Coraz więcej podatności we wtyczkach WordPress (i dlaczego sam panel to za mało)

Podsumowanie
- największe ryzyko w WordPressie zwykle tkwi we wtyczkach, a nie w samym rdzeniu systemu.
- jak szybko pojawiają się nowe podatności i dlaczego najgroźniejsze jest okno między ujawnieniem luki a wgraniem poprawki.
- same aktualizacje nie wystarczą i warto łączyć je z WAF, Imunify360 oraz automatycznymi kopiami zapasowymi.
Skala, o której mało kto mówi
WordPress napędza dziś ogromną część internetu, a jego siłą jest ekosystem wtyczek: tysiące dodatków, które w kilka kliknięć dorzucają sklep, formularz, galerię czy moduł SEO. Ta sama otwartość jest jednak największą powierzchnią ataku. To nie rdzeń WordPressa bywa najczęściej dziurawy, tylko kod firm trzecich, który dokładamy do strony.
Najlepiej widać to w liczbach. Firma Wordfence, która specjalizuje się w bezpieczeństwie WordPressa, prowadzi otwartą bazę podatności (Wordfence Intelligence) i co tydzień publikuje raport nowych zgłoszeń. W tygodniu od 4 do 10 maja 2026 dodano do niej 78 podatności w 62 wtyczkach i 2 motywach, a stało za nimi 59 różnych badaczy. To jeden, statystycznie spokojny tydzień.
W gorszych bywa znacznie więcej. Niezależna analiza oparta na tych samych danych Wordfence dla jednego z tygodni stycznia 2026 naliczyła 226 podatności, z czego 104 (około 46%) nie miały jeszcze żadnej oficjalnej łatki w chwili publikacji. Większość, bo 167, sklasyfikowano jako średnie, ale było wśród nich również 48 luk wysokich i 9 krytycznych.
Uśredniając: mówimy o kilkudziesięciu do ponad dwustu nowych podatności tygodniowo, czyli setkach miesięcznie. I nie jest to liczba „na oko”. Bazę Wordfence można odpytać po dacie przez darmowe API i policzyć przyrost samodzielnie.
Dlaczego akurat wtyczki
Rdzeń WordPressa rozwija duży, doświadczony zespół i łata go szybko. Wtyczki to inna historia. Pisze je mnóstwo różnych autorów, o bardzo różnym poziomie dbałości o bezpieczeństwo, a my instalujemy je masowo, często zapominając, że każda z nich to dodatkowy kod z dostępem do naszej bazy danych.
Kluczowa jest tu skala instalacji. Im popularniejsza wtyczka, tym bardziej opłaca się atakującym zautomatyzować atak: nawet „średnia” luka w dodatku z milionami instalacji daje więcej skutecznych włamań niż krytyczny błąd w narzędziu używanym przez kilkaset stron. Rozwinęliśmy ten mechanizm w osobnym tekście o tym, dlaczego „średnia” luka w Elementorze bywa w praktyce krytyczna.
Najgroźniejsze jest okno czasowe
Sama podatność to dopiero połowa problemu. Drugą jest czas. Schemat masowych ataków na WordPress jest zawsze podobny: po ujawnieniu luki ruszają automaty, które skanują internet, rozpoznają wersję wtyczki i wysyłają spreparowane żądania do każdej strony, która nie wgrała jeszcze poprawki.
Najbardziej niebezpieczny jest okres między ujawnieniem podatności a wgraniem łatki na konkretnej stronie. Poprawka chroni dopiero wtedy, gdy faktycznie ją zainstalujemy, a jak pokazują dane, prawie połowa świeżych luk przez jakiś czas w ogóle nie ma jeszcze łatki. Każdy dzień zwłoki to otwarte drzwi, dokładnie wtedy, gdy zainteresowanie atakujących jest największe.
