{"id":4031,"date":"2025-12-12T09:03:18","date_gmt":"2025-12-12T09:03:18","guid":{"rendered":"https:\/\/developress.io\/?p=4031"},"modified":"2026-01-02T09:09:00","modified_gmt":"2026-01-02T09:09:00","slug":"raport-bezpieczenstwa-wordpressa-grudzien-2025","status":"publish","type":"post","link":"https:\/\/developress.io\/pl\/raport-bezpieczenstwa-wordpressa-grudzien-2025\/","title":{"rendered":"Raport bezpiecze\u0144stwa WordPressa &#8211; grudzie\u0144 2025"},"content":{"rendered":"\n<p>Utrzymanie bezpiecze\u0144stwa strony WordPress to zadanie bez ko\u0144ca, jednak grudzie\u0144 2025 przyni\u00f3s\u0142 wyj\u0105tkowo agresywn\u0105 fal\u0119 krytycznych podatno\u015bci, kt\u00f3re wymagaj\u0105 natychmiastowej reakcji. Wraz z ko\u0144cem roku wielu administrator\u00f3w robi przerw\u0119 \u015bwi\u0105teczn\u0105, co tworzy idealne okno mo\u017cliwo\u015bci dla atakuj\u0105cych. Od podatno\u015bci typu zdalne wykonanie kodu po ryzyka w \u0142a\u0144cuchu dostaw \u2013 krajobraz bezpiecze\u0144stwa tego miesi\u0105ca wyra\u017anie pokazuje znaczenie <a href=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\">proaktywnego utrzymania<\/a>, terminowych aktualizacji oraz warstwowych strategii ochrony.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Krajobraz bezpiecze\u0144stwa 2025 w liczbach<\/h2>\n\n\n\n<p>Zanim przejdziemy do konkretnych poprawek, kluczowe jest zrozumienie skali zagro\u017cenia. Dane zebrane z tysi\u0119cy instalacji WordPressa w IV kwartale 2025 roku pokazuj\u0105 zmieniaj\u0105ce si\u0119 pole walki:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Wzrost atak\u00f3w brute force o 45%:<\/strong> Automatyczne pr\u00f3by logowania niemal si\u0119 podwoi\u0142y od stycznia, g\u0142\u00f3wnie za spraw\u0105 botnet\u00f3w wspieranych przez AI.<\/li>\n\n\n\n<li><strong>Dominacja podatno\u015bci we wtyczkach:<\/strong> 92% wszystkich skutecznych w\u0142ama\u0144 do WordPressa w 2025 roku mia\u0142o \u017ar\u00f3d\u0142o w komponentach rozszerzalnych (wtyczkach\/motywach), a nie w samym Core.<\/li>\n\n\n\n<li><strong>\u201eLuka czasowa na \u0142atki\u201d:<\/strong> Administratorom stron potrzeba \u015brednio 14 dni na wdro\u017cenie krytycznych poprawek bezpiecze\u0144stwa, podczas gdy atakuj\u0105cy zaczynaj\u0105 ich skanowanie ju\u017c w ci\u0105gu 4 godzin od ujawnienia.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">WordPress Core: wersja 6.9 \u201eGene\u201d oraz aktualizacje polityki bezpiecze\u0144stwa<\/h2>\n\n\n\n<p>WordPress <strong>w wersji 6.9<\/strong>, o nazwie kodowej <em>\u201eGene\u201d<\/em>, zosta\u0142 wydany na pocz\u0105tku grudnia 2025 roku. Opr\u00f3cz poprawek bezpiecze\u0144stwa wprowadza on kilka nowych funkcji, kt\u00f3re zwi\u0119kszaj\u0105 u\u017cyteczno\u015b\u0107 i wydajno\u015b\u0107 zar\u00f3wno dla deweloper\u00f3w, jak i tw\u00f3rc\u00f3w tre\u015bci:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Komentowanie na poziomie blok\u00f3w (\u201eNotatki\u201d):<\/strong> Funkcja umo\u017cliwiaj\u0105ca wsp\u00f3\u0142prac\u0119 w czasie rzeczywistym w edytorze \u2013 zespo\u0142y mog\u0105 zostawia\u0107 uwagi bezpo\u015brednio przy konkretnych blokach, bez u\u017cycia zewn\u0119trznych narz\u0119dzi.