Pierwsza pomoc po włamaniu do WordPress

⚠️ Wykryłeś włamanie? Działaj NATYCHMIAST

Im szybciej zareagujesz, tym mniejsze szkody. Nie czekaj do jutra - każda godzina zwłoki oznacza więcej skradzionych danych, większy spam i trudniejsze czyszczenie.

Czas reakcji: 30-60 minut na pełną procedurę

Jak rozpoznać włamanie

Objawy, które NIE MOŻESZ zignorować

✋ Bezpośrednie sygnały (99% pewności włamania):

• Nieznane konta administratora w Użytkownicy → Wszyscy
• Przekierowania - strona automatycznie otwiera inne witryny (spam, phishing)
• Google Safe Browsing warning - "Ta witryna może być zagrożona" w wynikach wyszukiwania
• Hosting zawiesił konto - email od Joton o wykryciu malware/phishing
• Nieznane wtyczki w Wtyczki - szczególnie z dziwną nazwą (wp-cache.php, plugin-update.php)
• Zmieniony plik wp-config.php lub .htaccess (sprawdź datę modyfikacji)

⚠️ Podejrzane sygnały (70-90% prawdopodobieństwa):

• Wolne działanie strony - nagły spadek wydajności (możliwy cryptominer)
• Spam w Google - Twoja domena pojawia się w wynikach dla "viagra", "casino", "fake watches"
• Nietypowy ruch - Panel Joton → Statystyki → nagły wzrost CPU/RAM/zapytań MySQL
• Nieznane pliki w wp-content/uploads/ - pliki .php w katalogu dla obrazków (backdoor)
• Nieudane próby logowania (setki/tysiące) - sprawdź wtyczkę Limit Login Attempts

Co sprawdzić jeśli nie jesteś pewien

1. Google Safe Browsing:

   • Otwórz: https://transparencyreport.google.com/safe-browsing/search
   • Wpisz swoją domenę → sprawdź status

2. Sucuri SiteCheck (darmowy zewnętrzny skaner):

   • Otwórz: https://sitecheck.sucuri.net
   • Wpisz domenę → poczekaj na wynik skanowania

3. Sprawdź użytkowników WordPress:

   • Zaloguj się do wp-admin (jeśli masz dostęp)
   • Użytkownicy → Wszyscy → sortuj po "Data rejestracji"
   • Jeśli widzisz konta utworzone wczoraj/dziś, których nie znasz = włamanie

Procedura ratunkowa - 4 fazy

Faza 1: Containment (powstrzymanie ataku) - 5 minut

Cel: Zatrzymać atakującego, zabezpieczyć kontrolę nad stroną

1.1 Włącz tryb maintenance (strona offline)

Dlaczego: Użytkownicy nie będą narażeni na malware/phishing podczas czyszczenia

Metoda A - Wtyczka (zalecane dla początkujących):

1. Zaloguj się do WordPress (jeśli masz dostęp)
2. Wtyczki → Dodaj nową → Wyszukaj: WP Maintenance Mode
3. Instaluj → Aktywuj
4. Ustawienia → WP Maintenance Mode → Zaznacz Aktywuj tryb konserwacji

Użytkownicy zobaczą: "Witryna w trybie konserwacji, wrócimy wkrótce"

Metoda B - wp-config.php (jeśli nie masz dostępu do wp-admin):

1. Zaloguj się przez FTP/Manager plików Joton
2. Otwórz wp-config.php
3. Dodaj na początku pliku (przed <?php):

<?php
define('WP_MAINTENANCE', true);
?>

4. Zapisz plik

1.2 Zmień wszystkie hasła NATYCHMIAST

⚠️ Zmień hasła ZANIM cokolwiek innego robisz

Jeśli atakujący ma dostęp do FTP/MySQL, może zablokować Cię z serwera. Zmień hasła w pierwszej kolejności.

