← Wróć do centrum problemów
16.07.2026 Bezpieczeństwo 8 wyświetleń

WordPress zainfekowany malware? Jak usunąć złośliwe oprogramowanie krok po kroku i odzyskać stronę bez paniki

Zainfekowany WordPress potrafi zablokować ruch, zrujnować SEO i narazić dane użytkowników. Sprawdź, jak rozpoznać malware, bezpiecznie usunąć infekcję i przywrócić stronę do działania.

ProblemWordPress zainfekowany malware? Jak usunąć złośliwe oprogramowanie krok po kroku i odzyskać stronę bez paniki
Trudnośćwysoka
Czas naprawy2–8 godzin
Ryzykowysokie
Wymagany backuptak
Dla kogowłaściciele stron WordPress, administratorzy, freelancerzy, małe firmy i e-commerce
Szybka odpowiedź

Najpierw odizoluj stronę, zrób kopię obecnego stanu, sprawdź pliki core, motywy, wtyczki i bazę danych, usuń złośliwy kod, zmień wszystkie hasła, odśwież klucze bezpieczeństwa, przeskanuj serwer oraz zgłoś witrynę do Google Search Console i hostingu, jeśli została oznaczona jako zainfekowana. Jeśli nie masz doświadczenia, nie usuwaj losowo plików — łatwo uszkodzić WordPressa lub zostawić ukryty backdoor.

WordPress zainfekowany malware? Jak usunąć złośliwe oprogramowanie krok po kroku i odzyskać stronę bez paniki
Checklista przed naprawą
  • Czy strona została odizolowana od ruchu?
  • Czy masz kopię plików i bazy danych przed czyszczeniem?
  • Czy sprawdzono wp-admin, wp-includes, wp-content/plugins i wp-content/themes?
  • Czy przejrzano katalog uploads pod kątem plików wykonywalnych?
  • Czy sprawdzono bazę danych, w tym wp_options i wp_posts?
  • Czy usunięto nieautoryzowane konta administratorów?
  • Czy zmieniono wszystkie hasła i klucze bezpieczeństwa?
  • Czy zaktualizowano WordPress, motyw, wtyczki i PHP?
  • Czy przeskanowano hosting i sprawdzono logi serwera?
  • Czy zgłoszono witrynę do ponownej weryfikacji po czyszczeniu?
Scenariusze naprawy Najczęstsze układy problemu i bezpieczniejsza droga działania

Stan strony

ŹlePrzekierowania, ostrzeżenia przeglądarki, ryzyko blokady

DobrzeCzysta witryna, brak złośliwych przekierowań, stabilne działanie

Bezpieczeństwo kont

ŹleNieznani użytkownicy, możliwe przejęte hasła

DobrzeZresetowane hasła, wylogowane sesje, kontrola ról

Pliki systemowe

ŹleZmodyfikowany core, ukryte backdoory

DobrzeCzyste pliki WordPressa i zweryfikowane dodatki

Reputacja SEO

ŹleSpadki widoczności, możliwe ostrzeżenia Google

DobrzeWnioski o ponowną weryfikację i odbudowa reputacji

Przed / po Co zmienia uporządkowana diagnoza zamiast chaotycznych prób naprawy

Dostępność strony

PrzedCzęsto ograniczona lub blokowana
PoPrzywrócona do stabilnej pracy

Ryzyko ponownej infekcji

PrzedWysokie, jeśli zostawiono backdoor
PoNiskie po pełnym czyszczeniu i zmianie haseł

Czas reakcji użytkownika

PrzedOpóźniony przez brak diagnozy
PoSkrócony dzięki uporządkowanej procedurze

Stan bezpieczeństwa

PrzedNiewiadomy, z wieloma punktami ryzyka
PoZweryfikowany, z usuniętymi wektorami ataku

WordPress zainfekowany malware to nie jest „mały problem techniczny”, tylko sytuacja, która może w ciągu kilku minut doprowadzić do utraty ruchu, spadku pozycji w Google, blokady przez przeglądarki i realnego ryzyka wycieku danych. Dla wielu właścicieli stron pierwszy objaw wygląda niewinnie: strona zaczyna działać wolniej, pojawia się dziwny przekierowujący skrypt, Google pokazuje ostrzeżenie o niebezpiecznej witrynie albo hosting nagle blokuje konto. Potem okazuje się, że infekcja siedzi nie tylko w jednym pliku, ale także w bazie danych, wtyczkach, motywie i ukrytych elementach dodanych po to, by malware wracał po każdym „czyszczeniu”.

