Alt do obrazka: WordPress security dashboard showing critical plugin vulnerabilities and AI-driven cyber attacks in December 2025

Raport bezpieczeństwa WordPressa – grudzień 2025

Piotr Kochanowski

6 min read

Utrzymanie bezpieczeństwa strony WordPress to zadanie bez końca, jednak grudzień 2025 przyniósł wyjątkowo agresywną falę krytycznych podatności, które wymagają natychmiastowej reakcji. Wraz z końcem roku wielu administratorów robi przerwę świąteczną, co tworzy idealne okno możliwości dla atakujących. Od podatności typu zdalne wykonanie kodu po ryzyka w łańcuchu dostaw – krajobraz bezpieczeństwa tego miesiąca wyraźnie pokazuje znaczenie proaktywnego utrzymania, terminowych aktualizacji oraz warstwowych strategii ochrony.

Krajobraz bezpieczeństwa 2025 w liczbach

Zanim przejdziemy do konkretnych poprawek, kluczowe jest zrozumienie skali zagrożenia. Dane zebrane z tysięcy instalacji WordPressa w IV kwartale 2025 roku pokazują zmieniające się pole walki:

  • Wzrost ataków brute force o 45%: Automatyczne próby logowania niemal się podwoiły od stycznia, głównie za sprawą botnetów wspieranych przez AI.
  • Dominacja podatności we wtyczkach: 92% wszystkich skutecznych włamań do WordPressa w 2025 roku miało źródło w komponentach rozszerzalnych (wtyczkach/motywach), a nie w samym Core.
  • „Luka czasowa na łatki”: Administratorom stron potrzeba średnio 14 dni na wdrożenie krytycznych poprawek bezpieczeństwa, podczas gdy atakujący zaczynają ich skanowanie już w ciągu 4 godzin od ujawnienia.

WordPress Core: wersja 6.9 „Gene” oraz aktualizacje polityki bezpieczeństwa

WordPress w wersji 6.9, o nazwie kodowej „Gene”, został wydany na początku grudnia 2025 roku. Oprócz poprawek bezpieczeństwa wprowadza on kilka nowych funkcji, które zwiększają użyteczność i wydajność zarówno dla deweloperów, jak i twórców treści:

  • Komentowanie na poziomie bloków („Notatki”): Funkcja umożliwiająca współpracę w czasie rzeczywistym w edytorze – zespoły mogą zostawiać uwagi bezpośrednio przy konkretnych blokach, bez użycia zewnętrznych narzędzi.
  • API Abilities: Duża zmiana dla deweloperów, zapewniająca znacznie bardziej granularną kontrolę dostępu i zarządzanie uprawnieniami w porównaniu do starszego systemu ról.
  • Optymalizacje wydajności: Znaczące usprawnienia czasu ładowania bloków rdzenia oraz silnika renderującego.

Choć te innowacje czynią WordPressa potężniejszym, jednocześnie podkreślają konieczność pozostawania na bieżąco. Wraz z wydaniem wersji 6.9 WordPress oficjalnie zakończył wsparcie bezpieczeństwa dla kilku starszych gałęzi. Jeśli Twoja strona nadal działa na nieaktualnej wersji, aktualizacja nie jest już opcją – jest koniecznością.

Krytyczne podatności we wtyczkach aktywnie wykorzystywane w atakach

Sneeit Framework (CVE-2025-6389)

Wtyczka Sneeit Framework została dotknięta krytyczną podatnością typu zdalne wykonanie kodu (RCE). Luka ta pozwala atakującym ominąć mechanizmy uwierzytelniania, tworzyć nowe konta administratorów i w praktyce przejąć pełną kontrolę nad zaatakowaną stroną. Dotyczy wersji do 8.3 włącznie, a poprawka została wydana w wersji 8.4. Więcej informacji na temat tego zagrożenia można znaleźć w artykule TechRadar.

W3 Total Cache (CVE-2025-9501)

Niezwykle popularna wtyczka W3 Total Cache niedawno załatała krytyczną podatność typu command injection, która dotyczyła wersji wcześniejszych niż 2.8.13. Luka ta umożliwia nieuwierzytelnionym atakującym wykonywanie kodu PHP za pomocą odpowiednio spreparowanych danych wejściowych. Ze względu na ogromną popularność wtyczki jest to aktualizacja o najwyższym priorytecie. Szczegóły opisuje raport TechRadar.

King Addons for Elementor (CVE-2025-8489)

We wtyczce King Addons for Elementor wykryto poważną podatność umożliwiającą eskalację uprawnień. Luka ta pozwala nieuwierzytelnionym użytkownikom rejestrować się i podnosić swoje uprawnienia do poziomu administratora bez jakiejkolwiek interakcji ze strony użytkownika. Techniczną analizę problemu przedstawia SecurityAffairs.