Kolejność (ważna!):

1. Panel Joton (najważniejsze - kontrola nad hostingiem):

• Zaloguj się: https://login.joton.io/
• Profil (prawy górny róg) → Zmień hasło
• Użyj menedżera haseł (1Password, Bitwarden) do wygenerowania silnego hasła (20+ znaków)

2. FTP/SFTP (dostęp do plików):

• Panel Joton → Witryny → Twoja domena → FTP
• Kliknij Zmień hasło obok konta FTP
• Nowe silne hasło

3. MySQL (dostęp do bazy danych):

• Panel Joton → Witryny → Bazy danych
• Kliknij Zmień hasło obok bazy WordPress
• Nowe silne hasło
• WAŻNE: Zaktualizuj hasło w wp-config.php (linia DB_PASSWORD)

4. WordPress (wszyscy administratorzy):

• Panel Joton → Witryny → WordPress → Użytkownicy WordPress
• Dla KAŻDEGO administratora kliknij Edytuj → wprowadź nowe hasło
• Lub zaloguj się do wp-admin → Użytkownicy → edytuj każdego admina

1.3 Wyloguj wszystkich użytkowników WordPress

Dlaczego: Jeśli atakujący jest zalogowany, wymiana security keys natychmiast wyloguje go

1. Otwórz: https://api.wordpress.org/secret-key/1.1/salt/
2. Skopiuj cały wygenerowany kod (8 linii define)
3. Zaloguj się przez FTP/Manager plików → otwórz wp-config.php
4. Znajdź sekcję Authentication unique keys and salts (8 linii zaczynających się od define('AUTH_KEY'...)
5. Zamień całą sekcję na nowo wygenerowany kod
6. Zapisz plik

Efekt: Wszyscy użytkownicy (włącznie z atakującym) zostaną wylogowani. Będą musieli zalogować się ponownie z nowym hasłem.

---

Faza 2: Investigation (analiza zagrożenia) - 15 minut

Cel: Zidentyfikować wektor ataku, znaleźć backdoory i malware

2.1 Sprawdź użytkowników WordPress

1. Zaloguj się do WordPress przez SSO (Panel Joton → WordPress → Zaloguj się)
2. Użytkownicy → Wszyscy
3. Sortuj po Data rejestracji (najnowsze na górze)

Usuń konta jeśli:

• Nie rozpoznajesz nazwy użytkownika
• Rola = Administrator, ale nie powinien być
• Email to losowe znaki (np. [email protected])
• Data utworzenia = ostatnie 24-48h

Jak usunąć:

• Zaznacz konto → Z listy rozwijanej Operacje zbiorcze wybierz Usuń → Zastosuj

2.2 Sprawdź zainstalowane wtyczki i motywy

Wtyczki:

1. Wtyczki → Zainstalowane
2. Sprawdź daty Ostatnia aktualizacja

Usuń wtyczkę jeśli:

• Nie rozpoznajesz nazwy (szczególnie: wp-cache.php, hello-dolly, plugin-update)
• Data instalacji = ostatnie 24-48h (a Ty jej nie instalowałeś)
• Brak strony autora lub dziwny link (np. http://127.0.0.1)

Motywy:

1. Wygląd → Motywy
2. Usuń wszystkie nieaktywne motywy (zostaw tylko aktywny motyw)

⚠️ Atakujący ukrywają backdoory w nieaktywnych motywach

Nawet jeśli motyw nie jest aktywny, pliki .php w jego katalogu MOGĄ być wykonywane (jeśli atakujący zna ścieżkę). Usuń wszystko czego nie używasz.

