Krytyczne arbitralne przesyłanie plików wtyczki WooCommerce//Opublikowano 2026-05-20//CVE-2026-45444

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Gift Cards For WooCommerce Pro Vulnerability

Nazwa wtyczki Karty podarunkowe dla WooCommerce Pro
Rodzaj podatności Dowolne przesyłanie plików
Numer CVE CVE-2026-45444
Pilność Krytyczny
Data publikacji CVE 2026-05-20
Adres URL źródła CVE-2026-45444

Pilna porada dotycząca bezpieczeństwa: Dowolne przesyłanie plików (CVE-2026-45444) w Kartach podarunkowych dla WooCommerce Pro (<= 4.2.6) — Co właściciele stron WordPress muszą zrobić teraz

Autor: Zespół ds. bezpieczeństwa WP-Firewall

Streszczenie: Wykryto poważną, nieautoryzowaną lukę w przesyłaniu dowolnych plików (CVE-2026-45444) wpływającą na wtyczkę “Karty podarunkowe dla WooCommerce Pro” (wersje <= 4.2.6), która jest już aktywnie wykorzystywana w sieci. Ten post wyjaśnia ryzyko, co mogą zrobić napastnicy, jak wykryć kompromitację, natychmiastowe środki zaradcze, które możesz zastosować, oraz priorytetową listę kontrolną naprawy i odzyskiwania dla właścicieli stron WordPress, hostów i agencji.

Spis treści

  • Co się stało (krótkie)
  • Dlaczego to jest krytyczne
  • Przegląd techniczny (co pozwala błąd)
  • Wpływ eksploatacji: realistyczne scenariusze atakujących
  • Natychmiastowe kroki (pierwsze 60–120 minut)
  • Wykrywanie i dochodzenie (jak sprawdzić, czy zostałeś zaatakowany)
  • Czyszczenie i pełna naprawa (ograniczenie → eliminacja → odzyskiwanie)
  • Wzmocnienie zabezpieczeń, aby zapobiec przyszłemu przesyłaniu dowolnych plików
  • Zasady WAF i serwera, które możesz zastosować już teraz (zalecane wzorce)
  • Jak możemy pomóc w WP-Firewall (w tym nasz darmowy plan)
  • Dodatek: przydatne polecenia i zapytania wykrywania

Co się stało (krótkie)

Badacze ujawnili nieautoryzowaną lukę w przesyłaniu dowolnych plików w wtyczce “Karty podarunkowe dla WooCommerce Pro” dla WordPress, śledzoną jako CVE-2026-45444. Wersje 4.2.6 i niższe są dotknięte. Ponieważ luka pozwala napastnikowi na przesyłanie plików bez autoryzacji, natychmiastowe ryzyko jest poważne: napastnicy mogą przesyłać webshale, backdoory i inne złośliwe artefakty, aby osiągnąć pełną kompromitację strony.

Ta luka jest oceniana jako krytyczna/wysoka (CVSS 10 w niektórych źródłach) i ma cechy znanej wykorzystywanej luki (KEV). Oznacza to, że szeroko zakrojone zautomatyzowane ataki i masowe skanowanie są prawdopodobne lub już trwają.

Dlaczego to jest krytyczne

  • Nieautoryzowane: przesyłanie może być wywołane przez każdego w Internecie — nie jest wymagane logowanie ani specjalne uprawnienia.
  • Dowolne przesyłanie plików: dowolna zawartość pliku i typy plików mogą być umieszczane na Twoim serwerze internetowym. Napastnicy często przesyłają PHP webshale lub skrypty, które umożliwiają zdalne wykonywanie kodu.
  • Szeroki zasięg: wtyczka jest używana przez wiele sklepów WooCommerce, więc oportunistyczni napastnicy będą skanować na dużą skalę.
  • Szybka eksploatacja po ataku: gdy webshal jest na miejscu, napastnicy mogą szybko przejść do działania — eskalować uprawnienia, tworzyć użytkowników administratorów, wykradać dane, przechodzić do innych hostów w sieci.
  • Automatyczna eksploatacja: napastnicy często przekształcają takie luki w zautomatyzowane boty, co prowadzi do kompromitacji na dużą skalę w ciągu kilku godzin.