Największy błąd to panika i przypadkowe usuwanie plików. W WordPressie infekcja często imituje zwykły kod, więc wycięcie „podejrzanych” fragmentów bez diagnozy może uszkodzić stronę albo zostawić furtkę dla atakującego. W praktyce skuteczne usunięcie malware to nie tylko skasowanie jednego pliku, ale uporządkowany proces: izolacja witryny, ocena skali szkody, oczyszczenie wszystkich warstw systemu, zmiana haseł, zabezpieczenie punktów wejścia i dopiero na końcu ponowne uruchomienie strony. W tym artykule pokazuję, jak zrobić to bezpiecznie i kiedy lepiej przekazać sprawę specjaliście.

Szybka odpowiedź

Jeśli podejrzewasz malware w WordPressie, działaj od razu: włącz tryb awaryjny, odetnij stronę od ruchu, wykonaj kopię zainfekowanego stanu do celów analizy, sprawdź pliki core WordPressa, katalogi motywu i wtyczek, bazę danych, zadania cron oraz konto hostingowe, usuń nieznany kod, przeinstaluj czyste pliki systemowe, zaktualizuj wszystko do najnowszych wersji, zmień hasła i klucze SALT, a na końcu zrób pełny skan po stronie hostingu i w Google Search Console. Jeśli infekcja wraca, masz sklep internetowy, stronę wielojęzyczną, niestandardowe integracje lub brak doświadczenia w pracy z FTP, SSH i bazą MySQL, nie czyść strony samodzielnie — ryzyko trwałej utraty danych i ponownego ataku jest zbyt duże.

Diagnoza problemu

Najpierw trzeba ustalić, czy rzeczywiście chodzi o malware, czy o awarię, konflikt wtyczek albo błąd po aktualizacji. Objawy infekcji są zwykle bardziej „chaotyczne” niż zwykła usterka. Charakterystyczne sygnały to nagłe przekierowania na obce domeny, dziwne reklamy w treści, spamowe linki w kodzie źródłowym, nieautoryzowane konta administratorów, spadek wydajności bez wyraźnej przyczyny, nieoczekiwane zmiany w plikach systemowych, ostrzeżenia przeglądarek i komunikaty hostingu o wysyłaniu spamu lub przekroczeniu limitów procesów.

Warto rozróżnić trzy scenariusze. Po pierwsze: infekcja widoczna dla użytkownika, ale jeszcze nieukrywająca się głęboko. Po drugie: infekcja ukryta, która aktywuje się tylko dla botów, konkretnych krajów, urządzeń lub adresów IP. Po trzecie: tzw. backdoor, czyli ukryte wejście do systemu, dzięki któremu atakujący może wracać nawet po częściowym czyszczeniu. To właśnie dlatego proste usunięcie jednego pliku z niedobrą nazwą nie wystarcza.

Praktyczna diagnoza zaczyna się od porównania aktualnej wersji WordPressa, motywu i wtyczek z wersjami źródłowymi. Następnie należy sprawdzić daty modyfikacji plików, zwłaszcza w katalogach wp-includes, wp-admin, wp-content/plugins, wp-content/themes oraz w plikach konfiguracyjnych. Niepokojące są fragmenty takie jak zakodowane ciągi base64, eval, gzinflate, preg_replace z modyfikatorem e, długie zaszyfrowane łańcuchy znaków, losowe nazwy plików w katalogu uploads oraz pliki PHP tam, gdzie normalnie powinny być tylko obrazy.

