Monitoring i audyt bezpieczeństwa

Monitoring bezpieczeństwa to ciągłe obserwowanie strony WordPress pod kątem podejrzanych aktywności, zmian w plikach i prób nieautoryzowanego dostępu. Audyt to regularne sprawdzanie konfiguracji, uprawnień i polityk bezpieczeństwa według checklisty.

📊 Poziom trudności

Średnio-zaawansowany ⭐⭐

⏱️ Czas wdrożenia: 30-60 minut (monitoring) + 15-30 min/tydzień (audyt) 🛠️ Wymagane umiejętności: Podstawowa obsługa WordPress, rozumienie logów, dostęp do panelu Joton 💻 Narzędzia: Panel WordPress + panel Joton + email (do alertów)

Dlaczego monitoring jest kluczowy?

Scenariusz bez monitoringu:

1. Dzień 0: Hacker dodaje backdoora do wp-config.php
2. Tydzień 1-4: Backdoor zbiera dane użytkowników, wysyła spam
3. Miesiąc 2: Google oznacza stronę jako "This site may be hacked"
4. Miesiąc 3: Hosting zawiesza konto za spam abuse
5. Odkrycie: Dopiero po zgłoszeniach klientów i utracie 70% ruchu

Scenariusz z monitoringiem:

1. Dzień 0, 14:23: Hacker dodaje backdoora do wp-config.php
2. Dzień 0, 14:24: WP Activity Log wysyła email: "File modified: wp-config.php"
3. Dzień 0, 14:30: Administrator przywraca plik z backupu, zmienia hasła
4. Dzień 0, 15:00: Problem rozwiązany, zero strat

Różnica: Monitoring skraca czas reakcji z 2-3 miesięcy do kilku minut.

---

1. Logowanie aktywności użytkowników (Activity Log)

WP Activity Log - najlepsza wtyczka do audytu

Dla kogo: Wszystkie strony WordPress (szczególnie z wieloma użytkownikami)

Co rejestruje:

• Logowania (udane i nieudane) - kto, kiedy, z jakiego IP
• Zmiany w treści (posty, strony, media) - kto edytował, o której
• Instalacje/aktualizacje wtyczek i motywów
• Zmiany w ustawieniach WordPress
• Zmiany w użytkownikach (dodanie, usunięcie, zmiana roli)
• Modyfikacje bazy danych (premium)

Instalacja i konfiguracja

1. Wtyczki → Dodaj nową → Wyszukaj: WP Activity Log
2. Instaluj → Aktywuj
3. Kreator startowy:

Krok 1: Poziom logowania

• Basic - tylko logowania i zmiany w treści (30 dni historii)
• Geek (zalecane) - wszystko powyżej + instalacje wtyczek, zmiany ustawień (90 dni)
• Custom - wybierz konkretne eventy

Krok 2: Email alerts Włącz powiadomienia dla:

• Failed login attempts (>5 z tego samego IP w ciągu 10 min)
• Instalacja/dezaktywacja wtyczek
• Zmiany w użytkownikach (nowy admin, zmiana hasła)
• ⏹️ Każda edycja posta (zbyt dużo emaili dla aktywnych blogów)

Krok 3: Przechowywanie logów

• W bazie WordPress (domyślne) - działa od razu, ale zajmuje miejsce w MySQL
• Zewnętrzna baza danych (premium) - dedykowana baza dla logów
• Syslog (premium) - integracja z systemami SIEM (dla enterprise)

4. Finish

Kluczowe alerty do skonfigurowania

WP Activity Log → Settings → Email Notifications → Add Notification:

Trigger	Kryteria	Email do	Uzasadnienie
Failed Login	5+ prób w 10 min z tego samego IP	Admin	Brute-force attack
Plugin Installed	Każda instalacja	Admin	Backdoor może być zainstalowany jako wtyczka
User Role Changed	Użytkownik awansowany do Administrator	Admin	Privilege escalation
File Modified	Zmiana w /wp-admin/, /wp-includes/	Admin	Modyfikacja core (prawdopodobnie malware)
Critical Setting Changed	Permalink structure, site URL	Admin	Może zepsuć stronę