Jeśli prowadzisz WordPress z WooCommerce i masz tę wtyczkę (lub Twoi klienci ją mają), traktuj to jak aktywne zdarzenie, dopóki nie udowodnisz inaczej.

Przegląd techniczny (co pozwala błąd)

Na wysokim poziomie luka ujawnia punkt końcowy (część wtyczki), który akceptuje przesyłanie plików i nieprawidłowo weryfikuje ani nie ogranicza przesyłanej zawartości lub uprawnień przesyłającego. Ponieważ obsługa żądań nie ma odpowiednich kontroli autoryzacji i/lub weryfikacji:

  • Każdy nieautoryzowany użytkownik może przesłać POST, który zawiera plik.
  • Przesłany plik jest przechowywany w lokalizacji dostępnej przez sieć (np. w wp-content/uploads lub w katalogu przesyłania wtyczek).
  • Istnieją niewystarczające kontrole typu pliku, treści i rozszerzenia — co oznacza, że pliki PHP lub PHP osadzone w innych typach plików mogą być akceptowane.
  • Może być niewystarczająca sanitizacja nazwy pliku/ścieżki, co pozwala na nadpisywanie lub dowolne umieszczanie w dozwolonych katalogach przesyłania.

Nie opublikujemy tutaj skryptów exploitów, ale z perspektywy obronnej należy założyć, że atakujący może umieścić PHP backdoor wszędzie tam, gdzie wtyczka zapisuje przesłane pliki.

Wpływ eksploatacji — rzeczywiste scenariusze ataków

Gdy atakujący może przesyłać pliki do lokalizacji dostępnej przez sieć, typowe łańcuchy ataków obejmują:

  1. Przesłanie lekkiego PHP webshella (jednolinijkowy shell webowy, który akceptuje polecenia lub evals base64).
  2. Użycie shella do wykonywania poleceń systemowych i badania środowiska:
    • Odczyt wp-config.php w celu pozyskania danych uwierzytelniających DB.
    • Utworzenie nowego użytkownika administratora WordPressa za pomocą wp-cli lub bezpośredniego wstawienia do DB.
    • Zainstalowanie trwałego backdoora w wp-includes lub plikach motywu.
  3. Przejście z tego hosta do innych hostów dzielących dane uwierzytelniające/sieci.
  4. Wdrożenie złośliwego oprogramowania do serwowania spamu, hostowania stron phishingowych lub wydobywania kryptowalut.
  5. Ekstrakcja danych klientów za pomocą zrzutów bazy danych lub bezpośredniego odczytu przesyłek (jeśli informacje o klientach są obecne).
  6. Manipulacja zamówieniami, saldami kart podarunkowych lub przepływami finansowymi w sklepach WooCommerce.

Ponieważ sklepy e-commerce obsługują płatności i PII, wpływ reputacyjny i zgodności takiego naruszenia jest bardzo znaczący.

Natychmiastowe kroki (pierwsze 60–120 minut)

Jeśli zarządzasz witryną WordPress, która używa Gift Cards for WooCommerce Pro (<=4.2.6), działaj natychmiast. Te są priorytetowe pod względem szybkości i wpływu.