Jeżeli masz dostęp do panelu administracyjnego, sprawdź również listę użytkowników. Hakerzy często dodają konto admina o niewinnej nazwie, czasem tworzą użytkownika bez widocznych treści lub z przypisanym adresem e-mail, który wygląda losowo. W bazie danych możesz znaleźć spamowe wpisy w tabelach wp_posts, wp_options i wp_usermeta, a także podejrzane autoloadowane opcje, które uruchamiają się przy każdym wejściu na stronę i obciążają serwer. Warto przejrzeć też harmonogram zadań WordPressa, bo malware bywa uruchamiany okresowo przez wp-cron.

Jeśli hosting pokazuje ostrzeżenie o złośliwym oprogramowaniu, sprawdź, czy problem dotyczy plików na serwerze, czy wysyłki spamu przez skrzynki pocztowe powiązane z hostingiem. Czasem właściciel strony widzi jedynie objawy na froncie, a prawdziwa szkoda jest już w panelu pocztowym, w katalogach tymczasowych lub w zasobach udostępnionych przez inne aplikacje na tym samym koncie. W takich sytuacjach czyszczenie wyłącznie WordPressa nie rozwiązuje problemu.

Możliwe przyczyny

Infekcja WordPressa rzadko bierze się z „pecha”. Zwykle istnieje konkretna luka, przez którą atakujący wszedł do środka. Najczęstsze przyczyny to nieaktualne wtyczki i motywy, słabe hasła, brak dwuetapowego logowania, niepotrzebnie szerokie uprawnienia plików, pozostawione nieużywane dodatki, zainstalowane pirackie motywy lub wtyczki z niepewnego źródła oraz błędy w konfiguracji hostingu.

Jednym z najpoważniejszych czynników ryzyka są wtyczki i motywy porzucone przez autorów. Nawet popularny dodatek może stać się furtką, jeśli nie jest aktualizowany przez dłuższy czas. Kolejna sprawa to środowiska testowe i kopie strony pozostawione publicznie bez zabezpieczeń. Haker często atakuje mniej chronioną wersję deweloperską, a potem wykorzystuje ją do wejścia na produkcję.

Inną przyczyną jest używanie tych samych haseł w wielu usługach. Jeśli dane logowania wyciekły z innego serwisu, napastnik może użyć ich do logowania do WordPressa albo panelu hostingu. Nie wolno też lekceważyć phishingu. Wiele infekcji zaczyna się od tego, że administrator pobiera „pilną fakturę”, „aktualizację zabezpieczeń” albo „bezpieczną wersję wtyczki” z fałszywego źródła.

W praktyce przyczyną bywa też zbyt szerokie zaufanie do automatycznych skanerów. Narzędzie może nie wykryć złośliwego kodu ukrytego w zaszyfrowanej postaci, w bazie danych albo w plikach generowanych dynamicznie. Dlatego brak alertu nie oznacza braku problemu. Podobnie czysta strona główna nie gwarantuje, że infekcja nie siedzi w podstronach, mapie witryny, plikach JavaScript albo zasobach ładowanych z zewnątrz.

Rozwiązanie krok po kroku

Bezpieczne usunięcie malware z WordPressa powinno być prowadzone etapami. Poniżej znajduje się praktyczna procedura, która minimalizuje ryzyko utraty danych i pomaga upewnić się, że infekcja naprawdę zniknęła, a nie tylko na chwilę przestała być widoczna.