2.3 Skanowanie malware

Opcja A - Wordfence (wtyczka WordPress):

1. Wtyczki → Dodaj nową → Wyszukaj: Wordfence Security
2. Instaluj → Aktywuj
3. Wordfence → Scan
4. Kliknij Start New Scan
5. Poczekaj 5-20 minut (zależy od rozmiaru strony)

Wynik skanowania - jak interpretować:

Poziom	Co to oznacza	Co zrobić
Critical (czerwony)	Backdoor, webshell, trojan	Usuń plik NATYCHMIAST (Delete)
High (pomarańczowy)	Zmodyfikowany plik core WordPress	Repair (przywróć oryginalny)
Medium (żółty)	Abandoned plugin (EOL), słabe hasło	Zaktualizuj lub usuń wtyczkę
Low (niebieski)	Informational (np. zmieniony readme.html)	Ignoruj lub usuń

Opcja B - Sucuri SiteCheck (zewnętrzny skaner, nie wymaga logowania):

1. Otwórz: https://sitecheck.sucuri.net
2. Wpisz swoją domenę → Scan Website
3. Wynik: Site clean = OK, Malware detected = problem

Sucuri pokaże:

• Blacklist status (Google, Norton, McAfee)
• Znalezione malware (lista URL-i z złośliwym kodem)
• Outdated software (WordPress, wtyczki)

2.4 Sprawdź pliki w wp-content/uploads/

Dlaczego: Atakujący często wrzucają backdoory do katalogu uploads (powinny tam być TYLKO obrazki/PDF)

1. Zaloguj się przez FTP/Manager plików Joton
2. Przejdź do public_html/wp-content/uploads/
3. Sprawdź czy są tam pliki .php

Jeśli znajdziesz .php w uploads:

• USUŃ (to 99% backdoor)
• Jedyny wyjątek: index.php o wielkości ~30 bajtów (to bezpieczny plik WordPress)

Przykłady złośliwych plików:

• wp-upload.php, cache.php, 404.php
• image.jpg.php (podwójne rozszerzenie)
• Pliki z losowymi nazwami: d3f4c89a.php

---

Faza 3: Eradication (usunięcie zagrożenia) - 30 minut

Cel: Całkowite usunięcie malware i przywrócenie czystej wersji WordPress

3.1 Decyzja: Backup czy ręczne czyszczenie?

Opcja A - Przywróć backup (ZALECANE jeśli masz czysty backup):

Kiedy użyć:

• Masz backup sprzed włamania (Panel Joton przechowuje 30 dni)
• Strona nie ma dużo nowej treści od czasu backupu
• Wordfence znalazł >10 zainfekowanych plików

Jak przywrócić:

1. Panel Joton → Witryny → Twoja domena → Kopie zapasowe
2. Wybierz datę PRZED włamaniem (sprawdź Google Safe Browsing kiedy wykrył malware)
3. Kliknij Przywróć → Potwierdź
4. Poczekaj 5-10 minut
5. Sprawdź czy strona działa → przejdź do Fazy 3.2 (Aktualizacje)

Opcja B - Ręczne czyszczenie (jeśli backup też jest zainfekowany):

❌ Kiedy NIE używać backupu:

• Wszystkie backupy (30 dni) są zainfekowane
• Dodałeś dużo nowej treści od czasu ostatniego czystego backupu
• Wordfence znalazł 1-5 plików (możesz je ręcznie wyczyścić)

Jak ręcznie wyczyścić:

1. Wordfence → Scan Results
2. Dla każdego Critical pliku kliknij Delete lub Repair
3. Dla plików core WordPress wybierz Repair (przywróci oryginalny plik)
4. Po wyczyszczeniu uruchom Scan ponownie - upewnij się że 0 critical issues

3.2 Zaktualizuj WSZYSTKO

⚠️ 90% włamań wykorzystuje stare wersje wtyczek

Nawet jeśli wyczyszczono malware, atakujący wróci tym samym exploitem jeśli nie zaktualizujesz oprogramowania.