  1. Wprowadź witrynę w tryb konserwacji lub tymczasowo wyłącz ją (jeśli to możliwe).
  2. Natychmiast wyłącz wtyczkę:
    • Z WP Admin: Wtyczki → dezaktywuj wtyczkę.
    • Jeśli nie możesz uzyskać dostępu do WP Admin, zmień nazwę katalogu wtyczki za pomocą SFTP/SSH (/wp-content/plugins/giftware → /wp-content/plugins/giftware.disabled).
  3. Ogranicz ruch przychodzący (poziom sieci):
    • Użyj panelu sterowania hostingu / zapory (lub swojego WAF), aby zablokować podejrzane adresy IP i zablokować dostęp do ścieżki punktu końcowego wtyczki, jeśli ją znasz (zobacz sekcję wykrywania dla wspólnych punktów końcowych).
    • Jeśli masz zaporę aplikacji webowej, włącz zestaw reguł lub łagodzenie dla tej podatności; jeśli nie, zastosuj ogólne zasady blokowania przesyłania (zobacz naszą sekcję zasad WAF poniżej).
  4. Zaktualizuj wtyczkę tylko wtedy, gdy dostawca wydał bezpieczną wersję z poprawkami dla twojej dokładnej wtyczki i środowiska WordPress. Jeśli nie ma jeszcze poprawki, NIE włącz ponownie podatnej wtyczki. (Jeśli istnieje bezpieczna poprawka, stosuj najlepsze praktyki aktualizacji wtyczek.)
  5. Natychmiast zrób zrzut lub kopię zapasową plików witryny i bazy danych do analizy kryminalistycznej (przechowuj kopie zapasowe poza serwerem).

Zrób to najpierw — są szybkie i zmniejszają bieżące narażenie.

Wykrywanie i dochodzenie — jak sprawdzić, czy zostałeś zaatakowany

Zakładaj, że skanowanie i automatyczne próby wykorzystania mają miejsce. Natychmiast sprawdź następujące wskaźniki.

  1. Szukaj plików PHP w katalogach przesyłania (powinny to być głównie media — obrazy, pdf-y itp. — a nie kod PHP):
# Znajdź pliki PHP w katalogach przesyłania
  1. Przeszukaj cały katalog główny w poszukiwaniu podejrzanych wzorców typowych dla webshelli:
grep -RIl --exclude-dir=vendor -e "eval(base64_decode" -e "assert(" -e "preg_replace(.*/e" /path/to/wordpress || true
  1. Szukaj niedawno zmodyfikowanych plików, których nie rozpoznajesz:
find /path/to/wordpress -type f -mtime -7 -printf '%TY-%Tm-%Td %TT %p
  1. Przejrzyj logi dostępu serwera WWW w poszukiwaniu podejrzanych żądań POST do ścieżek wtyczek, nietypowych przesyłek multipart/form-data lub żądań zawierających podejrzane nazwy plików:
    • Szukaj POST do punktów końcowych wtyczek (np. czegokolwiek pod /wp-content/plugins/giftware/ lub podobnych).
    • Szukaj żądań, które zawierają multipart/form-data z nazwami plików kończącymi się na Plik .php lub zawierającymi kod php.
    • Szukać User-Agent ciągi, które są puste lub znane jako boty skanujące, powtarzające się żądania przesyłania do punktów końcowych lub żądania z nietypowych adresów IP.
  2. Sprawdź bazę danych WordPressa pod kątem nieoczekiwanych użytkowników administratora:
# WP-CLI wyświetla wszystkich użytkowników z rolami
  1. Przejrzyj zaplanowane zadania (cron) pod kątem nieznanych zadań i sprawdź sumy kontrolne plików rdzenia i wtyczek pod kątem nieoczekiwanych zmian.
  2. Skanuj za pomocą renomowanego skanera złośliwego oprogramowania na poziomie plików i bazy danych (jeśli dostępne), aby wykryć znane sygnatury webshell.

Jeśli odkryjesz wskaźniki kompromitacji (IoC), traktuj to jako aktywne naruszenie i postępuj zgodnie z poniższymi krokami ograniczenia/likwidacji.

Czyszczenie i pełna naprawa (ograniczenie → eliminacja → odzyskiwanie)

Jeśli twoje dochodzenie wykazuje wskaźniki kompromitacji, postępuj zgodnie z pełnym procesem odpowiedzi na incydenty. Poniżej znajduje się praktyczna lista kontrolna:

  1. Ograniczenie
    • Utrzymuj stronę offline lub w trybie konserwacji.
    • Zablokuj dostęp do katalogów przesyłania (za pośrednictwem serwera WWW lub WAF).
    • Zresetuj dane logowania dla wszystkich uprzywilejowanych kont (administratorzy WordPressa, panel hostingowy, FTP/SFTP, baza danych, SSH). Używaj silnych, unikalnych haseł i włącz 2FA, gdzie to możliwe.
    • Zmień wszelkie klucze API, tokeny OAuth lub dane logowania do bram płatniczych ujawnione przez skompromitowane zmienne środowiskowe.
  2. Zachowanie dowodów
    • Wykonaj kopie zapasowe forensyczne plików i bazy danych; zachowaj logi (logi dostępu i błędów).
    • Jeśli planujesz zaangażować odpowiedzialnych za incydenty, te artefakty są krytyczne.
  3. Eradykacja
    • Usuń wszystkie złośliwe pliki i tylne drzwi. W szczególności:
      • Usuń wszelkie nieoczekiwane pliki PHP w katalogach przesyłania lub wtyczek.
      • Porównaj pliki wtyczek i motywów z oficjalnymi, czystymi kopiami. Zastąp zmodyfikowane pliki czystymi kopiami.
      • Zainstaluj ponownie pliki rdzenia WordPressa z zweryfikowanego źródła (wp core download lub zainstaluj ponownie z WP-Admin).
    • Oczyść bazę danych z wstrzykniętych opcji, złośliwych użytkowników administratora i podejrzanych zaplanowanych haków.
    • Użyj narzędzi do monitorowania integralności plików (lub git), aby zweryfikować, że pozostały tylko oczekiwane pliki.
  4. Powrót do zdrowia
    • Przywróć z czystej kopii zapasowej, jeśli dostępna i znana jako dobra (preferowane, gdy nie można niezawodnie oczyścić).
    • Zastosuj poprawki dostawcy: zaktualizuj podatny plugin do wersji z poprawką, gdy tylko będzie dostępna i zweryfikowana.
    • Stopniowo włączaj usługi, uważnie monitorując logi pod kątem ponownej infekcji.
  5. Wzmocnienie po incydencie.
    • Wymuś reset haseł dla wszystkich użytkowników.
    • Rotuj SSL/TLS oraz wszelkie dane uwierzytelniające, które mogły zostać ujawnione.
    • Dodaj lub wzmocnij logowanie i alerty dla podejrzanych przesyłek plików i zmian administracyjnych.
    • Stwórz raport incydentu (co się stało, kiedy, zakres, przyczyna, kroki naprawcze).

Jeśli nie masz pewności co do swojej zdolności do przeprowadzenia pełnego czyszczenia, skontaktuj się z profesjonalną usługą bezpieczeństwa doświadczoną w reagowaniu na incydenty WordPress.

Utwardzenie, aby zapobiec przypadkowemu przesyłaniu plików w przyszłości.

Kilka praktycznych kontrol utwardzających znacznie zmniejsza ryzyko i wpływ wad związanych z przypadkowym przesyłaniem plików.

  1. Zasada najmniejszego przywileju:
    • Instaluj tylko niezbędne wtyczki. Zmniejsz powierzchnię ataku.
    • Ogranicz dostęp do wtyczek według uprawnień — unikaj nadawania wtyczkom uprawnień do systemu plików lub podwyższonych uprawnień ponad to, co jest potrzebne.
  2. Spójne stosowanie poprawek:
    • Utrzymuj aktualne rdzenie WordPress, wtyczki i motywy. Subskrybuj powiadomienia o podatnościach dla używanych wtyczek.
  3. Wyłącz wykonywanie PHP w przesyłanych plikach:
    • Zablokuj wykonywanie plików PHP w katalogu przesyłania, umieszczając regułę .htaccess (Apache) lub regułę serwera:
    # Apache (.htaccess w wp-content/uploads)
  