  1. Odizoluj stronę. Jeśli to możliwe, włącz tryb konserwacji lub ogranicz dostęp przez hasło na poziomie hostingu. Chodzi o to, by ograniczyć dalsze szkody, blokować rozprzestrzenianie się spamowych przekierowań i chronić użytkowników przed złośliwymi skryptami.
  2. Zrób kopię zainfekowanego stanu. To ważne nawet wtedy, gdy strona jest zainfekowana. Potrzebujesz kopii do analizy, porównania plików i ewentualnego odzyskania fragmentów treści, których nie ma gdzie indziej. Kopia powinna obejmować pliki oraz bazę danych.
  3. Sprawdź punkt wejścia. Oceń, czy atak mógł wejść przez wtyczkę, motyw, konto administratora, formularz uploadu, lukę w REST API, nieaktualny PHP, źle zabezpieczony katalog uploads lub panel hostingu. Jeśli nie ustalisz źródła, infekcja może wrócić.
  4. Porównaj pliki core WordPressa z oryginałem. Pliki w katalogach wp-admin i wp-includes powinny być zgodne z czystą wersją systemu. Jeśli widzisz dodatkowy kod, nowe pliki lub zmienione fragmenty, usuń je po wcześniejszym potwierdzeniu, że nie są częścią oficjalnej instalacji.
  5. Przeinstaluj czyste pliki systemowe. Najbezpieczniej nadpisać core WordPressa świeżą wersją pobraną z oficjalnego źródła, bez ruszania wp-content i wp-config.php. Dzięki temu usuwasz potencjalne modyfikacje w rdzeniu systemu.
  6. Przeskanuj wtyczki i motyw. Usuń nieużywane dodatki, a używane porównaj z oryginalnymi paczkami lub repozytorium autora. Każdy plik PHP w katalogu motywu i wtyczek powinien być sprawdzony pod kątem dziwnych funkcji, obfuskacji i nieznanych include/require.
  7. Przejrzyj katalog uploads. W tym miejscu nie powinno być plików PHP, .phtml, .phar ani skryptów wykonywalnych, chyba że naprawdę wiesz, że są wymagane przez legalną integrację. Często malware ukrywa się właśnie tutaj, bo katalog ten bywa słabiej monitorowany.
  8. Sprawdź bazę danych. Szukaj podejrzanych kodów w treściach wpisów, widgetach, opcjach i polach niestandardowych. Szczególnie uważaj na wpisy zawierające iframe, skrypty z zewnętrznych domen, zaszyfrowane ciągi i dziwne przekierowania.
  9. Usuń nieautoryzowanych użytkowników i resetuj uprawnienia. Skasuj fałszywe konta admina, sprawdź role użytkowników i upewnij się, że każdy ma tylko minimalne potrzebne uprawnienia.
  10. Zmień wszystkie hasła. Obejmuje to WordPress, hosting, FTP/SFTP, SSH, bazę danych, e-mail, panel domeny i wszystkie konta współpracowników. Jeśli jedno hasło zostanie pominięte, infekcja może wrócić przez stare dane dostępu.
  11. Odśwież klucze bezpieczeństwa i sesje. Zmień klucze SALT w wp-config.php i wyloguj wszystkich użytkowników. Dzięki temu stare sesje nie pozostaną aktywne po czyszczeniu.
  12. Aktualizuj wszystko po usunięciu infekcji. WordPress, motyw, wtyczki, PHP i zależności muszą być aktualne. Aktualizację wykonuj po oczyszczeniu, nie przed, jeśli strona jest już zainfekowana i nie masz pewności, co dokładnie przyniesie update.
  13. Przeskanuj serwer po stronie hostingu. Jeśli hosting oferuje skaner malware, użyj go. Równolegle sprawdź logi dostępu i błędów. Logi często ujawniają pierwszą nietypową aktywność, której nie widać na froncie.
  14. Zgłoś witrynę do ponownej weryfikacji. Jeśli Google oznaczył stronę jako niebezpieczną, po czyszczeniu trzeba poprosić o ponowny skan. Bez tego ostrzeżenie może pozostać aktywne mimo usunięcia zagrożenia.

Ważna uwaga: jeśli nie masz pewności, czy plik jest złośliwy, nie usuwaj go „na oko”. Najpierw sprawdź, czy nie jest to element motywu, wtyczki lub integracji zewnętrznej. Lepiej zatrzymać proces na chwilę niż przypadkowo skasować potrzebny komponent i doprowadzić do awarii całej witryny.

Najczęstsze błędy

Przy usuwaniu malware z WordPressa powtarzają się te same błędy. Pierwszy to skupianie się wyłącznie na objawach. Jeśli usuniesz tylko przekierowanie z jednej podstrony, a zostawisz backdoor, infekcja wróci w ciągu godzin lub dni. Drugi błąd to czyszczenie wyłącznie plików, bez sprawdzenia bazy danych, harmonogramów i kont użytkowników.