Kolejność aktualizacji:

1. WordPress core:

• Panel → Aktualizacje
• Kliknij Aktualizuj teraz (jeśli dostępna nowa wersja)

2. Wtyczki (WSZYSTKIE):

• Wtyczki → Zainstalowane
• Jeśli widzisz (dostępna aktualizacja) → kliknij Aktualizuj
• Lub: Operacje zbiorcze → Aktualizuj (zaktualizuje wszystkie na raz)

3. Motywy (WSZYSTKIE):

• Wygląd → Motywy
• Zaktualizuj aktywny motyw + wszystkie zainstalowane

4. PHP:

• Panel Joton → Witryny → Zaawansowane → Narzędzia programistyczne
• Sekcja Silnik PHP → wybierz najnowszą wersję (8.2 lub 8.3)
• Kliknij Zapisz

3.3 Zabezpiecz wp-config.php

Dlaczego: Atakujący mógł podmienić security keys lub dodać backdoor do wp-config.php

1. Otwórz wp-config.php przez FTP/Manager plików

2. Wymień security keys (jeśli nie zrobiłeś w Fazie 1):

   • Generator: https://api.wordpress.org/secret-key/1.1/salt/
   • Zamień sekcję Authentication unique keys and salts

3. Dodaj hardening (jeśli jeszcze nie masz):

// Wyłączenie edytora plików w panelu WordPress
define('DISALLOW_FILE_EDIT', true);

// Wyłączenie debugowania (produkcja)
define('WP_DEBUG', false);

// Wymuszenie SSL dla wp-admin
define('FORCE_SSL_ADMIN', true);

4. Zapisz plik

Szczegóły: Hardening wp-config.php

3.4 Sprawdź .htaccess

Dlaczego: Atakujący dodają przekierowania (redirects) do .htaccess

1. Otwórz .htaccess w głównym katalogu WordPress
2. Sprawdź czy są linijki z Redirect, RewriteRule lub eval(base64_decode

Jak powinien wyglądać czysty .htaccess WordPress:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Jeśli widzisz coś POZA tym (np. redirect do http://spam.com) = usuń te linie

---

Faza 4: Recovery (przywracanie + zabezpieczenie) - 20 minut

Cel: Upewnić się że strona działa, zabezpieczyć przed ponownym atakiem

4.1 Wyłącz tryb maintenance

1. Wtyczki → Zainstalowane → znajdź WP Maintenance Mode → Dezaktywuj
2. Lub usuń linię define('WP_MAINTENANCE', true); z wp-config.php

4.2 Sprawdź czy strona działa

1. Otwórz stronę w przeglądarce (tryb incognito)
2. Sprawdź:
   • Strona główna ładuje się poprawnie
   • Brak przekierowań do innych witryn
   • Brak ostrzeżeń Google Safe Browsing
   • Możesz zalogować się do wp-admin

4.3 Zainstaluj wtyczkę bezpieczeństwa

Wybierz jedną (nie instaluj wszystkich razem!):

Wordfence Security (zalecane dla większości):

1. Wtyczki → Dodaj nową → Wyszukaj: Wordfence Security
2. Instaluj → Aktywuj
3. Przejdź kreator konfiguracji:
   • Email dla alertów → Twój email
   • Firewall: Extended Protection (najszybszy)
   • Scan schedule: Daily
4. Wordfence → Scan → Start New Scan (weryfikacja po czyszczeniu)

iThemes Security (alternatywa):

1. Wtyczki → Dodaj nową → Wyszukaj: iThemes Security
2. Instaluj → Aktywuj
3. Security → Settings → Security Check → Secure Site
4. Zaznacz wszystkie zalecane opcje → Secure Site

Szczegóły: Wtyczki bezpieczeństwa

4.4 Włącz ochronę przed brute-force

Limit Login Attempts Reloaded:

1. Wtyczki → Dodaj nową → Wyszukaj: Limit Login Attempts Reloaded
2. Instaluj → Aktywuj
3. Ustawienia → Limit Login Attempts:
   • Allowed retries: 4 próby
   • Minutes lockout: 20 minut
   • Hours long lockout: 24 godziny
4. Save Settings

WPS Hide Login (zmiana URL logowania):

1. Wtyczki → Dodaj nową → Wyszukaj: WPS Hide Login
2. Instaluj → Aktywuj
3. Ustawienia → WPS Hide Login:
   • Login URL: moj-admin-2024 (wymyśl własny, unikalny)
   • ZAPISZ NOWY URL - inaczej stracisz dostęp!
4. Save Changes