    # Nginx (blok serwera)
  4. Ścisła walidacja typów plików:
    • Wymuszaj zarówno kontrole rozszerzeń, jak i typów MIME na poziomie aplikacji.
    • Sprawdź zawartość przesyłanych plików (magiczne bajty), aby upewnić się, że podpisy obrazów/pdf odpowiadają rozszerzeniu.
  5. Oczyść nazwy plików i ścieżki:
    • Upewnij się, że wtyczki odpowiednio oczyszczają i sanitizują nazwy plików. Unikaj akceptowania ścieżek plików i rozszerzeń dostarczonych przez użytkowników bezpośrednio.
  6. Użyj WAF i warstwowych zabezpieczeń:
    • Dobry WAF może przechwytywać złośliwe przesyłki lub blokować podejrzane wzorce, nawet gdy wtyczka jest podatna. (Zobacz nasze sugestie dotyczące reguł WAF poniżej.)
  7. Ciągłe monitorowanie:
    • Monitorowanie integralności plików (np. sumy kontrolne), regularne skanowanie złośliwego oprogramowania oraz alerty w logach dla podejrzanych POST-ów i zapisów plików.
  8. Wzmocnij uprawnienia serwera:
    • Uruchom PHP-FPM jako użytkownik bez uprawnień i upewnij się, że uprawnienia plików i folderów są zgodne z wytycznymi dotyczącymi wzmocnienia WordPressa (pliki 644, katalogi 755, wp-config.php 600/640).
  9. Najmniej dostępne dane uwierzytelniające do bazy danych:
    • Upewnij się, że uprawnienia użytkownika DB są ograniczone do tego, co potrzebuje WordPress (uprawnienia DROP lub FILE nie są wymagane).

Zasady WAF i serwera, które możesz zastosować już teraz (zalecane wzorce)

WAF jest jednym z najszybszych sposobów na zmniejszenie powierzchni ataku, gdy występuje podatność wtyczki, ale nie ma dostępnej poprawki. Poniżej znajdują się wzorce reguł i środki zaradcze na poziomie serwera, które możesz szybko wdrożyć.

Reguły blokowania o wysokiej wartości (ogólne, niezwiązane z dostawcą):

  • Blokuj przesyłki plików, które mają zawartość PHP:
    • Sprawdź przesłane treści pod kątem "<?php", ", "base64_decode(", "eval(" i blokuj.
  • Blokuj przesyłki z podejrzanymi nazwami plików:
    • Odrzuć pliki z rozszerzeniami takimi jak Plik .php, Plik .html, .php5, .phar, lub dodatkowymi kropkami jak image.jpg.php.
  • Ogranicz dozwolone typy treści dla znanych punktów końcowych przesyłania:
    • Zezwól tylko na image/jpeg, obraz/png, obraz/gif, aplikacja/pdf jeśli punkt końcowy dotyczy obrazów/dokumentów.
  • Ogranicz liczbę anonimowych POST-ów do punktów końcowych przesyłania wtyczek:
    • Jeśli masz punkt końcowy do przesyłania /wp-content/plugins/.../upload.php, ogranicz POSTy na minutę na IP.
  • Zablokuj surowe żądania POST do katalogów wtyczek z anonimowych źródeł:
    • Jeśli punkt końcowy nie jest przeznaczony do akceptowania publicznych przesyłek, zablokuj wszystkie publiczne POSTy do tej ścieżki.

Przykład pseudo-reguł WAF (dostosuj do składni swojego WAF):

  • Reguła A: Zablokuj, jeśli treść zawiera "<?php" LUB "eval(base64_decode"
  • Reguła B: Zablokuj, jeśli Content-Disposition nazwa pliku kończy się na Plik .php LUB zawiera Plik .php
  • Reguła C: Ogranicz szybkość /wp-content/plugins/giftware/* POSTy do 5 żądań na minutę na IP
  • Reguła D: Zablokuj żądania z podejrzanymi ciągami user-agent lub pustym UA z dużymi ładunkami POST

Środki zaradcze na poziomie serwera:

  • Zablokuj wykonanie w przesyłkach (zobacz wcześniejszy fragment .htaccess/nginx).
  • Jeśli wtyczka zapisuje do dedykowanego katalogu, spraw, aby ten katalog był niewykonywalny za pomocą reguł na poziomie serwera.