Przegląd logów - co sprawdzać codziennie (5 min)

WP Activity Log → Audit Log Viewer:

Filtr 1: Failed logins z ostatnich 24h

• Wyszukaj: Event ID: 1002 (Failed login)
• Sprawdź kolumnę IP Address - czy to znane IP?
• Jeśli >20 prób z jednego IP → zablokuj IP (instrukcja niżej)

Filtr 2: Zmiany w wtyczkach/motywach

• Wyszukaj: Event ID: 5000-5010 (Plugin/theme changes)
• Sprawdź kolumnę User - czy to Ty?
• Jeśli nieznany użytkownik instalował wtyczkę → ALARM (możliwe włamanie)

Filtr 3: Zmiany w użytkownikach

• Wyszukaj: Event ID: 4000-4010 (User changes)
• Sprawdź nowych administratorów - czy ich znasz?

⚠️ RED FLAG - natychmiastowa reakcja

Jeśli widzisz w logach:

• Nieznany użytkownik o roli Administrator
• Instalacja wtyczki przez użytkownika, który nie jest Tobą
• Modyfikacja plików w /wp-admin/ lub /wp-includes/

Działaj natychmiast: Pierwsza pomoc po włamaniu

Blokowanie IP z panelu logów

Jeśli widzisz brute-force (>20 failed logins z jednego IP):

Metoda 1: Przez wtyczkę Wordfence/iThemes

• Skopiuj IP z WP Activity Log
• Wordfence → Firewall → Blocking → Manually block an IP → Wklej IP → Block

Metoda 2: Przez .htaccess (jeśli nie masz wtyczki firewall)

• Panel Joton → Witryny → Twoja domena → Menadżer plików
• Otwórz .htaccess (w katalogu głównym WordPress)
• Dodaj na początku pliku:

# Blokada IP atakującego
<Limit GET POST>
    order allow,deny
    deny from 123.45.67.89
    allow from all
</Limit>

Zastąp 123.45.67.89 adresem IP z logów.

Premium features (99 USD/rok)

Funkcja	Free	Premium
Przechowywanie logów	90 dni	Unlimited
External database	❌	(dedykowana baza)
User sessions	❌	(wyloguj wszystkich użytkowników)
Search filters	Basic	Advanced (regex, date ranges)
Reports	❌	(PDF/CSV export)

Czy warto Premium?

• Dla stron z >10 użytkowników (szczególnie sklepy, portale)
• Dla wymagań compliance (RODO audyty)
• ⏹️ Dla blogów osobistych - NIE (free wystarczy)

---

2. Monitoring zmian w plikach (File Integrity Monitoring)

Wordfence Scanner - porównanie z oryginałami

Wordfence skanuje pliki WordPress i porównuje je z oryginalnymi wersjami z wordpress.org - jeśli coś się zmieniło, wysyła alert.

Jak działa:

1. Pobiera hash SHA256 każdego pliku core WordPress
2. Porównuje z repozytorium wordpress.org
3. Jeśli hash się różni → plik został zmodyfikowany (możliwe: backdoor, malware)

Konfiguracja skanowania zmian

Jeśli masz Wordfence (zobacz: Wtyczki bezpieczeństwa):

Wordfence → Scan → Scan Options:

Opcja	Zalecane	Wyjaśnienie
Scan core files		Wykryj backdoory w wp-admin, wp-includes
Scan plugins		Wykryj zmodyfikowane wtyczki
Scan themes		Wykryj webshells w motywach
Check file timestamps		Wykryj pliki modyfikowane w ciągu ostatnich 7 dni
Exclude from scan	wp-content/cache/, wp-content/backup/	Zmniejsz false positives

Scan schedule:

• Daily at 3:00 AM (zalecane dla większości stron)
• Twice daily (dla high-traffic portali lub po niedawnym ataku)

