Czemu warto unikać wordpress w 2025
WordPress, choć niezwykle popularny, w 2025 roku staje się ryzykownym wyborem. Jego największa zaleta – ogromna elastyczność dzięki wtyczkom – jest jednocześnie jego największą słabością. Odkryj, jak ekosystem pluginów i armia botów polujących na luki w zabezpieczeniach mogą narazić Twoją stronę na niebezpieczeństwo.
Paweł RomanowskiWłaściciel Creatify

2 min read

za 11 godzin

Web Development

WordPress to prawdziwy gigant, napędzający ponad 40% wszystkich stron internetowych na świecie. Ta popularność sprawia, że jest to oczywisty wybór dla wielu – ogromna społeczność, tysiące motywów i wtyczek pozwalających stworzyć niemal wszystko. Jednak w 2025 roku ta dominacja ma swoją mroczną stronę, a jest nią bezpieczeństwo. Skupmy się na jednym, ale kluczowym aspekcie: wtyczkach i polujących na nie botach.

250929 11h47m46s Screenshot

Co dokładnie dzieje się na tym zdjęciu?

Na zrzucie ekranu widzimy logi pochodzące z naszej aplikacji Nuxt 4, a konkretnie ostrzeżenia generowane przez Vue Router. Kluczowe informacje, które możemy z tego wyczytać, to:

  1. Zautomatyzowane żądania: Logi pojawiają się w bardzo krótkich odstępach czasu, często kilka razy na sekundę. To jednoznacznie wskazuje, że żądania nie są wysyłane przez człowieka, ale przez zautomatyzowanego bota.

  2. Poszukiwanie plików WordPressa: Bot próbuje uzyskać dostęp do specyficznych ścieżek, takich jak:

    • //wp-includes/ID3/license.txt

    • //xmlrpc.php?rsd

    • //shop/wp-includes/wlwmanifest.xml

    • //test/wp-includes/wlwmanifest.xml

    Wszystkie te pliki i foldery (wp-includes, xmlrpc.php) są charakterystyczne dla instalacji WordPressa. Bot nie wie, że naszea strona jest zbudowana w technologii Nuxt. Działa na oślep, sprawdzając, czy przypadkiem nie jest to WordPress z jakąś znaną luką w zabezpieczeniach.

  3. Ostrzeżenie Vue Router: Komunikat [Vue Router warn]: A resolved location cannot start with multiple slashes nie jest błędem serwera (jak np. 404 Not Found), ale ostrzeżeniem po stronie naszej aplikacji. Bot wysyła niepoprawnie sformatowane adresy URL (zaczynające się od //), a router w Nuxt (Vue Router) informuje o tym w logach. Mimo że to tylko ostrzeżenie, każde takie żądanie obciąża naszego serwer i aplikację, ponieważ musi ona je przetworzyć ale w przypadku Wordpress to realne zagrożenie. 

Cel bota jest prosty: przeskanować jak najwięcej adresów IP w internecie, wysyłając żądania do najpopularniejszych ścieżek związanych ze znanymi lukami w oprogramowaniu (w tym przypadku w WordPressie i jego wtyczkach). Jeśli bot otrzymałby odpowiedź wskazującą na istnienie podatnego na atak oprogramowania, strona zostałaby oflagowana jako potencjalny cel do dalszych, bardziej zaawansowanych ataków.

Można to porównać do złodzieja, który chodzi po parkingu i sprawdza, czy któreś drzwi w samochodach nie są otwarte. Nie celuje w konkretny model, po prostu szuka najłatwiejszej okazji.