<\/li>\n\n\n\n<li><strong>API Abilities:<\/strong> Du\u017ca zmiana dla deweloper\u00f3w, zapewniaj\u0105ca znacznie bardziej granularn\u0105 kontrol\u0119 dost\u0119pu i zarz\u0105dzanie uprawnieniami w por\u00f3wnaniu do starszego systemu r\u00f3l.<\/li>\n\n\n\n<li><strong>Optymalizacje wydajno\u015bci:<\/strong> Znacz\u0105ce usprawnienia czasu \u0142adowania blok\u00f3w rdzenia oraz silnika renderuj\u0105cego.<\/li>\n<\/ul>\n\n\n\n<p>Cho\u0107 te innowacje czyni\u0105 WordPressa pot\u0119\u017cniejszym, jednocze\u015bnie podkre\u015blaj\u0105 konieczno\u015b\u0107 pozostawania na bie\u017c\u0105co. Wraz z wydaniem wersji 6.9 WordPress oficjalnie zako\u0144czy\u0142 wsparcie bezpiecze\u0144stwa dla kilku starszych ga\u0142\u0119zi. Je\u015bli Twoja strona nadal dzia\u0142a na nieaktualnej wersji, aktualizacja nie jest ju\u017c opcj\u0105 \u2013 jest konieczno\u015bci\u0105.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Krytyczne podatno\u015bci we wtyczkach aktywnie wykorzystywane w atakach<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Sneeit Framework (CVE-2025-6389)<\/h3>\n\n\n\n<p>Wtyczka <strong>Sneeit Framework<\/strong> zosta\u0142a dotkni\u0119ta krytyczn\u0105 podatno\u015bci\u0105 typu zdalne wykonanie kodu (RCE). Luka ta pozwala atakuj\u0105cym omin\u0105\u0107 mechanizmy uwierzytelniania, tworzy\u0107 nowe konta administrator\u00f3w i w praktyce przej\u0105\u0107 pe\u0142n\u0105 kontrol\u0119 nad zaatakowan\u0105 stron\u0105. Dotyczy wersji do 8.3 w\u0142\u0105cznie, a poprawka zosta\u0142a wydana w wersji 8.4. Wi\u0119cej informacji na temat tego zagro\u017cenia mo\u017cna znale\u017a\u0107 w <a href=\"https:\/\/www.techradar.com\/pro\/security\/sneeit-wordpress-rce-flaw-allows-hackers-to-add-themselves-as-admin-heres-how-to-stay-safe\" target=\"_blank\" rel=\"noopener\">artykule TechRadar<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">W3 Total Cache (CVE-2025-9501)<\/h3>\n\n\n\n<p>Niezwykle popularna wtyczka <strong>W3 Total Cache<\/strong> niedawno za\u0142ata\u0142a krytyczn\u0105 podatno\u015b\u0107 typu command injection, kt\u00f3ra dotyczy\u0142a wersji wcze\u015bniejszych ni\u017c 2.8.13. Luka ta umo\u017cliwia nieuwierzytelnionym atakuj\u0105cym wykonywanie kodu PHP za pomoc\u0105 odpowiednio spreparowanych danych wej\u015bciowych. Ze wzgl\u0119du na ogromn\u0105 popularno\u015b\u0107 wtyczki jest to aktualizacja o najwy\u017cszym priorytecie. Szczeg\u00f3\u0142y opisuje <a href=\"https:\/\/www.techradar.com\/pro\/security\/wordpress-plugin-with-over-a-million-installs-may-have-a-worrying-security-flaw-heres-what-we-know\" target=\"_blank\" rel=\"noopener\">raport TechRadar<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">King Addons for Elementor (CVE-2025-8489)<\/h3>\n\n\n\n<p>We wtyczce <strong>King Addons for Elementor<\/strong> wykryto powa\u017cn\u0105 podatno\u015b\u0107 umo\u017cliwiaj\u0105c\u0105 eskalacj\u0119 uprawnie\u0144. Luka ta pozwala nieuwierzytelnionym u\u017cytkownikom rejestrowa\u0107 si\u0119 i podnosi\u0107 swoje uprawnienia do poziomu administratora bez jakiejkolwiek interakcji ze strony u\u017cytkownika. Techniczn\u0105 analiz\u0119 problemu przedstawia <a href=\"https:\/\/securityaffairs.com\/185286\/hacking\/king-addons-flaw-lets-anyone-become-wordpress-admin.html\" target=\"_blank\" rel=\"noopener\">SecurityAffairs<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ciche zagro\u017cenie: \u201ezombie\u201d wtyczki i porzucone oprogramowanie<\/h2>\n\n\n\n<p>Podczas gdy za\u0142atane podatno\u015bci przyci\u0105gaj\u0105 uwag\u0119 medi\u00f3w, narasta bardziej podst\u0119pny problem: <strong>porzucone wtyczki<\/strong>. Tylko w grudniu z oficjalnego repozytorium WordPressa usuni\u0119to ponad 150 wtyczek z powodu nieza\u0142atanych luk bezpiecze\u0144stwa lub braku aktywno\u015bci deweloper\u00f3w.