Pamiętaj: reguły WAF powinny być testowane najpierw na etapie testowym, gdzie to możliwe, aby uniknąć fałszywych pozytywów, które łamią legalne przesyłki użytkowników.

Jak sprawdzić na obecność trwałości i tylne drzwi (po oczyszczeniu)

Po usunięciu oczywistych złośliwych plików, wykonaj następujące kroki, aby wykryć trwałe tylne drzwi:

  • Przeskanuj ponownie za pomocą wielu niezależnych skanerów złośliwego oprogramowania (opartych na plikach i bazach danych).
  • Sprawdź wp-config.php pod kątem dodanego lub wstrzykniętego kodu.
  • Sprawdź aktywne pliki motywu (header.php, functions.php) oraz mu-wtyczki pod kątem wstrzykniętego kodu.
  • Szukaj podejrzanych .ico, .jpg, Lub .txt pliki, które zawierają kod PHP (napastnicy czasami ukrywają kod w źle nazwanych plikach).
  • Przejrzyj opcje_wp tabela dla podejrzanych siteurl, strona główna, lub zserializowanych ładunków, i aktywne_wtyczki dla nieznanych wpisów.
  • Eksportuj i audytuj zaplanowane zadania oraz wpisy cron (lista zdarzeń wp cron lub sprawdzając opcję opcje_wp "cron").
  • Jeśli korzystałeś z dostępu administratora podczas incydentu, upewnij się, że nie ma nieznanych zaplanowanych zadań, które przywracają tylne drzwi.

Kiedy przywrócić z kopii zapasowej, a kiedy próbować oczyścić

  • Przywróć z znanej dobrej kopii zapasowej (przed infekcją), gdy jest dostępna i gdy nie możesz pewnie znaleźć i usunąć wszystkich tylnych drzwi. To często najszybsza i najbardziej niezawodna droga.
  • Jeśli nie ma czystej kopii zapasowej, ręczne czyszczenie jest możliwe, ale wymaga głębszej pracy kryminalistycznej: zweryfikuj wszystkie pliki, przeskanuj pod kątem zafałszowanego PHP i zweryfikuj integralność bazy danych.
  • Po przywróceniu upewnij się, że zastosujesz wszystkie wzmocnienia i załatwisz lukę przed ponownym włączeniem usług.

Reakcja na incydent: komunikacja i zgodność

Jeśli obsługujesz dane klientów, możesz mieć obowiązki prawne lub umowne:

  • Udokumentuj harmonogram, zakres i podjęte działania.
  • Powiadom dostawcę hostingu i wszelkie strony trzecie (procesory płatności), jeśli dane uwierzytelniające lub dane klientów mogły zostać ujawnione.
  • Określ obowiązki sprawozdawcze dotyczące przepisów o ochronie prywatności (GDPR, CCPA itp.) i postępuj zgodnie z zaleceniami swojego doradcy prawnego.

Jak WP-Firewall pomaga (i dlaczego powinieneś rozważyć nasz darmowy plan)

Zacznij chronić swoje strony WordPress natychmiast z WP-Firewall Basic

W WP-Firewall budujemy i utrzymujemy praktyczne zabezpieczenia, które pomagają powstrzymać masowe ataki eksploatacyjne, takie jak te, które celują w tę lukę. Jeśli potrzebujesz szybkiego, niskokosztowego sposobu na zmniejszenie ryzyka już teraz, nasz plan Basic (Darmowy) zapewnia podstawową ochronę:

  • Podstawowa ochrona: zarządzana zapora sieciowa, nieograniczona przepustowość, WAF, skaner złośliwego oprogramowania i łagodzenie 10 największych zagrożeń OWASP.
  • Szybka konfiguracja: lekki plugin i zarządzane zasady, które zaczynają chronić Twoją stronę natychmiast.
  • Bezkosztowe łagodzenie: świetne do stagingu, niskiego ruchu lub stron, gdzie potrzebujesz natychmiastowej ochrony podczas łatania lub sprzątania.