Trzeci błąd to kasowanie całych katalogów bez porównania z oryginałem. W praktyce wiele stron ma niestandardowe integracje, dodatkowe pola, własne klasy i biblioteki. Usunięcie „dziwnego” pliku może zatrzymać koszyk, formularze, mapy strony, integrację z płatnościami lub cache. Czwarty błąd to ignorowanie aktualnych luk bezpieczeństwa. Nawet jeśli wyczyścisz stronę idealnie, a zostawisz starą, podatną wtyczkę, atakujący wejdzie ponownie.

Pięty błąd to brak zmiany wszystkich haseł i kluczy. Wielu właścicieli resetuje tylko hasło do panelu WordPress, zapominając o FTP, hostingu, e-mailu i bazie danych. Szósty błąd to brak sprawdzenia komputerów lokalnych. Jeśli infekcja weszła przez zainfekowaną przeglądarkę, wtyczkę do synchronizacji albo zapisany menedżer haseł, same zmiany na serwerze nie wystarczą.

Do częstych pomyłek należy też poleganie na „magicznych” skanerach, które obiecują pełne czyszczenie jednym kliknięciem. Tego typu narzędzia bywają pomocne przy prostych infekcjach, ale przy złożonym ataku potrafią przeoczyć ukryty kod, a czasem usunąć legalne elementy strony. Skaner ma wspierać diagnozę, nie zastępować analizy.

Kiedy nie robić tego samodzielnie

Nie powinieneś usuwać malware samodzielnie, jeśli strona generuje przychód, obsługuje płatności, przechowuje dane klientów lub jest ważna operacyjnie dla firmy. W takich przypadkach każda godzina przestoju ma koszt, a każdy błąd może oznaczać utratę zamówień, reputacji lub danych. Samodzielne eksperymenty zwykle wydłużają przestój zamiast go skracać.

Druga sytuacja to brak dostępu technicznego. Jeśli nie wiesz, jak korzystać z FTP/SFTP, SSH, phpMyAdmin, panelu hostingu czy logów serwera, będziesz działać po omacku. To nie jest teren do „nauki na żywej stronie”. Trzecia sytuacja to niestandardowy WordPress: rozbudowane sklepy WooCommerce, strony z wieloma integracjami API, platformy członkowskie, serwisy z wieloma językami, własnym motywem i licznymi modyfikacjami.

Nie rób tego samodzielnie również wtedy, gdy w plikach widać wiele warstw infekcji: dziwne pliki w różnych katalogach, zmodyfikowane core, obce konta użytkowników, spam w bazie i ostrzeżenia hostingu o wysyłce spamu. Taki obraz zwykle oznacza, że infekcja rozgościła się głęboko i wymaga pełnej procedury incident response, a nie szybkiego czyszczenia.

Wreszcie, jeśli nie masz aktualnej, sprawdzonej kopii zapasowej, nie zaczynaj od agresywnego czyszczenia. Bez backupu możesz usunąć nie tylko malware, ale też treść, konfigurację i dane, których nie da się łatwo odtworzyć.

Kiedy zgłosić się do specjalisty

Do specjalisty warto zgłosić się od razu, gdy strona została oznaczona przez Google, przeglądarki lub hosting jako niebezpieczna, a Ty nie masz pewności, gdzie jest źródło infekcji. Fachowiec nie tylko usunie kod, ale też przeanalizuje wektory ataku i sprawdzi, czy nie istnieją ukryte drogi powrotu. To szczególnie ważne przy infekcjach wielowarstwowych i powracających.

Pomoc specjalisty jest wskazana również wtedy, gdy strona była wykorzystana do rozsyłania spamu, hostingu phishingu, przekierowań afiliacyjnych, kopania kryptowalut albo ataku na inne serwisy. W takich sytuacjach trzeba patrzeć nie tylko na pliki, lecz także na reputację domeny, logi serwera, konta pocztowe i ewentualne listy blokad.

Zgłoś się po pomoc także wtedy, gdy masz mało czasu na przestój, a strona ma znaczenie biznesowe. Samodzielne szukanie infekcji może zająć wiele godzin lub dni, zwłaszcza jeśli problem siedzi w bazie danych lub w ukrytym backdoorze. Specjalista zwykle działa szybciej, bo ma procedury, narzędzia i doświadczenie z podobnymi przypadkami.

