Co zrobić gdy strona została zhakowana — poradnik krok po kroku

Rozmowa telefoniczna w czwartek wieczorem: „Szymon, coś się dzieje. Strona się zawiesiła, a teraz pokazuje jakąś dziwną stronę z chińskim tekstem". Znam to uczucie. Hack..

Przyznam — kiedy to się stanie, panika jest naturalna. Ale panika to Twój wróg numer jeden. Jeśli wiesz co robić, spróbuj minimalizać straty. W kilka godzin strona może być z powrotem online. Bez paniki.

Pracuję z biznesami w Wielkopolsce i na świecie od ponad 10 lat. Wirusów, malware'u, "injected contentów" widziałem więcej niż bym chciał. Dzielę się dokładnie tym, co robić w pierwszych minutach po odkryciu.

Pierwsza rzecz: Zdecyduj czy panikować

Nie. To nie pomaga.

Hack w 99.9% przypadków nie oznacza bankructwa biznesu. To oznacza pracę. Pracę, którą mogę dla Ciebie zrobić. Miliony stron co roku są hakowane — większość jest przywracana. Twoja będzie.

Weź oddech. Kawa. Usiądź.

Krok 1: Potwierdź, że to naprawdę hack (3-5 minut)

Czasami to wygląda jak hack, ale to jest bug, problem z hostingiem, lub coś zupełnie innego.

Co robić:

1. Otwórz stronę w incognito/prywatnym oknie przeglądarki (żeby uniknąć pamięci podręcznej)

2. Sprawdź czy problem widać ze wszystkich urządzeń (komputer, telefon)

3. Sprawdź logi dostępu do hostingu (jeśli masz dostęp do panelu)

4. Poproś kogoś innego żeby sprawdził stronę u siebie (może to lokalny problem, może być problem z Twoim komputerem, siecią, przeglądarką)

Znaki że to rzeczywiście hack:

  • Strona pokazuje obcy content (reklamy, polityczne treści, crypto scam, cokolwiek co nie jest twoje)
  • Strona jest całkowicie zmieniona
  • Google alertuje Cię że strona zawiera malware (sprawdź: Google Search Console)
  • Wiadomości od klientów „Co się stało ze stroną?"
  • Dziwne e-maile od hostingu czy systemów backupu/monitoringu

Jeśli potwierdzisz że to hack — idziesz do kroku 2.

Krok 2: Zamknij dostęp — teraz (5 minut)

Każda minuta, gdy strona jest online z malewarem, może być niebezpieczna dla Twoich użytkowników. Też może być zła dla SEO (Google widzi, że strona ma malware).

Zrób to:

1. Wyłącz dostęp do bazy danych lub strony całkowicie. Jeśli masz dostęp do panelu hostingu (cPanel, Plesk), wyłącz stronę. Jeśli to WordPress, zmień plik .htaccess i przekieruj całą stronę na 403 Forbidden. Jeśli nie umiesz — idź do kroku 3.

2. Jeśli nie potrafisz wyłączyć całej strony — wyłącz co najmniej admin panel (/wp-admin dla WordPressa). Dodaj w .htaccess regułę blokującą dostęp do katalogu wp-admin dla wszystkich (Order allow,deny / Deny from all).

3. Jeśli to możliwe, zmień wszystkie hasła. Hasło do panelu hostingu, hasło do FTP, hasło do WordPressa, hasło do e-maila powiązanego ze stroną. Wszystko.

Dlaczego? Haker który zhakował Twoją stronę, ma prawdopodobnie hasło. Może tam sobie robić co chce. Może dodać backdoor (ukryte drzwi) która pozwoli mu wejść nawet po tym jak usuniemy malware.

Krok 3: Skontaktuj się z hostingiem (10-15 minut)

Telefonuj. Nie email. Telefon. Natychmiast.

Powiedz:

  • Że Twoja strona była zhakowana
  • Że chcesz tymczasowo wyłączyć stronę lub całe konto (żeby hacker nie robił dalej)
  • Czy mogą sprawdzić logi dostępu (żeby znaleźć jak się dostał)
  • Czy mogą uruchomić backup sprzed hacku

Hosting — jeśli jest porządny — ma backupy. To twoja poduszka bezpieczeństwa. Jeśli masz backup sprzed 24 godzin, możesz przywrócić stronę do stanu sprzed ataku.