Jeśli chcesz więcej automatyzacji i zdalnego usuwania zagrożeń:

  • Standardowy ($50/rok) dodaje automatyczne usuwanie złośliwego oprogramowania oraz możliwość dodawania do czarnej/białej listy do 20 adresów IP.
  • Pro ($299/rok) obejmuje miesięczne raporty bezpieczeństwa, automatyczne wirtualne łatanie nowo odkrytych luk oraz premium dodatki (Dedykowany Menedżer Konta, Optymalizacja Bezpieczeństwa, Token Wsparcia WP, Zarządzana Usługa WP i Zarządzana Usługa Bezpieczeństwa).

Zarejestruj się w darmowym planie i uzyskaj zarządzany WAF i skaner chroniący Twoją stronę w ciągu kilku minut: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Stworzyliśmy te poziomy, ponieważ szybkie kontrole ochronne i sprzątanie są często decydującym czynnikiem w powstrzymywaniu atakujących przed zakończeniem ich łańcucha zabójstw. Jeśli wolisz pomoc w trybie ręcznym, nasze wyższe poziomy obejmują bardziej proaktywne usługi usuwania zagrożeń.

Praktyczne polecenia wykrywania i usuwania zagrożeń (dodatek)

Odkrywanie plików i wyszukiwanie podejrzanych plików:

# Znajdź pliki PHP w uploads (częsty znak kompromitacji)

Kontrole bazy danych:

# Wypisz wszystkich użytkowników, aby znaleźć nieoczekiwane konta administratorów (użyj WP-CLI)

Reguły Apache / Nginx (niewykonywalne przesyłki):

Apache (.htaccess w wp-content/uploads):

<FilesMatch "\.(php|phtml)$">
  Deny from all
</FilesMatch>

Nginx (część bloku serwera):

location ~* /wp-content/uploads/.*\.(php|phtml|phps)$ {

Ostateczna lista kontrolna — priorytetowa

  1. Natychmiast dezaktywuj podatny plugin lub zmień nazwę jego katalogu.
  2. Zrób zrzut ekranu witryny i bazy danych do analizy.
  3. Zablokuj lub ogranicz publiczne POSTy do punktów końcowych wtyczek na poziomie zapory.
  4. Sprawdź pliki PHP w katalogach uploads i webroot. Usuń lub umieść w kwarantannie podejrzane pliki.
  5. Zresetuj dane logowania (WP admin, db, hosting, FTP) i włącz 2FA dla administratorów.
  6. Przeskanuj witrynę za pomocą wielu narzędzi i/lub zaangażuj profesjonalnych responderów do pełnego czyszczenia.
  7. Po oczyszczeniu zaktualizuj wtyczkę do wersji poprawionej dostarczonej przez dostawcę (lub zastąp alternatywną funkcjonalnością).
  8. Wprowadź długoterminowe kontrole: wyłącz wykonywanie PHP w uploads, wdroż zasady WAF i włącz monitorowanie integralności plików.

Jeśli zarządzasz wieloma witrynami WordPress, zautomatyzuj wykrywanie tych wskaźników w całej flocie (przeszukaj logi i uploads w poszukiwaniu plików PHP, powiadom o anonimowych POSTach do ścieżek wtyczek). Szybkie wykrycie i zatrzymanie ruchu atakującego daje ci czas na przeprowadzenie odpowiedniej naprawy.

Jeśli potrzebujesz wskazówek lub pomocy w wdrażaniu zasad WAF, skanowaniu lub odpowiedzi na incydenty, zespół bezpieczeństwa WP-Firewall jest dostępny. A jeśli chcesz wprowadzić natychmiastowe zabezpieczenia bez kosztów, wypróbuj nasz plan Basic (darmowy) i szybko uruchom zarządzany WAF oraz skanowanie złośliwego oprogramowania: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Bądź bezpieczny — aktualizuj swoje wtyczki i agresywnie blokuj ścieżki uploads i wykonania. Jeśli potrzebujesz listy kontrolnej incydentów lub pomocy dostosowanej do twojego środowiska, odpowiedz z wersją wtyczki i konfiguracją hostingu, a my dostarczymy szczegółowe wskazówki.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™