-backupy do chmury (UpdraftPlus), <code>DISALLOW_FILE_EDIT</code> w <code>wp-config.php</code>, limit prób logowania. Najprościej – wykup pakiet opieki WordPress, gdzie my zajmiemy się hardeningiem, monitoringiem i aktualizacjami.
#wirusy#malware#bezpieczenstwo#naprawa
Zdjęcie autora: Krzysztof Czapnik
O autorze

Krzysztof Czapnik

CEO KC Mobile

20+ lat doświadczenia w digital marketingu i tworzeniu stron internetowych. Specjalizuję się w SEO, kampaniach Google Ads oraz budowaniu skutecznych strategii online dla firm z całej Polski.

Potrzebujesz pomocy z tym tematem? Napisz – odpowiem osobiście w 24h.

Napisz do mnie 604 939 140

Potrzebujesz pomocy?

🌐 Strony internetowe Strony WWW od 3000 zł, 500+ realizacji Sprawd\u017a WordPress Strony WordPress, szybkie i bezpieczne Sprawd\u017a 🛒 Sklepy internetowe Sklepy WooCommerce od 5000 zł Sprawd\u017a 🔍 Pozycjonowanie SEO SEO od 2000 zł/mies., bez długich umów Sprawd\u017a

Potrzebujesz profesjonalnej strony WordPress?

Tworzymy strony WordPress, które są szybkie, bezpieczne i zoptymalizowane pod SEO. Od 3000 zł.

Sprawdź ofertę WordPress 604 939 140

Potrzebujesz pomocy specjalisty?

Skorzystaj z naszych usług w największych miastach Polski

Strony internetowe Poznań Strony internetowe Szczecin Strony internetowe Katowice Strony internetowe Wrocław Strony internetowe Gdańsk Strony internetowe Kraków
Więcej z kategorii WordPress i Strony WWW Wszystkie kategorie
Zadzwoń Bezpłatna wycena
Bezpłatna wycena