Pytania które warto zadać hostingowi:

  • Kiedy ostatni backup był uruchamiany?
  • Czy mogą zidentyfikować z którego IP/kraju pochodzi atak?
  • Czy strona ma złośliwe oprogramowanie?
  • Czy mogę wyłączyć stronę tymczasowo?

Dobry hosting będzie kooperatywny. Zły hosting będzie mówić „sorki, nie widzę problemu" — jeśli to się dzieje, szukaj nowego hostingu, ale teraz skupiaj się na ratowaniu.

Krok 4: Zrób pełny backup BIEŻĄCY (jeśli możesz) (15-30 minut)

Paradoksalnie — chociaż strona jest zhakowana, chcesz mieć backup tego stanu. Dlaczego? Żeby developer (ja, albo ktoś inny) mógł ją zbadać i znaleźć dokładnie co haker zrobił. To pomaga w przyszłości.

Jak zrobić backup zhakowanej strony:

1. SSH do serwera (jeśli masz dostęp) i użyj komendy scp do skopiowania plików

2. Lub zaloguj się przez FTP i sciągnij wszystkie pliki lokalnie

3. Sciągnij bazę danych (phpMyAdmin → Export)

Zachowaj ten backup na bezpiecznym dysku. To jest evidence. To jest to czego developer będzie potrzebować.

Krok 5: Przywróć z backupu LUB oczyść (1-8 godzin)

Tutaj masz dwie ścieżki.

Ścieżka A: Przywróć z czystego backupu (preferowana)

Jeśli hosting ma backup sprzed 24-48 godzin — powiedz im żeby go przywrócili. To jest najprostszy sposób.

Zysk: strona wraca do normalności szybko.

Ryzyko: jeśli backup jest z nieaktualnymi danymi (np. zmieniłeś ceny produktów wczoraj, a backup jest z przedwczoraj) — tracisz zmiany. Dlatego przywrócenie backupu to zawsze decyzja biznesowa — co Cię bardzie "boli", że hacker rządzi stroną czy że tracisz 24 godzin danych?

Ścieżka B: Ręczne czyszczenie (czasochłonne, ale precyzyjne)

Jeśli nie masz backupu, lub wolisz nie przywracać — musisz ręcznie znaleźć i usunąć malware. To jest praca dla developera.

Znaki gdzie szukać:

  • Ostatnio modyfikowane pliki (sprawdź timestamp w FTP)
  • Pliki PHP w miejscach gdzie nie powinno być PHP (media folder, itd)
  • Dziwne pliki (shell.php, backdoor.php, x7x.php) — na pewno to hack
  • W kodzie źródłowym — eval(), base64_decode(), assert() — to są częste techniki ukrywania malewaru
  • Theme files (w WordPressie) — haker je modyfikuje

Jeśli nie umiesz tego zrobić — czas zadzwonić do programisty. Nie ryzykuj. Czyszczenie może być trudne — jeśli coś popsuje, strona może nie działać.

W WordPressie — specjalne kroki:

1. Zainstaluj plugin takich jak Wordfence czy Sucuri — one skanują na malware

2. Zmień wszystkie hasła (WordPress admin, bazy danych, FTP)

3. Usuń wszystkie starsze pluginy i theme'y

4. Update WordPress do najnowszej wersji

5. Usuń nieużywane pluginy

Krok 6: Zmień WSZYSTKIE hasła (10 minut)

To jest rozwiązanie które wszyscy przeskakują. Nie przeskakuj.