<\/p>\n\n\n\n<p>W przeciwie\u0144stwie do standardowych podatno\u015bci, te \u201ezombie wtyczki\u201d <strong>nigdy<\/strong> nie otrzymaj\u0105 poprawek. Je\u015bli masz je zainstalowane, Twoja strona pozostaje trwale nara\u017cona a\u017c do ich usuni\u0119cia. Obecnie najwi\u0119ksze ryzyko dotyczy starszych kalendarzy rezerwacji oraz niszowych dodatk\u00f3w do formularzy, kt\u00f3re nie by\u0142y aktualizowane od 2024 roku. Zdecydowanie zalecamy audyt strony pod k\u0105tem ka\u017cdej wtyczki, kt\u00f3ra nie by\u0142a aktualizowana w ci\u0105gu ostatnich 6 miesi\u0119cy.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Nowy trend: botnety nap\u0119dzane przez AI<\/h2>\n\n\n\n<p>Koniec 2025 roku wyznacza punkt zwrotny w sposobie przeprowadzania atak\u00f3w. Obserwujemy wzrost botnet\u00f3w sterowanych przez AI, kt\u00f3re potrafi\u0105 omija\u0107 tradycyjne CAPTCHA i generowa\u0107 unikalne, kontekstowe komentarze phishingowe, przechodz\u0105ce przez filtry antyspamowe. Proste blokowanie adres\u00f3w IP staje si\u0119 coraz mniej skuteczne, poniewa\u017c boty rotuj\u0105 przez proxy rezydencyjne. W odpowiedzi na to analiza behawioralna oraz weryfikacja biometryczna (np. Passkeys) staj\u0105 si\u0119 nowym standardem zabezpieczania logowania w WordPressie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Dlaczego tak wiele stron pozostaje nieza\u0142atanych<\/h2>\n\n\n\n<p>Mimo dost\u0119pno\u015bci poprawek, niepokoj\u0105co du\u017ca liczba instalacji WordPressa pozostaje podatna. Op\u00f3\u017anienia te cz\u0119sto wynikaj\u0105 z obaw przed \u201ezepsuciem\u201d strony (problemy z kompatybilno\u015bci\u0105) lub z braku monitoringu. Tanie \u015brodowiska hostingowe cz\u0119sto nie dysponuj\u0105 zaporami sieciowymi zdolnymi do blokowania takich atak\u00f3w na brzegu infrastruktury.<\/p>\n\n\n\n<p>Aby ograniczy\u0107 to ryzyko, administratorzy WordPressa powinni wdro\u017cy\u0107 bardziej rygorystyczn\u0105 rutyn\u0119:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>W\u0142\u0105cz automatyczne aktualizacje wtyczek i motyw\u00f3w z zaufanych \u017ar\u00f3de\u0142.<\/li>\n\n\n\n<li>Korzystaj ze \u015brodowiska stagingowego, aby bezpiecznie testowa\u0107 aktualizacje przed wdro\u017ceniem.<\/li>\n\n\n\n<li>Planuj regularne audyty bezpiecze\u0144stwa (kluczowy element metodologii <a href=\"https:\/\/developress.io\/pl\/\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/\">Developress<\/a>), aby wychwytywa\u0107 nieaktualne komponenty.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Najlepsze praktyki bezpiecze\u0144stwa WordPressa na lata 2025\u20132026<\/h2>\n\n\n\n<p>Aby utrzyma\u0107 ochron\u0119 strony w obliczu zmieniaj\u0105cego si\u0119 krajobrazu zagro\u017ce\u0144 w 2026 roku, stosuj si\u0119 do poni\u017cszych, zaktualizowanych dobrych praktyk:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Utrzymuj wszystko na bie\u017c\u0105co \u2013 Core, wtyczki, motywy oraz wersj\u0119 PHP.