Szczegóły: Ochrona przed brute-force

4.5 Włącz monitoring aktywności

WP Activity Log:

1. Wtyczki → Dodaj nową → Wyszukaj: WP Activity Log
2. Instaluj → Aktywuj
3. Activity Log → Settings:
   • Retention: 90 dni
   • Email alerts: Włącz dla Critical events
4. Activity Log - zobaczysz wszystkie zmiany na stronie

Co monitorować w najbliższych 48h:

• Nowe konta użytkowników
• Zainstalowane wtyczki
• Modyfikacje wp-config.php
• Nieudane próby logowania

Szczegóły: Monitoring i audyt

---

Faza 5: Post-Incident (48 godzin po ataku)

Cel: Upewnić się że atakujący nie wrócił, zgłosić do Google jeśli był blacklist

5.1 Monitoruj logi (48 godzin)

WP Activity Log:

• Activity Log → Activity Log
• Sprawdzaj 2× dziennie (rano i wieczorem) przez 2 dni
• Szukaj podejrzanych zdarzeń:
  • Nowe konta użytkowników (nie utworzone przez Ciebie)
  • Failed login z tego samego IP (10+ prób)
  • Modyfikacje plików (szczególnie wp-config.php)

Wordfence Live Traffic:

• Wordfence → Tools → Live Traffic
• Sprawdź czy są próby dostępu do starych backdoorów
• Jeśli widzisz 404 dla /wp-content/uploads/malware.php = atakujący próbuje ponownie

5.2 Sprawdź Google Safe Browsing

1. Otwórz: https://transparencyreport.google.com/safe-browsing/search
2. Wpisz swoją domenę
3. Jeśli status = "Unsafe":
   • Kliknij Request a review
   • Zaloguj się do Google Search Console
   • Security & Manual Actions → Request Review
   • Opisz co zrobiłeś: "Removed malware, updated all software, installed security plugin"
   • Poczekaj 2-7 dni na przegląd przez Google

5.3 Zgłoś do dostawcy hostingu (jeśli konto było zawieszone)

Jeśli Joton zawiesił Twoje konto z powodu malware:

1. Zaloguj się do Panelu klienta (login.joton.io)

2. Support → Nowe zgłoszenie

3. Temat: Wniosek o reaktywację konta - [Twoja domena]

4. Treść:

   Witam,
   
   Moje konto zostało zawieszone z powodu wykrycia malware.
   Wykonałem pełne czyszczenie strony WordPress:
   
   - Przywrócono backup sprzed włamania
   - Zaktualizowano WordPress, wszystkie wtyczki i motywy
   - Zmieniono wszystkie hasła (WordPress, FTP, MySQL, panel Joton)
   - Zainstalowano wtyczkę bezpieczeństwa (Wordfence)
   - Skanowanie malware: czysty wynik
   
   Proszę o weryfikację i reaktywację konta.
   
   Pozdrawiam,
   [Twoje imię]

5. Załącz screenshot z Wordfence Scan Result (status: "No issues found")

---

Checklisty do wydruku

Checklist Faza 1: Containment (5 min)

[ ] Włączono tryb maintenance (WP Maintenance Mode lub wp-config.php)
[ ] Zmieniono hasło panel Joton (login.joton.io)
[ ] Zmieniono hasło FTP/SFTP (panel Joton → FTP)
[ ] Zmieniono hasło MySQL (panel Joton → Bazy danych)
[ ] Zaktualizowano DB_PASSWORD w wp-config.php
[ ] Zmieniono hasła wszystkich administratorów WordPress
[ ] Wymieniono security keys w wp-config.php (wylogowanie wszystkich)

Checklist Faza 2: Investigation (15 min)

[ ] Sprawdzono użytkowników WordPress - usunięto nieznane konta
[ ] Sprawdzono wtyczki - usunięto podejrzane
[ ] Sprawdzono motywy - usunięto nieaktywne
[ ] Zainstalowano Wordfence/Sucuri - uruchomiono skan malware
[ ] Sprawdzono wp-content/uploads/ - usunięto pliki .php
[ ] Sprawdzono Google Safe Browsing status