Interpretacja wyników skanowania

Wordfence → Scan → View Results:

Poziom	Przykład	Co zrobić
🔴 Critical	wp-config.php zawiera nieznany kod	Usuń natychmiast lub przywróć z backupu
🟠 High	wp-admin/admin.php różni się od oryginału	Kliknij Repair (Wordfence przywróci oryginał)
🟡 Medium	Wtyczka old-plugin nie jest aktualizowana od 2 lat	Zaktualizuj lub usuń (EOL plugins = ryzyko)
🔵 Low	readme.html został zmieniony	Ignoruj (informacyjne)

💡 False positives - wykluczenie plików

Jeśli Wordfence codziennie zgłasza te same "Medium" alerty dla plików, które sam zmodyfikowałeś:

Wordfence → Scan → View Results → File XYZ → Mark as Fixed

Alternatywnie: dodaj do Exclude from scan w Scan Options

Alternatywa: Sucuri Security (remote scanning)

Jeśli nie możesz użyć Wordfence (np. ograniczone zasoby VPS):

1. Wtyczki → Dodaj nową → Sucuri Security
2. Instaluj → Aktywuj
3. Sucuri Security → Dashboard → Scan Website

Różnica:

• Wordfence: Skanuje pliki lokalnie (na serwerze) - dokładniejsze, ale wymaga CPU/RAM
• Sucuri: Skanuje zdalnie (z zewnątrz) - mniej obciąża serwer, ale nie widzi wewnętrznych plików

Kiedy wybrać Sucuri:

• Shared hosting z ograniczonymi zasobami
• Jako uzupełnienie Wordfence (external perspective)
• ⏹️ Jako jedyne narzędzie skanowania - NIE (Wordfence jest dokładniejszy)

---

3. Monitoring bazy danych

Kluczowe tabele do monitorowania

WordPress przechowuje konfigurację i użytkowników w MySQL. Hacker może:

• Dodać nowego administratora do wp_users
• Zmienić URL strony w wp_options (redirect na phishing)
• Wstrzyknąć złośliwy JavaScript w wp_posts (XSS)

Sprawdzanie użytkowników administratorów (raz na tydzień)

Metoda 1: Przez WordPress

1. Użytkownicy → Wszyscy użytkownicy
2. Filtr: Administrator
3. Sprawdź listę - czy znasz wszystkich?

Metoda 2: Przez phpMyAdmin (jeśli nie masz dostępu do WordPress):

1. Panel Joton → Witryny → Twoja domena → Bazy danych → phpMyAdmin
2. Wybierz bazę WordPress (nazwa zaczyna się od użytkownika Joton)
3. Tabela wp_users → zakładka Search
4. Kolumna ID - sprawdź użytkownika z ID = 1 (pierwszy admin)

-- Zapytanie SQL: pokaż wszystkich administratorów
SELECT u.ID, u.user_login, u.user_email, m.meta_value as role
FROM wp_users u
JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities'
  AND m.meta_value LIKE '%administrator%';

⚠️ Podejrzany użytkownik

Jeśli widzisz użytkownika administratora, którego NIE STWORZYŁEŚ:

• Przykład: admin123, support_user, wp_admin (typowe nazwy backdoorów)

NIE USUWAJ OD RAZU - może to być trigger (hacker się zorientuje)

Działaj strategicznie:

1. Zrób backup bazy danych (Panel Joton → Kopie zapasowe)
2. Zmień hasło wszystkim prawdziwym administratorom
3. Wyloguj wszystkich użytkowników (WP Activity Log Premium: User Sessions → Terminate All)
4. Usuń podejrzanego użytkownika
5. Uruchom skan Wordfence

Zobacz: Pierwsza pomoc po włamaniu

Sprawdzanie URL strony i admina (raz na tydzień)

Hacker może zmienić URL strony, aby przekierować ruch na phishing.