Co zmienić:

  • Hasło do WordPress admin
  • Hasło do bazy danych
  • Hasło do FTP/SFTP
  • Hasło do e-mail powiązanego ze stroną
  • Hasło do panelu hostingu
  • Hasło do domeny (whois contact email)

Hacker prawdopodobnie ma przynajmniej jedno z tych haseł. Nowe hasła powinny być:

  • Minimum 16 znaków
  • Mix dużych, małych, liczb, symboli
  • Nie "qwerty123" czy inne common patterns
  • Zapisane w password manager (LastPass, 1Password)

Krok 7: Powiadomiłem Google (24 godzin)

Po tym jak strona jest czystą i online:

1. Google Search Console → Navigation → Security Issues. Powiedz Googleowi że problem jest usunięty i prosisz o rewiew.

2. Google Safe Browsing → Report form. Powiedz że strona nie zawiera już malware.

3. Jeśli klienci byli narażeni (np. hakołość wysyłał phishing emaily) — rozważ powiadomienie klientów. Zawsze lepiej być transparentnym.

Google potrzebuje czasu aby zaufać że strona jest czysta. Czasami kilka dni. Czasami tydzień. Bądź cierpliwy.

Krok 8: Dowiedz się jak to się stało (następny dzień)

Po tym jak strona jest przywrócona, czas na analizę co się stało.

Pytania które sobie zadać:

  • Jaki plugin/theme był podatny?
  • Czy były stare wersje programów?
  • Czy hasła były słabe?
  • Czy backup był regularnie robiony?
  • Czy były regularnie security updates?

Jeśli to WordPress — sprawdź które pluginy były ostatnio aktualizowane. Hakerzy atakują stare pluginy które nie są patchowane.

Krok 9: Zabezpiecz się na przyszłość (teraz, jeśli możesz)

Teraz kiedy strona jest bezpieczna — nie chcesz żeby to się stało znowu.

Obligatoryjne:

1. Security pluginy (WordPress): Wordfence/Sucuri/iThemes Security

2. Regularne backupy — codziennie lub minimum raz na tydzień. Na innym serwera niż hosting. Google Drive, S3, cloud solution.

3. Regularne aktualizacje — pluginy, szablony, WordPress. Monitoruj czy są dostępne aktualizacje.

4. Silne hasła — dla każdego konta. Password manager.

5. Two-factor authentication — dla WordPressa, dla FTP, dla hostingu.

Jeśli prowadzisz coś ważniejszego (e-commerce, dane klientów):

  • Web Application Firewall (WAF) — Cloudflare, Sucuri, Wordfence
  • Audyty bezpieczeństwa (raz na rok)
  • SSL certificate (https) — powinno być zawsze
  • Aktualizacje zależności (jeśli to custom code)

Moje rady z doświadczenia

Wszyscy którzy prowadzą stronę powinni być przygotowani na hack. To nie jeśli, tylko kiedy.

Zatem:

1. Miej regularny backup. Off-site. Nie na tym samym serwerze co strona. Jeśli serwer się spali, backup się spali razem.

2. Aktualizuj wszystko. Pluginy, theme'y, system operacyjny, biblioteki. Nie ignoruj update'ów bo „strona się zmieni". Update'y zawierają security patches.

3. Używaj mocnych haseł. I nie reużywaj haseł pomiędzy serwisami.

4. Jeśli Twoja strona ma kontakt z finansami (płatności, dane karty) — weź bezpieczeństwo poważnie. Miej WAF. Miej regularne audyty.

5. Jeśli jesteś na WordPress'ie — ten CMS jest popularny. To oznacza, że jest atakowany. Ale to też oznacza, że security community jest aktywne. Skorzystaj z tego.

Emergency support w Szympanstudio

Jeśli Twoja strona jest zhakowana i potrzebujesz natychmiastowej pomocy — mogę Ci pomóc. Pracuję lokalnie z biznesami w Pleszewiu, Kaliszu, Ostrowie Wielkopolskim, Jarocinie, ale zdalnie pomagam biznesom z całego świata.

Jeśli jesteś w panice teraz — napisz na maila lub zadzwoń. Pomogę Ci przywrócić stronę do stanu normalności.

Hack nie jest koniec świata. To jest incydent. Incydent który można naprawić. I po którym można się nauczyć.

Bądź przygotowany. Miej backupy. Aktualizuj. Nie panikuj. I nie czekaj na hakera aby się zabezpieczyć. Zrób to teraz.