← Wszystkie porady

Zmodyfikowane pliki rdzenia WordPress

Co to oznacza

Jeśli pliki rdzenia WordPress na Twojej stronie różnią się od oficjalnych checksumów opublikowanych przez WordPress.org, oznacza to, że jeden lub więcej plików rdzeniowych (np. w katalogach wp-includes/, wp-admin/) został zmodyfikowany po instalacji. Możesz to sprawdzić za pomocą WP-CLI poleceniem wp core verify-checksums.

WordPress udostępnia API checksumów dla każdej wersji, co pozwala dokładnie stwierdzić, które pliki zostały zmienione.

Jakie jest ryzyko

  • Wstrzyknięty kod złośliwy — najczęstszą przyczyną zmodyfikowanych plików rdzenia jest infekcja malware. Atakujący modyfikują pliki takie jak wp-includes/load.php czy wp-admin/includes/class-wp-upgrader.php, dodając kod, który przetrwa standardowe aktualizacje.
  • Niewidoczny backdoor — zmiany w plikach rdzenia mogą być subtelne — jedna dodatkowa linijka kodu w pliku o tysiącu linii. Bez porównania z checksumami jest praktycznie niewykrywalna.
  • Przekierowania i spam SEO — popularna technika to modyfikacja wp-includes/template-loader.php w celu przekierowania ruchu z wyszukiwarek na strony spamowe.
  • Kradzież danych — zmodyfikowane pliki mogą przechwytywać dane logowania, dane formularzy kontaktowych lub informacje o płatnościach.

Uwaga: w rzadkich przypadkach modyfikacja może być zamierzona (np. hack dewelopera), ale to zła praktyka — zmiany w rdzeniu są nadpisywane przy aktualizacji.

Jak to naprawić

  1. Przywróć oryginalne pliki — najszybsza metoda to reinstalacja rdzenia WordPress:
    • Z panelu: Kokpit → Aktualizacje → Zainstaluj ponownie wersję X.Y.Z
    • Przez WP-CLI: wp core download --force --skip-content
  2. Nie nadpisuj wp-config.php i wp-content/ — reinstalacja rdzenia nie dotyka tych lokalizacji.
  3. Porównaj zmiany — przed nadpisaniem sprawdź, co dokładnie zostało zmienione. Może to wskazać wektor ataku.
  4. Przeprowadź pełny audyt — zmodyfikowany rdzeń to silny symptom włamania. Sprawdź:
    • Konta użytkowników
    • Pliki w uploads/
    • Wtyczki i motywy
    • Bazę danych (tabela wp_options — sprawdź siteurl, home, active_plugins)
  5. Nigdy nie modyfikuj plików rdzenia — jeśli potrzebujesz zmienić zachowanie WordPress, użyj filtrów, akcji i wtyczek mu-plugins.