Najprostsza obrona: niech wtyczki aktualizują się same
Wniosek brzmi banalnie, ale właśnie tu większość stron przegrywa: trzeba aktualizować szybko i konsekwentnie. Problem w tym, że ręczne pilnowanie kilkunastu wtyczek na kilku stronach jest nierealne, zwłaszcza gdy łatka wychodzi w piątek wieczorem.
Dlatego na naszym hostingu stawiamy na automatyzację. W panelu DirectAdmin masz AutoInstalator (Installatron), w którym jednym przełącznikiem ustawisz, żeby WordPress, jego motywy i wtyczki aktualizowały się same, gdy tylko pojawi się nowa wersja. Poprawka bezpieczeństwa instaluje się wtedy automatycznie, bez czekania, aż przypomnisz sobie o zalogowaniu do panelu. To skraca okno ekspozycji z dni do godzin.

Co ważne, przed każdą aktualizacją Installatron wykonuje kopię zapasową (z 14-dniowym okresem przechowywania), więc automatyzacja jest bezpieczna: gdyby aktualizacja coś popsuła, w każdej chwili cofniesz stronę do stanu sprzed zmiany. Więcej o tym, co daje to narzędzie, opisaliśmy w artykule Instalacja na hostingu jednym kliknięciem. To załatwia największą część problemu, ale, mówiąc uczciwie, nie cały.
Czego sam update nie załatwi
Automatyczne aktualizacje rozwiązują przypadek, w którym łatka już istnieje. Zostaje jednak ta groźna luka czasowa: zanim producent wyda poprawkę, oraz pierwsze godziny tuż po, gdy automaty już atakują, a Twoja strona dopiero czeka w kolejce do aktualizacji. W tym oknie aktualizacja z definicji nie pomoże, bo nie ma jeszcze czego instalować.
Tu wchodzi druga warstwa obrony: odsianie złośliwego ruchu, zanim w ogóle dotrze do podatnej wtyczki. Na hostingu WordPress w HitMe w każdym pakiecie działają domyślnie dwa mechanizmy: komercyjny zestaw reguł WAF malware.experts, który rozpoznaje typowe wzorce eksploatacji znanych podatności, oraz Imunify360, który analizuje zachowanie skryptów PHP w czasie wykonania i wyłapuje to, co przeszło przez pierwsze sito. Do tego dochodzi ochrona AntyDDoS, bo kampanie masowe często idą w parze z ruchem zalewowym.
To nie zastępuje aktualizacji, tylko kupuje czas: te cenne godziny lub dni między ujawnieniem luki a wgraniem łatki, czyli dokładnie wtedy, gdy ataki są najintensywniejsze. Aktualizacje i WAF grają w jednej drużynie.
Co zrobić w pięć minut
- Ogranicz liczbę wtyczek. Każda zainstalowana wtyczka to potencjalne wejście. Usuń te, których realnie nie używasz.
- Włącz automatyczne aktualizacje WordPressa i wtyczek (u nas: Installatron w panelu). To pojedyncza, najważniejsza rzecz, jaką możesz zrobić.
- Priorytetyzuj popularne wtyczki. Elementor, WooCommerce i inne dodatki z ogromną bazą instalacji to cele numer jeden, traktuj je jak komponenty wysokiego ryzyka.
- Postaw na hosting z ochroną serwerową. WAF i skaner malware w standardzie domykają okno, którego sama aktualizacja nie zakryje. Jeśli chcesz pójść dalej, zajrzyj do poradnika o poprawie bezpieczeństwa w WordPress.
Podatności we wtyczkach nie znikną, bo to cena, jaką płacimy za elastyczność WordPressa. Ale przy automatycznych aktualizacjach i porządnej warstwie serwerowej ten strumień luk przestaje być Twoim zmartwieniem, a staje się rutyną, która dzieje się w tle.
Źródła: cotygodniowy raport Wordfence (4-10 maja 2026), baza podatności Wordfence Intelligence, Raport Tygodniowy podatności WP, styczeń 2026.
Dodaj komentarz