Metoda 1: Przez WordPress

1. Ustawienia → Ogólne
2. Sprawdź:
   • Adres WordPress (URL) - czy to Twoja domena?
   • Adres witryny (URL) - czy to Twoja domena?

Metoda 2: Przez phpMyAdmin

1. Tabela wp_options → zakładka Search
2. Kolumna option_name → wpisz siteurl
3. Sprawdź option_value - czy URL jest poprawny?

-- Zapytanie SQL: pokaż URL strony
SELECT * FROM wp_options
WHERE option_name IN ('siteurl', 'home', 'admin_email');

Jeśli URL został zmieniony:

-- Naprawa URL (zmień example.com na swoją domenę)
UPDATE wp_options SET option_value = 'https://example.com'
WHERE option_name = 'siteurl';

UPDATE wp_options SET option_value = 'https://example.com'
WHERE option_name = 'home';

WP-CLI: automatyczne sprawdzanie bazy danych

Jeśli masz dostęp do SSH (Panel Joton → Narzędzia programistyczne → Terminal):

# Pokaż wszystkich administratorów
wp user list --role=administrator --fields=ID,user_login,user_email

# Sprawdź URL strony
wp option get siteurl
wp option get home

# Sprawdź ostatnio modyfikowane posty (możliwy XSS injection)
wp post list --post_type=post --orderby=modified --order=DESC --posts_per_page=10

💡 Automatyzacja z cronem

Możesz uruchomić te komendy codziennie przez cron i wysłać wyniki na email:

Panel Joton → Zaawansowane → Cron jobs → Add New Cron Job:

• Command: /usr/bin/wp user list --role=administrator | mail -s "WordPress Admins" [email protected]
• Schedule: Daily at 8:00 AM

---

4. Integracja z panelem Joton

Monitoring zasobów - wykrywanie ataków

Panel Joton pokazuje wykorzystanie zasobów serwera - nagły wzrost może oznaczać atak.

Panel Joton → Witryny → Twoja domena → Statystyki:

Metryka	Normalny poziom	🚨 ALARM (możliwy atak)
CPU usage	<30%	>80% przez >10 minut
RAM usage	<50%	>90% przez >10 minut
Disk I/O	<10 MB/s	>100 MB/s przez >5 minut
Network traffic	<1 Mbps	>50 Mbps (możliwy DDoS)

Co może oznaczać nagły wzrost:

• CPU 100% + RAM 100% - brute-force attack (1000+ żądań/sekundę na wp-login.php)
• Disk I/O 200 MB/s - skanowanie malware przez bota
• Network 100 Mbps outbound - strona wysyła spam (backdoor)

Co zrobić:

1. Sprawdź logi dostępu: Panel Joton → Witryny → Logi → Access Log
2. Szukaj wzorca: 1000+ żądań z tego samego IP do /wp-login.php
3. Zablokuj IP (metoda opisana wyżej w sekcji 1)

Automatyczne kopie zapasowe - safety net

Hosting Joton robi automatyczne backupy codziennie (30 dni historii).

Weryfikacja backupu (raz w miesiącu):

1. Panel Joton → Witryny → Twoja domena → Kopie zapasowe
2. Sprawdź:
   • Czy ostatni backup był dzisiaj? (powinien być)
   • Ile backupów jest dostępnych? (powinno być 30)
3. Test przywracania (zalecane raz na kwartał):
   • Utwórz testową subdomenę: test.twojadomena.pl
   • Przywróć backup z produkcji na test
   • Sprawdź czy strona działa

⚠️ Backup ≠ security

Kopie zapasowe to ostatnia linia obrony, nie zastępują zabezpieczeń prewencyjnych.

Właściwa kolejność:

1. Zapobieganie atakom (firewall, 2FA, strong passwords)
2. Wykrywanie włamań (monitoring, audyt)
3. Backup jako safety net (jeśli powyższe zawiodły)

Zobacz: Kopie zapasowe w Joton

Redis cache - zmniejszenie ryzyka SQL injection

Redis cache zmniejsza liczbę zapytań do bazy MySQL - hacker ma mniej możliwości SQL injection.