Checklist Faza 3: Eradication (30 min)

[ ] Przywrócono backup LUB ręcznie usunięto malware (Wordfence)
[ ] Zaktualizowano WordPress core do najnowszej wersji
[ ] Zaktualizowano wszystkie wtyczki
[ ] Zaktualizowano wszystkie motywy
[ ] Zaktualizowano PHP (panel Joton)
[ ] Dodano hardening do wp-config.php (DISALLOW_FILE_EDIT, FORCE_SSL_ADMIN)
[ ] Sprawdzono .htaccess - usunięto przekierowania

Checklist Faza 4: Recovery (20 min)

[ ] Wyłączono tryb maintenance
[ ] Sprawdzono czy strona działa poprawnie (brak przekierowań)
[ ] Zainstalowano wtyczkę bezpieczeństwa (Wordfence/iThemes)
[ ] Włączono limit prób logowania (Limit Login Attempts Reloaded)
[ ] Zmieniono URL logowania (WPS Hide Login) - ZAPISANO NOWY URL
[ ] Zainstalowano monitoring (WP Activity Log)
[ ] Uruchomiono skan Wordfence (weryfikacja czystości)

Checklist Faza 5: Post-Incident (48h)

[ ] Dzień 1: Sprawdzono WP Activity Log - brak podejrzanych zdarzeń
[ ] Dzień 2: Sprawdzono WP Activity Log - brak podejrzanych zdarzeń
[ ] Sprawdzono Google Safe Browsing - status "Safe"
[ ] Jeśli blacklist: zgłoszono request review do Google
[ ] Jeśli konto zawieszone: utworzono zgłoszenie w panelu klienta (Support → Nowe zgłoszenie)
[ ] Utworzono ręczny backup (panel Joton) - czysty stan po czyszczeniu

---

Co zrobić jeśli backup też jest zainfekowany?

Scenariusz: Wszystkie backupy (30 dni Joton) są zainfekowane

Oznacza to: Włamanie nastąpiło >30 dni temu, atakujący działał dyskretnie

Rozwiązania:

Opcja A - Ręczne czyszczenie + reinstalacja core (zalecane dla doświadczonych)

1. Skopiuj bazę danych:

   • Panel Joton → Bazy danych → phpMyAdmin
   • Eksport → Zapisz plik .sql lokalnie

2. Zapisz katalog wp-content:

   • FTP → pobierz cały wp-content/ lokalnie
   • To Twoje treści (posty, obrazki, ustawienia wtyczek)

3. Usuń całą instalację WordPress:

   • FTP → usuń public_html/* (WSZYSTKIE pliki)

4. Zainstaluj czysty WordPress:

   • Pobierz: https://wordpress.org/latest.zip
   • Rozpakuj lokalnie → wgraj przez FTP do public_html/

5. Przywróć wp-content (częściowo):

   • Wgraj wp-content/uploads/ (obrazki - sprawdź czy brak .php!)
   • Wgraj wp-content/themes/ (tylko aktywny motyw)
   • NIE wgrywaj wp-content/plugins/ - zainstaluj wtyczki od nowa

6. Przywróć bazę danych:

   • phpMyAdmin → Importuj → wybierz .sql z kroku 1

7. Ręcznie sprawdź bazę:

   • Tabela wp_users - usuń nieznane konta
   • Tabela wp_options → sprawdź siteurl, home (czy poprawne domeny)

Opcja B - Wynajmij specjalistę (zalecane dla produkcji/sklepów)

Kiedy:

• Sklep e-commerce (nie możesz stracić zamówień)
• Brak doświadczenia z phpMyAdmin/FTP
• Włamanie bardzo zaawansowane (rootkit, webshell)

Usługi czyszczenia malware:

• Sucuri Website Cleanup - 200-500 USD (24-48h)
• Wordfence Site Cleaning - 490 USD (gwarancja 90 dni)
• Freelancer (Upwork/Fiverr) - 100-300 USD (sprawdź opinie!)

