WordPressBezpieczeństwoPorady

WordPress bez aktualizacji. Co się naprawdę dzieje z zapomnianą stroną.

Większość właścicieli małych firm nie wie, że strona na WordPressie wymaga regularnej opieki. Pokazuję, co znalazłem przy pierwszym audycie — i dlaczego to nie jest ich wina.

Piotr Grala

Klient zgłosił się po nowe banery reklamowe. Przy okazji wspomniał, że ma stronę — “coś tam jest, ale nie wiem czy działa”.

Wszedłem na stronę. Działała. Ładowała się przez 6 sekund, ale działała.

Sprawdziłem co jest pod spodem. WordPress z wtyczkami nieaktualizowanymi przez cztery lata. Galeria ze 100 zdjęciami po kilka MB każde. Formularz kontaktowy bez żadnego zabezpieczenia przed botami. Klient dostawał kilkadziesiąt spamowych wiadomości tygodniowo i myślał, że tak to po prostu działa.

To nie był wyjątek. To jest standard dla stron postawionych raz i pozostawionych samym sobie.

Dlaczego WordPress wymaga opieki

WordPress to dynamiczny system. Składa się z rdzenia platformy, motywu i wtyczek. Każdy z tych elementów jest regularnie aktualizowany przez swoich twórców — zazwyczaj po to, żeby załatać odkryte podatności bezpieczeństwa.

Kiedy nie aktualizujesz, zostajesz z kodem, który ma znane dziury. Boty skanują internet w poszukiwaniu właśnie takich instalacji. Nie dlatego, że ktoś celuje w Twoją firmę — po prostu jest ich dużo i działają automatycznie.

Co konkretnie grozi:

  • Spam przez niezabezpieczony formularz — boty wysyłają wiadomości przez Twój formularz kontaktowy. Tanie, automatyczne, w setkach dziennie.
  • Wstrzyknięcie złośliwego kodu — atakujący może umieścić na Twojej stronie treści, których nie widzisz, ale widzi Google. Efekt: blokada w wynikach wyszukiwania.
  • Kradzież danych — jeśli strona przetwarza dane osobowe (formularze, komentarze), niezałatane podatności to realne ryzyko wycieku.
  • Całkowite przejęcie strony — rzadziej, ale zdarza się. Strona wyświetla zupełnie inne treści, albo przestaje działać.

Kto za to odpowiada

To nie jest wina klienta. Nikt nie powiedział mu, że kupując stronę na WordPressie kupuje też odpowiedzialność za jej utrzymanie.

Webdesigner postawił stronę, wziął pieniądze i zniknął. Klient dostał coś, co wygląda gotowo — i nie miał powodu sądzić, że wymaga comiesięcznej opieki.

To jest jeden z powodów, dla których nie buduję stron na WordPressie dla klientów, którzy nie mają kogoś technicznego pod ręką. Statyczna strona nie ma wtyczek do aktualizowania. Nie ma bazy danych do atakowania. Nie ma panelu administracyjnego dostępnego przez internet. Po wdrożeniu działa bez mojej ingerencji przez lata.

Co zrobić z istniejącą stroną na WordPressie

Jeśli masz stronę na WordPressie i nie pamiętasz kiedy ostatnio była aktualizowana, kilka kroków:

  1. Zaloguj się do panelu administracyjnego i sprawdź zakładkę “Aktualizacje”. Zainstaluj wszystko co jest dostępne.
  2. Sprawdź zainstalowane wtyczki. Usuń te, których nie używasz aktywnie — każda nieaktywna wtyczka to potencjalna dziura.
  3. Wejdź na stronę i sprawdź formularz kontaktowy. Czy ma CAPTCHA lub inne zabezpieczenie przed botami?
  4. Zrób kopię zapasową przed aktualizacją — po kilku latach przerwy niektóre aktualizacje mogą popsuć układ strony.

Jeśli to brzmi jak za dużo — napisz do mnie. Robię szybkie audyty i mogę powiedzieć, co faktycznie wymaga naprawy, a co działa dobrze.