Co jakiś czas otrzymuję wiadomości od zaniepokojonych właścicieli stron postawionych na WordPressie. Zgłaszają, że podczas odwiedzania ich strony pojawia się ostrzeżenie od AVG – znanego antywirusa – że witryna jest zainfekowana. Najczęściej komunikat dotyczy czegoś poważnego, jak Exploit Blackhole Kit. Brzmi groźnie? I bardzo dobrze, bo to oznacza, że trzeba potraktować sprawę poważnie.

I nie – to nie jest problem, który „sam przejdzie”. Im szybciej się za to zabierzesz, tym większa szansa, że nie stracisz odwiedzających, klientów i reputacji.

Czym jest Exploit Blackhole Kit i dlaczego to problem?

Blackhole Exploit Kit to złośliwe narzędzie, które już od ponad dekady jest wykorzystywane do infekowania niczego nieświadomych użytkowników. W dużym uproszczeniu – jeśli Twoja strona została zainfekowana takim exploitem, to:

• może automatycznie przekierowywać odwiedzających do podejrzanych stron,
• serwować złośliwe skrypty tylko wybranym użytkownikom – np. tym, którzy trafili z Google,
• infekować komputery odwiedzających poprzez przestarzałe przeglądarki, wtyczki, Javy itp.,
• działać „na raty” – np. tylko raz na kilka wizyt, żeby trudniej było go wykryć.

I tu zaczynają się schody. Bo właściciel strony często tego nie widzi – wszystko wygląda u niego OK. Ale klient, który wchodzi z wyszukiwarki i widzi ostrzeżenie „ta strona może być niebezpieczna”, od razu rezygnuje. A przecież jedna utracona wizyta to jedno utracone zamówienie.

Ale AVG się myli, prawda? Moja strona wygląda normalnie…

Oczywiście – czasem zdarzają się fałszywe alarmy (false positives). Ale jeśli antywirus wyświetla konkretną nazwę zagrożenia (jak Exploit.Blackhole), to szanse na to, że to pomyłka, są bardzo małe.

Co gorsza, wirus może być ukryty głęboko – np. w bazie danych, w kodzie szablonu, w ukrytym pliku .php, a nawet jako fragment obfuskowanego JavaScriptu. W dodatku często działa tylko w określonych warunkach – więc możesz wejść na stronę pięć razy i nie zobaczysz nic podejrzanego. Ale ktoś inny – owszem.

Co robić, gdy AVG zgłasza zagrożenie?

Nie panikuj – ale nie ignoruj

Pierwszy impuls to zazwyczaj: „To na pewno błąd antywirusa”. Ale nie warto tego bagatelizować. Nawet jeśli to nie Blackhole, to komunikat oznacza, że Twoja strona wygląda podejrzanie dla oprogramowania antywirusowego, a to oznacza realne problemy z zaufaniem użytkowników i widocznością w Google.

Sprawdź stronę przez darmowe skanery online

Choć nie są idealne, to mogą dać Ci szybki pogląd na sytuację:

• Sucuri SiteCheck – to bardzo popularne narzędzie, które sprawdzi kod źródłowy Twojej strony, a także czy znajduje się ona na czarnych listach (np. Google, Norton, AVG).
• VirusTotal – to kombajn, który analizuje stronę przez kilkadziesiąt silników antywirusowych. Dzięki temu wiesz, czy problem jest jednostkowy czy powszechny.
• Google Safe Browsing – sprawdzisz, czy Google uważa Twoją stronę za bezpieczną. Wystarczy wpisać w przeglądarce:
  https://transparencyreport.google.com/safe-browsing/search i tam wkleić adres strony.

Te narzędzia analizują to, co widzi przeglądarka – czyli HTML i JavaScript. Ale nie grzebią w Twoim serwerze – dlatego…

Jeśli podejrzewasz infekcję – trzeba zejść głębiej

Online skanery to tylko powierzchnia. Prawdziwe zagrożenia kryją się w plikach WordPressa i w bazie danych. Dlatego:

• Przejdź na FTP lub panel hostingowy i sprawdź pliki pod kątem podejrzanych dodatków: np. pliki .php z dziwnymi nazwami, obecność base64, eval(), iframes.
• Przeskanuj serwer narzędziami typu ClamAV, Maldet, ImunifyAV – wiele hostingów oferuje takie funkcje.
• Zajrzyj do bazy danych – często złośliwy kod jest podczepiony do treści wpisów, komentarzy lub meta.

Jeśli nie wiesz jak – lepiej to zlecić specjaliście. Warto też sprawdzić logi serwera – może uda się zidentyfikować źródło infekcji.

Zaktualizuj wszystko, co się da

Wirusy najczęściej wchodzą przez dziurawe wtyczki, motywy lub przestarzałą wersję WordPressa. Dlatego:

• Zaktualizuj WordPressa do najnowszej wersji.
• Usuń wszystkie nieużywane motywy i wtyczki.
• Zaktualizuj wszystko, co jest aktywne.
• Zmień hasła do panelu admina, FTP, bazy danych.

Zabezpiecz stronę na przyszłość

Skoro już przeżywasz tę przygodę, to warto się przygotować na przyszłość:

• Zainstaluj wtyczki zabezpieczające: Wordfence, Sucuri Security, MalCare – będą monitorować pliki i ostrzegać o zmianach.
• Włącz dwuskładnikowe logowanie (2FA) dla administratorów.
• Skonfiguruj Firewall (WAF) – np. przez Cloudflare lub Wordfence.
• Rób regularne kopie zapasowe – minimum raz w tygodniu, najlepiej automatycznie.
• Rozważ wdrożenie monitoringu uptime/security – np. UptimeRobot, Better Uptime.

A co jeśli to fałszywy alarm?

Zdarza się, choć rzadko. Jeśli podejrzewasz, że to pomyłka, warto:

• Sprawdzić, czy Twoja strona nie została wcześniej dodana do czarnych list;
• Usunąć stare przekierowania, pliki .htaccess lub pozostałości po nieaktualnych wtyczkach;
• Wysłać zgłoszenie do AVG, Google lub innego AV z prośbą o ponowne sprawdzenie strony.

Kiedy poprosić o pomoc?

Jeśli nie masz pewności, co dalej, albo nie czujesz się na siłach, nie czekaj aż będzie gorzej. Wiele firm – w tym moja – oferuje darmowe skanowanie strony pod kątem wirusów. Potrzebujemy tylko dostępu do serwera, żeby dokładnie przyjrzeć się, co się dzieje, i przygotować konkretną wycenę naprawy.

Podsumowanie

1. Sprawdź, czy ostrzeżenie nie jest prawdziwe – użyj Sucuri, VirusTotal, Google Safe Browsing.
2. Zaloguj się na serwer i przejrzyj pliki oraz bazę danych.
3. Zaktualizuj WordPressa, wtyczki i motywy – usuń te nieużywane.
4. Wdróż zabezpieczenia – firewall, wtyczki antywirusowe, kopie zapasowe.
5. Poproś o pomoc, jeśli coś jest niejasne – im szybciej działasz, tym mniej szkód.