<\/li>\n\n\n\n<li>Stosuj uwierzytelnianie dwusk\u0142adnikowe (2FA) dla wszystkich kont administrator\u00f3w i redaktor\u00f3w.<\/li>\n\n\n\n<li>Zainstaluj renomowan\u0105 zapor\u0119 endpointow\u0105 oraz narz\u0119dzia do monitorowania integralno\u015bci plik\u00f3w.<\/li>\n\n\n\n<li>Regularnie wykonuj kopie zapasowe strony do szyfrowanej lokalizacji zewn\u0119trznej lub chmurowej.<\/li>\n\n\n\n<li>Wy\u0142\u0105czaj lub usuwaj nieu\u017cywane wtyczki i motywy, aby znacz\u0105co zmniejszy\u0107 powierzchni\u0119 ataku.<\/li>\n\n\n\n<li>Edukuj zesp\u00f3\u0142 \u2013 b\u0142\u0119dy ludzkie i phishing wci\u0105\u017c nale\u017c\u0105 do najcz\u0119stszych przyczyn w\u0142ama\u0144.<\/li>\n<\/ol>\n\n\n\n<p>Je\u015bli jeszcze tego nie zrobi\u0142e\u015b, po\u015bwi\u0119\u0107 w tym tygodniu czas na przegl\u0105d wtyczek, aktualizacj\u0119 do najnowszej wersji WordPressa oraz upewnienie si\u0119, \u017ce narz\u0119dzia bezpiecze\u0144stwa s\u0105 aktywne. \u015awiadomo\u015b\u0107 i proaktywne dzia\u0142ania to najlepsza obrona przed zautomatyzowanymi zagro\u017ceniami, kt\u00f3re obserwujemy obecnie.<\/p>\n\n\n\n<p><strong>Zachowaj bezpiecze\u0144stwo. B\u0105d\u017a na bie\u017c\u0105co. I dbaj o si\u0142\u0119 WordPressa.<\/strong><\/p>\n\n\n\n<p>Je\u015bli potrzebujesz eksperckiego wsparcia w zabezpieczeniu infrastruktury lub odzyskaniu strony po incydencie, <a href=\"https:\/\/developress.io\/pl\/kontakt\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/kontakt\/\" rel=\"noreferrer noopener\">skontaktuj si\u0119 z nami<\/a> ju\u017c dzi\u015b.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Utrzymanie bezpiecze\u0144stwa strony WordPress to zadanie bez ko\u0144ca, jednak grudzie\u0144 2025 przyni\u00f3s\u0142 wyj\u0105tkowo agresywn\u0105 fal\u0119 krytycznych podatno\u015bci, kt\u00f3re wymagaj\u0105 natychmiastowej reakcji. Wraz z ko\u0144cem roku wielu administrator\u00f3w robi przerw\u0119 \u015bwi\u0105teczn\u0105, co tworzy idealne okno mo\u017cliwo\u015bci dla atakuj\u0105cych. Od podatno\u015bci typu zdalne wykonanie kodu po ryzyka w \u0142a\u0144cuchu dostaw \u2013 krajobraz bezpiecze\u0144stwa tego miesi\u0105ca wyra\u017anie pokazuje [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":3923,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[48],"tags":[],"class_list":["post-4031","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktualizacje-i-wydania-wordpressa"],"_links":{"self":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/4031","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/comments?post=4031"}],"version-history":[{"count":1,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/4031\/revisions"}],"predecessor-version":[{"id":4033,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/4031\/revisions\/4033"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/media\/3923"}],"wp:attachment":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/media?parent=4031"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/categories?post=4031"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/tags?post=4031"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}