Włączenie Redis:

1. Panel Joton → Witryny → Zaawansowane → Narzędzia programistyczne
2. Redis cache → Włącz
3. W WordPress zainstaluj wtyczkę: Redis Object Cache
4. Settings → Redis → Enable Object Cache

Efekt bezpieczeństwa:

• Typowa strona WordPress: 1000+ zapytań SQL/minutę (każde zapytanie = potencjalny atak)
• Po włączeniu Redis: 50-100 zapytań SQL/minutę (90% obsługiwane z cache)
• 10× mniejsza powierzchnia ataku dla SQL injection

Zobacz: Redis cache w panelu Joton

---

5. Zewnętrzne monitorowanie (external monitoring)

UptimeRobot - czy strona jest online?

Problem: Jeśli hacker wykona DDoS lub backdoor spowoduje crash PHP, Twoja strona będzie offline - a Ty się nie dowiesz (dopóki klient nie napisze).

Rozwiązanie: UptimeRobot sprawdza co 5 minut czy strona odpowiada.

Konfiguracja (darmowa, 5 minut):

1. Rejestracja: uptimerobot.com (darmowe konto: 50 monitorów)
2. Add New Monitor:
   • Monitor Type: HTTP(s)
   • Friendly Name: Moja Strona WordPress
   • URL: https://twojadomena.pl
   • Monitoring Interval: 5 minutes (darmowe)
3. Alert Contacts → Add Alert Contact:
   • Email: [email protected]
   • Alert When: Monitor goes down

Rezultat:

• Jeśli strona nie odpowiada przez >5 minut → dostaniesz email
• SMS alerts (premium: 4 USD/m-c)

💡 Monitoring wielu ścieżek

Dla sklepów/portali zaawansowanych, monitoruj również:

• /wp-login.php - czy panel logowania działa?
• /sklep/ - czy strona sklepu działa?
• /wp-admin/ - czy panel administracyjny działa?

Każdy jako osobny monitor w UptimeRobot

Sucuri SiteCheck - external malware scanner

Problem: Wordfence skanuje pliki lokalnie - ale hacker może wyłączyć Wordfence. Zewnętrzny skaner nie może być wyłączony.

Rozwiązanie: Sucuri SiteCheck skanuje stronę z zewnątrz (jak Google Safe Browsing).

Konfiguracja (darmowa, 2 minuty):

1. Otwórz: sitecheck.sucuri.net
2. Wpisz: https://twojadomena.pl
3. Scan Website

Co wykrywa:

• Malware (iframes, redirects, suspicious scripts)
• Blacklist status (Google Safe Browsing, Norton, McAfee)
• Outdated software (WordPress, wtyczki)
• Website firewall (czy masz WAF?)

Częstotliwość:

• Raz na tydzień (manually) - dla blogów osobistych
• Raz dziennie (Sucuri Premium API) - dla sklepów e-commerce

⚠️ Google Safe Browsing blacklist

Jeśli Sucuri pokazuje: "Website Blacklisted: Yes"

To oznacza że Google oznaczyła Twoją stronę jako "This site may be hacked" - krytyczny problem.

Działaj natychmiast:

1. Przywróć stronę z backupu (przed datą blacklistingu)
2. Uruchom pełny skan Wordfence + czyszczenie
3. Wyślij prośbę o przegląd do Google: Google Search Console → Security Issues → Request Review

Czas usunięcia z blacklisty: 2-7 dni (jeśli problem został naprawiony)

Zobacz: Pierwsza pomoc po włamaniu

---

6. Checklisty audytowe

Checklist tygodniowy (15 minut)

Przegląd logów:

• [ ] WP Activity Log: failed logins z ostatnich 7 dni - czy >20 prób z jednego IP?
• [ ] WP Activity Log: zmiany w wtyczkach/motywach - czy instalacja przez nieznanych użytkowników?
• [ ] WP Activity Log: nowi administratorzy - czy ich znasz?

