Application Passwords z aktywnymi tokenami
Jeśli na Twojej stronie WordPress włączona jest funkcja Application Passwords (dostępna od WordPress 5.6) i istnieją aktywne tokeny, warto sprawdzić, czy wsz...
Automatyczne aktualizacje wyłączone
Jeśli na Twojej stronie wyłączone są automatyczne aktualizacje bezpieczeństwa WordPress, strona nie otrzymuje łatek na bieżąco. Domyślnie WordPress automatyc...
Brak wymuszenia SSL w panelu administracyjnym
Jeśli stała `FORCE_SSL_ADMIN` nie jest ustawiona na `true` w konfiguracji Twojego WordPressa, panel administracyjny (`/wp-admin/`) i strona logowania (`/wp-l...
Brakujące lub domyślne klucze bezpieczeństwa WordPress
Jeśli w pliku `wp-config.php` Twojej strony brakuje jednego lub więcej kluczy bezpieczeństwa, lub klucze zawierają wartości domyślne z pliku `wp-config-sampl...
Domyślny prefiks tabel bazy danych (wp_)
WordPress domyślnie nazywa wszystkie tabele w bazie danych z prefiksem `wp_` (np. `wp_users`, `wp_options`, `wp_posts`). Jeśli Twoja instalacja korzysta z te...
Edycja plików włączona w panelu WordPress
WordPress domyślnie udostępnia wbudowany edytor plików w panelu administracyjnym (Wygląd → Edytor plików motywu / Wtyczki → Edytor plików wtyczek). Jeśli sta...
Nieaktualna wersja WordPress
Jeśli na Twojej stronie działa wersja WordPress starsza niż najnowsza dostępna, strona może być narażona na znane ataki. WordPress regularnie wydaje aktualiz...
Nieaktualne wtyczki WordPress
Jeśli aktywne wtyczki na Twojej stronie mają dostępne nowsze wersje w repozytorium WordPress.org, każdy dzień zwłoki z aktualizacją zwiększa ryzyko. Sprawdź ...
Nieaktywne wtyczki i motywy na stronie
Jeśli na Twojej stronie zainstalowane są wtyczki lub motywy, które nie są aktywne, ich pliki nadal znajdują się na serwerze w katalogach `wp-content/plugins/...
Niebezpieczna konfiguracja PHP
Jeśli konfiguracja PHP na Twoim serwerze nie jest odpowiednio zabezpieczona, strona WordPress jest narażona niezależnie od tego, jak dobrze skonfigurowany je...
Niski limit pamięci PHP
Jeśli limit pamięci PHP (`memory_limit`) na Twoim serwerze jest ustawiony na mniej niż 64 MB, strona WordPress może działać niestabilnie. WordPress oficjalni...
Otwarta rejestracja użytkowników
Jeśli na Twojej stronie WordPress włączona jest publiczna rejestracja użytkowników (Ustawienia → Ogólne → „Każdy może się zarejestrować"), dowolna osoba może...
Pliki PHP w katalogu uploads
Jeśli w katalogu `wp-content/uploads/` Twojej strony WordPress znajdują się pliki z rozszerzeniem `.php`, masz potencjalny problem bezpieczeństwa. Ten katalo...
Pliki archiwalne i kopie zapasowe w katalogu głównym
Jeśli w katalogu głównym Twojej strony WordPress znajdują się pliki archiwalne — np. `.sql`, `.zip`, `.tar.gz`, `.rar`, `.7z` lub `.bz2` — masz poważny probl...
Podejrzane pliki PHP w katalogu głównym WordPress
Jeśli w katalogu głównym Twojej instalacji WordPress znajdują się pliki PHP, które nie należą do standardowej instalacji, mogą stanowić zagrożenie. WordPress...
Przewidywalny login konta administratora
Jeśli jedno z kont administratora na Twojej stronie używa łatwego do odgadnięcia loginu — takiego jak `admin`, `administrator`, `root`, `test`, `guest`, `use...
Publicznie dostępne repozytorium Git
Jeśli katalog `.git` lub pliki Git (np. `.gitignore`, `.gitmodules`) są publicznie dostępne w katalogu głównym Twojej strony, repozytorium kodu źródłowego zo...
Publicznie dostępny plik readme.html
Jeśli plik `readme.html` w katalogu głównym Twojej strony WordPress jest dostępny z poziomu przeglądarki, ujawnia informacje o wersji WordPressa. Sprawdź to ...
Publiczny endpoint REST API /wp-json/wp/v2/users
WordPress REST API udostępnia endpoint `/wp-json/wp/v2/users`, który domyślnie zwraca listę użytkowników strony — w tym loginy, wyświetlane nazwy, identyfika...
Publiczny endpoint wp-trackback.php
Jeśli plik `wp-trackback.php` jest publicznie dostępny na Twojej stronie, masz aktywny przestarzały endpoint. Trackbacki to mechanizm z wczesnych lat blogowa...
SCRIPT_DEBUG włączony na produkcji
Jeśli stała `SCRIPT_DEBUG` jest ustawiona na `true` w pliku `wp-config.php` Twojej strony, WordPress ładuje nieskompresowane (development) wersje plików CSS ...
Strona niedostępna (brak odpowiedzi)
Jeśli Twoja strona WordPress nie odpowiada na żądania HTTP, jest niedostępna dla odwiedzających, wyszukiwarek i usług zewnętrznych. Brak odpowiedzi oznacza, ...
WP_DEBUG włączony na produkcji
Jeśli na Twojej stronie produkcyjnej aktywna jest jedna lub więcej stałych debugowania WordPress, ujawniasz informacje techniczne publicznie. Dotyczy to stał...
XML-RPC jest włączony
XML-RPC (`xmlrpc.php`) to starszy protokół komunikacji z WordPressem, który pozwala zewnętrznym aplikacjom na zdalne publikowanie treści, zarządzanie komenta...
Zaległe zadania WP-Cron
Jeśli na Twojej stronie WordPress zalega duża liczba niewykonanych zadań WP-Cron (20 lub więcej), system planowania zadań nie działa prawidłowo. WordPress po...
Zbyt szerokie uprawnienia katalogów (777/775)
Jeśli kluczowe katalogi Twojej instalacji WordPress mają uprawnienia 777 lub 775, dostęp do zapisu jest zbyt szeroki. Dotyczy to najczęściej katalogu główneg...
Zbyt szerokie uprawnienia pliku wp-config.php
Jeśli plik `wp-config.php` na Twojej stronie ma uprawnienia, które pozwalają na odczyt przez zbyt szeroką grupę użytkowników, stanowi to poważne zagrożenie. ...
Zbyt wiele kont administratora
Jeśli na Twojej stronie WordPress istnieje wiele kont z rolą administratora (5 lub więcej), warto zweryfikować, czy wszystkie są potrzebne. Rola administrato...
Zmodyfikowane pliki rdzenia WordPress
Jeśli pliki rdzenia WordPress na Twojej stronie różnią się od oficjalnych checksumów opublikowanych przez WordPress.org, oznacza to, że jeden lub więcej plik...
Znalezione podatności CVE w WordPress
System wykrył, że na Twojej stronie działa komponent (rdzeń WordPress, PHP, MySQL/MariaDB, wtyczka lub motyw) z potwierdzoną podatnością bezpieczeństwa zarej...