Ciche zagrożenie: „zombie” wtyczki i porzucone oprogramowanie

Podczas gdy załatane podatności przyciągają uwagę mediów, narasta bardziej podstępny problem: porzucone wtyczki. Tylko w grudniu z oficjalnego repozytorium WordPressa usunięto ponad 150 wtyczek z powodu niezałatanych luk bezpieczeństwa lub braku aktywności deweloperów.

W przeciwieństwie do standardowych podatności, te „zombie wtyczki” nigdy nie otrzymają poprawek. Jeśli masz je zainstalowane, Twoja strona pozostaje trwale narażona aż do ich usunięcia. Obecnie największe ryzyko dotyczy starszych kalendarzy rezerwacji oraz niszowych dodatków do formularzy, które nie były aktualizowane od 2024 roku. Zdecydowanie zalecamy audyt strony pod kątem każdej wtyczki, która nie była aktualizowana w ciągu ostatnich 6 miesięcy.

Nowy trend: botnety napędzane przez AI

Koniec 2025 roku wyznacza punkt zwrotny w sposobie przeprowadzania ataków. Obserwujemy wzrost botnetów sterowanych przez AI, które potrafią omijać tradycyjne CAPTCHA i generować unikalne, kontekstowe komentarze phishingowe, przechodzące przez filtry antyspamowe. Proste blokowanie adresów IP staje się coraz mniej skuteczne, ponieważ boty rotują przez proxy rezydencyjne. W odpowiedzi na to analiza behawioralna oraz weryfikacja biometryczna (np. Passkeys) stają się nowym standardem zabezpieczania logowania w WordPressie.

Dlaczego tak wiele stron pozostaje niezałatanych

Mimo dostępności poprawek, niepokojąco duża liczba instalacji WordPressa pozostaje podatna. Opóźnienia te często wynikają z obaw przed „zepsuciem” strony (problemy z kompatybilnością) lub z braku monitoringu. Tanie środowiska hostingowe często nie dysponują zaporami sieciowymi zdolnymi do blokowania takich ataków na brzegu infrastruktury.

Aby ograniczyć to ryzyko, administratorzy WordPressa powinni wdrożyć bardziej rygorystyczną rutynę:

  • Włącz automatyczne aktualizacje wtyczek i motywów z zaufanych źródeł.
  • Korzystaj ze środowiska stagingowego, aby bezpiecznie testować aktualizacje przed wdrożeniem.
  • Planuj regularne audyty bezpieczeństwa (kluczowy element metodologii Developress), aby wychwytywać nieaktualne komponenty.

Najlepsze praktyki bezpieczeństwa WordPressa na lata 2025–2026

Aby utrzymać ochronę strony w obliczu zmieniającego się krajobrazu zagrożeń w 2026 roku, stosuj się do poniższych, zaktualizowanych dobrych praktyk:

  1. Utrzymuj wszystko na bieżąco – Core, wtyczki, motywy oraz wersję PHP.
  2. Stosuj uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich kont administratorów i redaktorów.
  3. Zainstaluj renomowaną zaporę endpointową oraz narzędzia do monitorowania integralności plików.
  4. Regularnie wykonuj kopie zapasowe strony do szyfrowanej lokalizacji zewnętrznej lub chmurowej.
  5. Wyłączaj lub usuwaj nieużywane wtyczki i motywy, aby znacząco zmniejszyć powierzchnię ataku.
  6. Edukuj zespół – błędy ludzkie i phishing wciąż należą do najczęstszych przyczyn włamań.

Jeśli jeszcze tego nie zrobiłeś, poświęć w tym tygodniu czas na przegląd wtyczek, aktualizację do najnowszej wersji WordPressa oraz upewnienie się, że narzędzia bezpieczeństwa są aktywne. Świadomość i proaktywne działania to najlepsza obrona przed zautomatyzowanymi zagrożeniami, które obserwujemy obecnie.

Zachowaj bezpieczeństwo. Bądź na bieżąco. I dbaj o siłę WordPressa.

Jeśli potrzebujesz eksperckiego wsparcia w zabezpieczeniu infrastruktury lub odzyskaniu strony po incydencie, skontaktuj się z nami już dziś.

Masz pytania po lekturze bloga?

Chętnie pomożemy Ci przełożyć wiedzę na realne efekty.

Porozmawiajmy
DeveloPress logo w stopce

Jesteśmy agencją WordPress, która stawia na innowacyjne rozwiązania i kompleksowe wsparcie w tworzeniu oraz utrzymaniu stron internetowych.

© 2025 DeveloPress. Wszelkie prawa zastrzeżone.