Przegląd użytkowników:

• [ ] WordPress → Użytkownicy → Wszyscy użytkownicy → Filtr: Administrator - czy znasz wszystkich?
• [ ] Sprawdź email administratorów - czy to Twoje emaile?

Przegląd wtyczek:

• [ ] WordPress → Wtyczki → Sprawdź czy są aktualizacje
• [ ] Sprawdź wtyczki nieaktywne - czy któraś nie jest używana od >3 miesięcy? Usuń
• [ ] Sprawdź wtyczki bez aktualizacji od >2 lat (EOL) - Usuń lub zastąp

Zewnętrzne skanowanie:

• [ ] Sucuri SiteCheck - czy wykryto malware?
• [ ] UptimeRobot - czy były downtime'y w ostatnim tygodniu?

Checklist miesięczny (30 minut)

Wszystko z checklisty tygodniowej +:

Przegląd bazy danych:

• [ ] phpMyAdmin → wp_options → sprawdź siteurl i home - czy URL poprawny?
• [ ] phpMyAdmin → wp_users → sprawdź użytkowników z ID < 10 - czy to Twoi użytkownicy?

Przegląd plików:

• [ ] Panel Joton → Menadżer plików → sprawdź daty modyfikacji plików core WordPress:
  • /wp-admin/ - czy jakieś pliki były modyfikowane w ostatnim miesiącu?
  • /wp-includes/ - czy jakieś pliki były modyfikowane w ostatnim miesiącu?
  • Jeśli TAK (a nie było aktualizacji WordPress) → ALARM

Wordfence scan:

• [ ] Wordfence → Scan → Start New Scan
• [ ] Poczekaj na wyniki (5-20 min)
• [ ] Sprawdź czy są Critical/High issues - napraw natychmiast

Backup test:

• [ ] Panel Joton → Kopie zapasowe → sprawdź czy ostatni backup jest z dzisiaj
• [ ] (Opcjonalnie) Przywróć backup na testową subdomenę → sprawdź czy działa

Przegląd haseł:

• [ ] Czy Twoje hasło administratora jest silne (16+ znaków, litery/cyfry/znaki)?
• [ ] Czy zmieniałeś hasło w ciągu ostatnich 3 miesięcy? Jeśli nie - zmień
• [ ] Czy hasło do bazy danych MySQL jest silne? (Panel Joton → Bazy danych → zmień hasło)

Checklist kwartalny (60 minut)

Wszystko z checklisty miesięcznej +:

Audyt bezpieczeństwa wp-config.php:

• [ ] DISALLOW_FILE_EDIT = true? (wyłączenie edytora plików)
• [ ] WP_DEBUG = false? (wyłączenie debugowania)
• [ ] FORCE_SSL_ADMIN = true? (wymuszenie SSL)
• [ ] Security Keys zmienione w ciągu ostatniego roku? Jeśli nie - zmień

Zobacz: Hardening wp-config.php

Audyt ochrony przed brute-force:

• [ ] Czy masz wtyczkę limit login attempts? (Wordfence / Limit Login Attempts Reloaded)
• [ ] Czy masz 2FA włączone? (Wordfence 2FA / WP 2FA)
• [ ] Czy URL logowania jest zmieniony? (WPS Hide Login)

Zobacz: Ochrona przed brute-force

Audyt wtyczek bezpieczeństwa:

• [ ] Czy masz firewall? (Wordfence / iThemes Security)
• [ ] Czy firewall jest w trybie "Extended Protection"?
• [ ] Czy skanowanie malware jest ustawione na daily?

Zobacz: Wtyczki bezpieczeństwa

Test przywracania z backupu:

• [ ] Utwórz testową subdomenę: test.twojadomena.pl
• [ ] Panel Joton → Kopie zapasowe → przywróć backup z produkcji na test
• [ ] Sprawdź czy strona działa poprawnie
• [ ] Jeśli działa - backup jest OK, możesz usunąć test

Przegląd Security Headers:

• [ ] Sprawdź w securityheaders.com - czy masz ocenę A lub wyżej?
• [ ] Czy masz Content-Security-Policy, X-Frame-Options, X-XSS-Protection?