Co otrzymujesz:

• Pełne czyszczenie malware
• Raport z analizy (jak doszło do włamania)
• Zabezpieczenie (hardening, wtyczka bezpieczeństwa)
• Zgłoszenie do Google (jeśli blacklist)

---

Najczęstsze pytania po włamaniu

Ile czasu zajmuje pełne czyszczenie?

Samodzielnie:

• Podstawowe czyszczenie (backup + aktualizacje): 30-45 minut
• Zaawansowane (ręczne usuwanie malware): 1-3 godziny

Specjalista:

• Sucuri/Wordfence: 24-48 godzin

Czy mogę stracić treści (posty, strony)?

Nie, jeśli:

• Przywracasz backup sprzed włamania (treści będą "cofnięte" do tej daty)
• Ręcznie czyścisz (treści w bazie pozostają nietknięte)

Tak, jeśli:

• Wszystkie backupy zainfekowane + musisz reinstalować WordPress od zera
• W tym przypadku: eksportuj posty przez Narzędzia → Eksportuj PRZED czyszczeniem

Czy atakujący może wrócić?

Tak, jeśli:

• Nie zmieniłeś WSZYSTKICH haseł (WordPress, FTP, MySQL, panel Joton)
• Nie zaktualizowałeś wtyczek (ten sam exploit zadziała ponownie)
• Nie zainstalowałeś ochrony przed brute-force

Nie, jeśli:

• Wykonałeś całą procedurę z tej strony (wszystkie 5 faz)
• Zainstalowałeś wtyczkę bezpieczeństwa + monitoring

Czy muszę zgłosić włamanie do GIODO/policji?

Prawnie (GDPR):

• TAK, jeśli strona przetwarza dane osobowe użytkowników (logowanie, newsletter, sklep)
• TAK, jeśli doszło do wycieku danych (hasła, adresy email, karty kredytowe)
• Termin: 72 godziny od wykrycia naruszenia

Zgłoszenie:

1. UODO (Urząd Ochrony Danych Osobowych): https://uodo.gov.pl/
2. Formularz: Zgłoszenie naruszenia ochrony danych osobowych

NIE musisz zgłaszać jeśli:

• Strona to blog bez logowania użytkowników
• Nie doszło do wycieku danych (atakujący tylko dodał spam)

---

Następne kroki - jak zapobiec ponownemu włamaniu

Po wyczyszczeniu strony MUSISZ wdrożyć pełne zabezpieczenia. Inaczej atakujący wróci:

1. Przeczytaj i wdróż: Hardening wp-config.php

   • Wyłącz edytor plików
   • Wymień security keys co 3 miesiące
   • Wymuszenie SSL dla wp-admin

2. Przeczytaj i wdróż: Ochrona przed brute-force

   • Limit prób logowania
   • Zmiana URL wp-login.php
   • 2FA dla wszystkich administratorów

3. Zainstaluj i skonfiguruj: Wtyczki bezpieczeństwa

   • Wordfence firewall
   • Codzienne skanowanie malware
   • Email alerts

4. Skonfiguruj: Monitoring i audyt

   • WP Activity Log
   • Kwartalne audyty bezpieczeństwa
   • Uptime monitoring

Czas na full hardening: 2-3 godziny (jednorazowo)

Efekt: 99% ochrona przed ponownym włamaniem

---

Potrzebujesz pomocy?

💡 Support Joton

Jeśli utkniesz w którymś kroku lub potrzebujesz pomocy z przywróceniem strony:

Zaloguj się do Panelu klienta → Support → Nowe zgłoszenie (login.joton.io) Temat: Pomoc z czyszczeniem WordPress po włamaniu

Nasz zespół pomoże Ci:

• Zidentyfikować wektor ataku
• Przywrócić odpowiedni backup
• Skonfigurować zabezpieczenia
• Zgłosić do Google (jeśli blacklist)

Powrót do: Bezpieczeństwo WordPress