Raport bezpieczeństwa WordPress – 277 nowych podatności wykrytych w ciągu jednego tygodnia

W ciągu jednego tygodnia wykryto 277 nowych podatności w ekosystemie WordPress. Sprawdź, jakie zagrożenia najczęściej występują we wtyczkach i motywach oraz jak skutecznie zabezpieczyć swoją stronę.

11 czerwca 2026 • root • PrywatnyInformatyk.pl

Jeżeli prowadzisz stronę opartą o WordPressa i od czasu do czasu odkładasz aktualizacje „na później”, najnowsze dane z raportów bezpieczeństwa Wordfence powinny dać do myślenia.

Według najnowszego tygodniowego raportu Wordfence Intelligence, w ciągu zaledwie jednego tygodnia ujawniono 277 nowych podatności dotyczących 184 wtyczek oraz 70 motywów WordPress. Oznacza to, że praktycznie każdego dnia publikowane są dziesiątki nowych błędów bezpieczeństwa mogących prowadzić do przejęcia stron internetowych.

Problemem nie jest sam WordPress

Wbrew popularnym opiniom większość współczesnych incydentów bezpieczeństwa nie dotyczy rdzenia WordPressa. Największym zagrożeniem są dodatkowe rozszerzenia:

  • wtyczki instalowane wiele lat temu i pozostawione bez aktualizacji,
  • porzucone projekty bez wsparcia producenta,
  • motywy zawierające własny kod PHP,
  • dodatki pobierane spoza oficjalnego repozytorium.

Raporty Wordfence z pierwszej połowy 2026 roku pokazują, że tygodniowo publikowanych jest od kilkudziesięciu do nawet kilkuset nowych podatności dotyczących ekosystemu WordPress.

Jakie podatności występują najczęściej?

Najczęściej spotykane błędy to:

  • SQL Injection – umożliwia odczyt lub modyfikację danych w bazie MySQL.
  • Cross-Site Scripting (XSS) – pozwala na uruchamianie złośliwego kodu JavaScript w przeglądarce użytkownika.
  • Privilege Escalation – umożliwia uzyskanie uprawnień administratora.
  • Authentication Bypass – pozwala ominąć proces logowania.
  • Remote Code Execution (RCE) – daje możliwość wykonywania kodu PHP na serwerze.
  • Arbitrary File Upload – umożliwia przesłanie pliku PHP i przejęcie strony.

W praktyce oznacza to, że pojedyncza nieaktualna wtyczka może umożliwić atakującemu całkowite przejęcie witryny.

Przykład z czerwca 2026 – aktywnie wykorzystywana podatność RCE

Dobrym przykładem jest podatność oznaczona jako CVE-2026-3300 we wtyczce Everest Forms Pro.

Błąd umożliwiał wykonanie kodu PHP przez atakującego, a następnie automatyczne utworzenie nowego konta administratora WordPress. Według informacji opublikowanych przez Wordfence odnotowano już dziesiątki tysięcy prób wykorzystania tej podatności.

Po uzyskaniu dostępu administracyjnego cyberprzestępca może:

  • zmieniać treść strony,
  • instalować złośliwe oprogramowanie,
  • przekierowywać użytkowników na fałszywe strony,
  • kraść dane klientów,
  • wykorzystywać serwer do dalszych ataków.

Dlaczego właściciele stron nadal padają ofiarą ataków?

Najczęściej problem nie wynika z braku dostępnych aktualizacji, lecz z ich niewdrożenia.

W wielu przypadkach poprawki bezpieczeństwa są publikowane nawet kilka tygodni lub miesięcy przed rozpoczęciem masowych ataków. Administratorzy, którzy regularnie aktualizują swoje strony, zwykle pozostają bezpieczni.

Atakujący najczęściej skanują Internet w poszukiwaniu:

  • nieaktualnych wersji WordPressa,
  • starych wtyczek,
  • porzuconych motywów,
  • publicznie znanych podatności CVE.

Jak zabezpieczyć stronę WordPress?

Podstawowe działania znacząco zmniejszają ryzyko włamania:

  • regularna aktualizacja WordPressa,
  • aktualizacja wszystkich wtyczek i motywów,
  • usuwanie nieużywanych rozszerzeń,
  • stosowanie uwierzytelniania dwuskładnikowego (2FA),
  • korzystanie z zapory aplikacyjnej WAF,
  • wykonywanie regularnych kopii zapasowych,
  • monitorowanie logów serwera i aktywności użytkowników.

Co warto zapamiętać?

Największym zagrożeniem dla współczesnych stron WordPress nie jest sam CMS, lecz dodatki instalowane przez użytkowników. Dane publikowane przez Wordfence pokazują, że liczba nowych podatności liczona jest już w setkach miesięcznie, a wiele z nich jest aktywnie wykorzystywanych przez cyberprzestępców.

Jeżeli nie pamiętasz, kiedy ostatnio aktualizowałeś swoje wtyczki lub motywy, warto zrobić to jeszcze dziś.

Źródła

  • https://www.wordfence.com/blog/2026/06/wordfence-intelligence-weekly-wordpress-vulnerability-report-may-25-2026-to-may-31-2026/
  • https://www.wordfence.com/threat-intel/vulnerabilities
  • https://www.wordfence.com/blog/2026/06/quarterly-wordpress-threat-intelligence-report-q1-2026/
  • https://www.techradar.com/pro/security/wordpress-sites-are-being-hijacked-using-a-critical-flaw-in-everest-forms-pro
Zobacz inne posty