WordPress logo next to a red security shield with a padlock icon on a dark blue binary code background.

Aktualizacja bezpieczeństwa WordPressa – listopad 2025: krytyczne podatności i ich znaczenie dla Twojej strony

Piotr Kochanowski

6 min read

Gdy 2025 rok zbliża się do końca, ekosystem WordPressa nadal mierzy się z narastającą falą zagrożeń bezpieczeństwa. Listopad przyniósł serię krytycznych podatności dotyczących szeroko używanych wtyczek, z czego część oceniono nawet na 10/10 w skali CVSS. Ten artykuł przedstawia kompleksowy przegląd najnowszych ustaleń, oparty na listopadowych raportach o podatnościach z 2025 roku przygotowanych przez SolidWP, TechRadar, WP-Firewall oraz inne zaufane źródła.

Dla kontekstu możesz też wrócić do naszej wcześniejszej analizy: WordPress Security Update – wrzesień 2025.

Stan bezpieczeństwa WordPressa w listopadzie 2025

Zgodnie z SolidWP Vulnerability Report (5 listopada 2025) w ekosystemie WordPressa ujawniono w tym miesiącu 108 nowych podatności. Z tego 77 zostało załatanych, a 31 pozostaje bez poprawek – co stanowi istotne ryzyko dla właścicieli stron, którzy odkładają aktualizacje.

Raport potwierdza również, że WordPress 6.8.3, wydany 30 września, zawierał dwie drobne poprawki bezpieczeństwa, natomiast wersja 6.9 jest zaplanowana na 2 grudnia 2025 i ma przynieść dodatkowe usprawnienia w zakresie hardeningu.

Główny trend? Atakujący coraz częściej celują w popularne wtyczki o dużej bazie instalacji – takie jak WooCommerce, LiteSpeed Cache czy The Events Calendar – co sprawia, że terminowe aktualizacje są ważniejsze niż kiedykolwiek.

Krytyczne podatności wtyczek w listopadzie 2025

The Events Calendar – nieuwierzytelniony SQL Injection (CVE-2025-12197)

Jedna z najpoważniejszych podatności w tym miesiącu dotyczy The Events Calendar – wtyczki mającej ponad 800 000 aktywnych instalacji.

  • Typ: SQL Injection (bez uwierzytelnienia)
  • Poziom krytyczności: CVSS 9.3
  • Wersje podatne: 6.15.1.1 – 6.15.9
  • Załatane w: 6.15.10
  • Źródło: komunikat WP-Firewall

Luka pozwala atakującym wykonywać dowolne zapytania SQL bez logowania, co może prowadzić do pełnego przejęcia bazy danych. Właścicielom stron stanowczo zaleca się natychmiastową aktualizację do wersji 6.15.10 lub nowszej.

King Addons for Elementor – wgrywanie plików i eskalacja uprawnień (CVE-2025-6327, CVE-2025-6325)

Wtyczka King Addons for Elementor, używana na ponad 10 000 stron, zawierała dwie krytyczne podatności:

  • Nieuwierzytelnione przesyłanie plików (CVE-2025-6327, CVSS 10.0)
  • Eskalacja uprawnień (CVE-2025-6325, CVSS 9.8)
  • Załatane w: wersji 51.1.37
  • Źródło: raport TechRadar

Podatności mogły umożliwić atakującym przesłanie dowolnych plików oraz uzyskanie dostępu administracyjnego. Twórcy wtyczki wydali poprawkę, ale wiele stron pozostaje nieaktualnych. Jeśli korzystasz z King Addons, zaktualizuj wtyczkę natychmiast i zweryfikuj uprawnienia do plików.

Anti-Malware Security and Brute-Force Firewall – dowolny odczyt plików (CVE-2025-11705)

Paradoksalnie, wtyczka zaprojektowana z myślą o ochronie stron WordPress wprowadziła poważne ryzyko bezpieczeństwa.

  • Typ: dowolny odczyt plików
  • Poziom krytyczności: CVSS 6.8
  • Wersje podatne: poniżej 2.23.83
  • Załatane w: 2.23.83
  • Źródło: TechRadar

Luka mogła pozwalać na odczyt wrażliwych plików, takich jak wp-config.php, ujawniając dane dostępowe do bazy. Mimo dostępnej poprawki około 50 000 stron pozostawało niezabezpieczonych w połowie listopada.

Inne istotne podatności

  • LiteSpeed Cache – Cross-Site Scripting (CVE-2025-12450)
  • WooCommerce – XSS (CVE-2025-49042)
  • Polylang – niebezpieczna deserializacja (CVE-2025-64353)
  • Post SMTP – błędne uwierzytelnianie (CVE-2025-11833)
  • Taskbuilder – SQL Injection (CVE-2025-22716, CVSS 8.5)
  • RomethemeKit for Elementor – wstrzyknięcie kodu (CVE-2025-30911, CVSS 9.9)
  • WP Project Manager – ujawnienie danych (CVE-2025-58269)
  • SecuPress Free – eskalacja uprawnień umożliwiająca subskrybentom instalowanie wtyczek (CVE-2025-3452)

Te podatności pokazują, że nawet dobrze utrzymywane wtyczki mogą stać się wektorami ataku, jeśli aktualizacje są odkładane.