Zobacz: Nagłówki bezpieczeństwa

Przegląd SSL/TLS:

• [ ] Sprawdź w ssllabs.com/ssltest - czy masz ocenę A+?
• [ ] Czy certyfikat Let's Encrypt wygasa w ciągu najbliższych 30 dni? (Panel Joton → Bezpieczeństwo → SSL/TLS)

Zobacz: SSL/TLS w panelu Joton

---

7. Reagowanie na incydenty

Kiedy uruchomić procedurę Pierwszej Pomocy?

Sygnały włmania:

• WP Activity Log: nieznany administrator lub instalacja wtyczki przez nieznanych użytkowników
• Wordfence: Critical/High issues (backdoor, trojan)
• Sucuri SiteCheck: "Malware detected" lub "Website Blacklisted: Yes"
• Google wysłało email: "Your site may be hacked"
• UptimeRobot: strona offline przez >30 minut (i nie było planowanej przerwy)
• Panel Joton: CPU/RAM 100% przez >30 minut (i nie było szczytowego ruchu)

Działaj natychmiast:

1. NIE PANIKUJ - masz backup (30 dni w panelu Joton)
2. Przejdź do: Pierwsza pomoc po włamaniu
3. Postępuj zgodnie z procedurą 5-fazową (Containment → Investigation → Eradication → Recovery → Post-Incident)

⚠️ Co NIE robić po włamaniu

• ❌ Nie usuwaj podejrzanych plików od razu - możesz usunąć ślady (forensics)
• ❌ Nie instaluj nowych wtyczek "fix hacked site" - mogą to być kolejne backdoory
• ❌ Nie kontaktuj się z hakerem (jeśli zostawił wiadomość z kontaktem)
• ❌ Nie płać okupu - nie ma gwarancji że hacker usunie backdoora

Jeśli nie wiesz co robić:

• Zgłoś się do supportu Joton przez Panel klienta → Support → Nowe zgłoszenie (login.joton.io)
• Lub wynajmij specjalistę WordPress security (300-1000 PLN za cleanup)

---

Następne kroki

Po wdrożeniu monitoringu i audytu:

1. Zaplanuj checklisty w kalendarzu:

   • Poniedziałek 9:00 - Tygodniowy audyt (15 min)
   • Pierwszy dzień miesiąca - Miesięczny audyt (30 min)
   • Pierwszy dzień kwartału - Kwartalny audyt (60 min)

2. Skonfiguruj alerty email:

   • WP Activity Log → Email Notifications (failed logins, plugin changes)
   • UptimeRobot → Alert Contacts (downtime)
   • Wordfence → Email Summary (scan results)

3. Przetestuj procedurę Pierwszej Pomocy:

   • Przeczytaj: Pierwsza pomoc po włamaniu
   • Przećwicz przywracanie z backupu na testowej subdomenie (raz na kwartał)

4. Zapoznaj się z pełnym przewodnikiem:

   • Przegląd bezpieczeństwa WordPress - start tutaj
   • Hardening wp-config.php - zabezpieczenie konfiguracji
   • Ochrona przed brute-force - 6 warstw ochrony
   • Wtyczki bezpieczeństwa - Wordfence/iThemes/Sucuri

Przydatne linki

• WP Activity Log Documentation - oficjalna dokumentacja
• Wordfence Scanner Guide - interpretacja wyników skanowania
• Sucuri SiteCheck - darmowy external scanner
• UptimeRobot - darmowy monitoring uptime
• Google Search Console - security issues
• SSLLabs SSL Test - test certyfikatu SSL/TLS
• SecurityHeaders.com - test security headers
• Panel Joton - Kopie zapasowe - dokumentacja backupów
• Panel Joton - Redis cache - dokumentacja Redis

Powrót do: Bezpieczeństwo WordPress