Warto też oddać sprawę ekspertowi, jeśli po własnym czyszczeniu problem wrócił. Powracająca infekcja zwykle oznacza, że został jeden z trzech elementów: backdoor, niezałatana luka albo zainfekowane konto. Wtedy potrzebna jest analiza przyczynowa, a nie kolejna próba „wycięcia tego samego pliku”.

Podsumowanie

Usunięcie malware z WordPressa to proces techniczny, ale też organizacyjny. Najpierw trzeba zabezpieczyć stronę i sprawdzić skalę problemu, potem oczyścić pliki, bazę danych, użytkowników i harmonogramy, a na końcu usunąć przyczynę infekcji oraz wzmocnić zabezpieczenia. Największe zagrożenie nie polega tylko na samym złośliwym kodzie, lecz na tym, że pozostaje on ukryty w kilku miejscach jednocześnie i potrafi wrócić po częściowym czyszczeniu.

Jeżeli traktujesz stronę poważnie, nie działaj chaotycznie. Bezpieczna procedura jest ważniejsza niż szybkie, ale przypadkowe kasowanie plików. Dobrze przeprowadzone czyszczenie przywraca stronę do działania, minimalizuje ryzyko ponownej infekcji i chroni reputację marki. Źle przeprowadzone może pogłębić szkody, wydłużyć przestój i zostawić furtkę dla kolejnego ataku.

CTA do kontaktu

Jeśli podejrzewasz infekcję WordPressa, strona przekierowuje, hosting blokuje konto albo nie masz pewności, czy malware został w pełni usunięty, skontaktuj się ze specjalistą jak najszybciej. Im wcześniej rozpocznie się diagnostykę i czyszczenie, tym mniejsze ryzyko utraty danych, spadku widoczności i kolejnej infekcji. Gdy liczy się czas i bezpieczeństwo, nie warto działać samemu na ślepo.

FAQ

Najczęstsze pytania

Krótkie odpowiedzi na pytania, które najczęściej pojawiają się przed naprawą strony, kontaktem z supportem albo zleceniem wdrożenia.

Czy można usunąć malware z WordPressa samodzielnie?

Tak, ale tylko przy niewielkiej i dobrze zdiagnozowanej infekcji oraz jeśli masz doświadczenie techniczne. Przy powracających atakach, sklepie internetowym lub braku dostępu do logów bezpieczniej wezwać specjalistę.

Czy samo zaktualizowanie WordPressa usuwa malware?

Nie. Aktualizacja usuwa lukę, ale nie czyści już zainfekowanych plików, bazy danych ani kont użytkowników. Najpierw trzeba usunąć złośliwy kod, potem zabezpieczyć system.

Jak poznać, że infekcja wróciła?

Objawy powrotu to ponowne przekierowania, spam w kodzie źródłowym, nowe podejrzane konta, ostrzeżenia Google lub pliki zmienione po czyszczeniu. To zwykle oznacza pozostawiony backdoor albo nadal aktywną lukę.

Czy wystarczy przeskanować stronę wtyczką bezpieczeństwa?

Nie zawsze. Skaner może wykryć część problemów, ale nie gwarantuje znalezienia ukrytych backdoorów, zmian w bazie danych ani infekcji aktywowanej warunkowo. To narzędzie pomocnicze, nie pełne rozwiązanie.

Czy po usunięciu malware trzeba zmieniać wszystkie hasła?

Tak, koniecznie. Należy zmienić hasła do WordPressa, hostingu, FTP/SFTP, SSH, bazy danych, poczty i panelu domeny. Trzeba też odświeżyć klucze bezpieczeństwa WordPressa.

Usługi r99.pl Jeśli wolisz zlecić to specjaliście, zobacz usługi powiązane z tym problemem
Powiązane poradniki Zobacz też inne artykuły z r99.pl, które pomagają w podobnych awariach i decyzjach technicznych

Dalszy krok

Nie udało Ci się rozwiązać problemu samodzielnie?

Przeprowadzę diagnostykę, naprawię stronę, przyspieszę WordPress albo uporządkuję techniczne SEO i widoczność.