Dlaczego WordPress jest tak częstym celem ataków i jak skutecznie się chronić?
WordPress to najpopularniejsza platforma do budowy stron internetowych na świecie — i jednocześnie najczęściej atakowany CMS. Mimo ogromnych możliwości i łatwości obsługi, jego popularność przyciąga uwagę cyberprzestępców, którzy codziennie podejmują miliardy prób włamań na strony oparte na WP.
Warto jednak podkreślić: sam rdzeń WordPress jest dziś bardzo bezpieczny.
Najwięcej problemów wynika z ekosystemu rozszerzeń — wtyczek i motywów.
Poniżej przedstawiamy kompletną analizę tego, dlaczego WordPress jest celem, jakie rodzaje ataków dominują, jakie są aktualne statystyki, jakie wtyczki były najbardziej atakowane w ostatnich miesiącach oraz jak chronić swoją stronę.
Dlaczego hakerzy atakują WordPress?
1. WordPress dominuje na rynku
WordPress zasila około 40% wszystkich stron internetowych.
To oznacza, że każdy nowy exploit może zostać wykorzystany na milionach stron.
Z perspektywy cyberprzestępców — ogromny zysk przy minimalnym wysiłku.
Źródła: Patchstack, Sucuri, Wordfence
2. Wtyczki i motywy to główne źródło podatności
Według raportów Patchstack i Wordfence:
- ponad 90% wszystkich luk w 2024–2025 pochodzi z wtyczek,
- ~4% z motywów,
- a jedynie ułamek procenta z rdzenia WordPress.
Przyczyny: porzucone projekty, brak aktualizacji, mało restrykcyjne standardy kodowania, instalowanie produktów spoza oficjalnego repozytorium.
Źródła: Patchstack Whitepaper 2025, Wordfence Annual Report 2024
3. Automatyzacja ataków jest tania i masowa
Dzisiejsze ataki są w pełni zautomatyzowane. Botnety skanują miliony stron w poszukiwaniu: nieaktualnych wtyczek, słabych haseł, błędnych konfiguracji. Ataki te nie są celowane — boty same znajdują ofiary.
Źródła: Fortinet Outbreak Report, Wordfence Threat Intelligence
Przykłady realnych incydentów
- Masowe ataki brute-force — FortiGuard Outbreak (2023–2024)
Miliony prób logowania dziennie na wszystkie strony WP.
Cel: złamać hasło administratora lub wykraść konto.
Źródła: Fortinet, Wordfence - WP File Manager RCE (CVE-2020-25213)
Atak umożliwiał przesyłanie i wykonywanie złośliwych plików. Zaatakowano ponad 700 000 stron.
Źródło: Wordfence Official Advisory - Elementor Pro 2023 — przejęcia stron na masową skalę
Luka RCE/Privilege Escalation pozwalała przejąć kontrolę nad stroną.
Źródła: Patchstack, Elementor Security Team - Balada Injector (2017–2024)
Zautomatyzowana kampania, która zainfekowała ponad 1 milion stron WP — wstrzyknięcia JS, przekierowania, backdoory.
Źródło: Sucuri Research
Statystyki i trendy ataków WordPress 2024/2025
Ilość podatności (Patchstack 2024):
- 7 966 nowych podatności w ekosystemie WordPress w 2024,
- ok. 22 nowe luki dziennie,
- 96% dotyczyło wtyczek, 4% motywów,
- tylko 7 podatności w core, wszystkie niskiego ryzyka.
Źródło: Patchstack State of WordPress Security 2025
Typy najczęstszych podatności 2025:
- XSS – 34,7%
- CSRF – 19%
- LFI – 12,6%
- Broken Access Control – 10,9%
- SQL Injection – 7,2%
Źródło: Patchstack Mid-Year Vulnerability Report 2025
Skala ataków wg Wordfence (2024):
- 54 miliardy zablokowanych złośliwych żądań,
- 55 miliardów prób logowania (password attacks),
- Najczęściej blokowane: XSS – 9 miliardów, SQLi – 1,1 miliarda prób.
Źródło: Wordfence Annual Report 2024
Lista 10 najczęściej atakowanych / najbardziej podatnych wtyczek w 2024/2025
| # | Wtyczka | Opis podatności / powód wysokiego ryzyka | Źródło |
|---|---|---|---|
| 1 | LiteSpeed Cache | Najczęściej atakowana wtyczka 2024; liczne BAC, XSS, auth bypass | Patchstack 2025 |
| 2 | WordPress Automatic Plugin | SQL Injection (CVE-2024-27956), masowe ataki 2025 | Patchstack Q1 2025 |
| 3 | Startklar Elementor Addons | Arbitrary File Upload (CVE-2024-4345) | Patchstack |
| 4 | GiveWP | PHP Object Injection → RCE (CVE-2024-8353) | Patchstack |
| 5 | OttoKit (d. SureTriggers) | Privilege Escalation (CVE-2025-27007) | Patchstack Q3 2025 |
| 6 | FunnelKit Automations | Arbitrary Plugin Installation (CVE-2025-1562) | Patchstack Q3 2025 |
| 7 | Really Simple SSL | Podatność wys. ryzyka (auth/zabezp.) – 2024 | Patchstack 2025 |
| 8 | Better Search Replace | PHP Object Injection | Patchstack |
| 9 | Loginizer | Broken Authentication – 2024 | Patchstack |
| 10 | The Events Calendar | SQL Injection – 2024 | Patchstack |
Jak skutecznie chronić stronę WordPress?
- Aktualizuj wszystko (codziennie lub automatycznie) — większość ataków wykorzystuje stare wersje wtyczek.
- Instaluj tylko niezbędne i sprawdzone wtyczki.
- Używaj firewalla aplikacyjnego (WAF) — blokuje ataki XSS, SQLi i exploit attempts zanim trafią do WordPressa.
- Włącz 2FA i ograniczenie prób logowania.
- Regularne skany i monitorowanie integralności plików.
- Kopie zapasowe — codziennie, najlepiej z oddzielnej lokalizacji.
WordPress jest popularnym celem ataków głównie dlatego, że jest najpopularniejszym CMS-em na świecie. Jednak sam WordPress nie jest niebezpieczny — największe ryzyko pochodzi z nieaktualnych i podatnych wtyczek.
Dobre praktyki, regularne aktualizacje, firewall i świadome zarządzanie wtyczkami pozwalają zminimalizować zagrożenia praktycznie do zera.
Leave a Reply