Trendy i wnioski: co mówi nam listopad 2025

  • Wzrost liczby krytycznych podatności we wtyczkach: W listopadzie 2025 odnotowano zauważalny wzrost liczby krytycznych CVE, szczególnie we wtyczkach rozszerzających Elementora i WooCommerce. Atakujący celują w exploity o dużym wpływie i niskim koszcie, często niewymagające uwierzytelnienia.
  • Opóźnienia w aktualizacjach: Choć ponad 70% podatności ujawnionych w tym miesiącu ma dostępne poprawki, wiele stron pozostaje nieaktualnych. To opóźnienie jest jednym z głównych czynników udanych ataków.
  • Wtyczki bezpieczeństwa nie są odporne: Przypadki Anti-Malware i SecuPress pokazują, że narzędzia bezpieczeństwa mogą wprowadzać nowe ryzyka. Poleganie na jednej wtyczce nie wystarcza.
  • Rosnące znaczenie wirtualnego łatania: Rozwiązania takie jak Patchstack i Solid Security Pro pomagają ograniczać ryzyko w okresie między ujawnieniem podatności a wdrożeniem poprawek.

Dobre praktyki dla właścicieli stron WordPress

  • Regularnie aktualizuj – tam, gdzie to możliwe, włącz automatyczne aktualizacje rdzenia i wtyczek.
  • Monitoruj źródła o podatnościach – subskrybuj raporty SolidWP lub korzystaj z bazy Patchstack.
  • Używaj WAF – Cloudflare, Wordfence lub Sucuri mogą blokować próby wykorzystania luk.
  • Stosuj wirtualne łatanie – przydatne między ujawnieniem podatności a wdrożeniem poprawki.
  • Ogranicz uprawnienia użytkowników – minimalizuj dostęp administratorów i wymuszaj uwierzytelnianie dwuskładnikowe.
  • Regularne kopie zapasowe – utrzymuj kopie poza serwerem, aby szybko odtworzyć stronę po incydencie.

WordPress Core: stabilny, ale nie „nie do ruszenia”

Choć w listopadzie nie zgłoszono nowych krytycznych podatności w rdzeniu WordPressa, wydanie 6.8.3 zawierało dwie drobne poprawki bezpieczeństwa dotyczące potencjalnych wektorów eskalacji uprawnień. Nadchodząca wersja 6.9 – planowana na początek grudnia – ma wprowadzić dodatkowe elementy hardeningu, w tym lepszą sanitację endpointów REST API.

Stabilność rdzenia jest dobrą wiadomością, jednak historia pokazuje, że większość przejęć stron WordPress wynika z wtyczek i motywów, a nie z samego CMS-a.

Co dalej: przygotowanie na 2026 rok

  • Wykrywanie podatności wspierane przez AI pomaga identyfikować luki wcześniej, na etapie wytwarzania.
  • Exploity typu zero-day stają się coraz częstsze, szczególnie w ekosystemach wtyczek premium.
  • Zgodność regulacyjna (RODO i nadchodzący EU Cyber Resilience Act) będzie wpływać na to, jak twórcy podchodzą do ujawniania podatności i terminów publikacji poprawek.

Dla deweloperów i agencji proaktywne zarządzanie bezpieczeństwem – poprzez automatyczne skanowanie, monitoring zależności i ciągłe łatanie – będzie czynnikiem, który odróżni strony bezpieczne od tych, które zostaną przejęte.

Podsumowanie

Listopad 2025 potwierdza prostą prawdę: bezpieczeństwo WordPressa jest tak silne, jak Twoja dyscyplina aktualizacji. Krytyczne podatności, szczególnie w The Events CalendarKing Addons for Elementor, pokazują, jak ważne są szybkie aktualizacje i wielowarstwowa ochrona.

Jeśli zarządzasz wieloma stronami WordPress, rozważ wdrożenie scentralizowanego zarządzania aktualizacjami oraz narzędzi do monitorowania podatności. Bądź na bieżąco, korzystając z wiarygodnych źródeł, takich jak SolidWP, TechRadar i WP-Firewall, które regularnie publikują miesięczne aktualizacje.

Więcej analiz, praktycznych poradników i comiesięcznych aktualizacji znajdziesz w innych artykułach na Developress.io, w tym w aktualizacji bezpieczeństwa z września 2025 oraz w zapowiadanym prognozowanym przeglądzie bezpieczeństwa na grudzień 2025.

Źródła:

Masz pytania po lekturze bloga?

Chętnie pomożemy Ci przełożyć wiedzę na realne efekty.

Porozmawiajmy
DeveloPress logo w stopce

Jesteśmy agencją WordPress, która stawia na innowacyjne rozwiązania i kompleksowe wsparcie w tworzeniu oraz utrzymaniu stron internetowych.

© 2025 DeveloPress. Wszelkie prawa zastrzeżone.