A WordPress ma is az internet gerincét alkotja – az összes weboldal közel felét ezen a rendszeren építik. Épp ezért nem meglepő, hogy a hackerek is előszeretettel célozzák meg. Nem kell ehhez különösebb szakértelem a támadók részéről: rengeteg automatizált eszköz létezik, amelyek másodpercenként pásztázzák az internetet, és kihasználják a frissítetlen bővítmények, gyenge jelszavak vagy régi WordPress verziók által hagyott réseket.
Ha most épp azzal szembesülsz, hogy valami nem stimmel az oldaladon – furcsán viselkedik, spam e-maileket küld a nevedben, vagy épp egy ismeretlen oldalra irányítja a látogatókat –, ne ess pánikba. Megoldható. De gyorsan kell cselekedni.
1. Honnan tudod, hogy baj van?
Néha nyilvánvaló, néha egyáltalán nem az. A legárulkodóbb jel, hogy a Chrome böngésző vagy a Google Keresés piros figyelmeztetést dob fel az oldaladra: „Ez az oldal káros lehet”. Ha ezt látod, szinte biztos, hogy valami nincs rendben.
De a tünetek nem mindig ennyire egyértelműek. Előfordul, hogy az oldal hirtelen becsigázik, és semmiféle technikai ok nem magyarázza. Vagy a látogatók azt jelzik, hogy ismeretlen oldalakra kerülnek, amikor rákattintanak valamire – te magad viszont semmit nem veszel észre, mert a kártevő csak bizonyos felhasználóknak (például mobilról érkezőknek) mutatja a rosszindulatú tartalmat.
Más esetekben hirdetések jelennek meg az oldalon, amiket nem te tettél oda. Felugró ablakok, gyógyszerhirdetések, szerencsejátékos oldalak. Az admin felületen ismeretlen felhasználókat találsz. Esetleg kapsz egy e-mailt a Google Search Console-tól, hogy manuális intézkedés született az oldaladon – ez azt jelenti, hogy a Google már észlelte a problémát.
Ha csak gyanakszol, de nem vagy biztos benne, futtass le egy gyors külső ellenőrzést. Ehhez nem kell semmiféle technikai tudás:
Google Safe Browsing – beírod az oldal címét, és megmutatja, szerepel-e a Google veszélyes oldalak listáján
Sucuri SiteCheck – kívülről megvizsgálja az oldalt ismert malware-aláírások és blacklistek alapján
VirusTotal – több mint 70 különböző víruskereső motor véleményét összesíti az oldaladról
2. Az első lépések – és miért számít a gyorsaság
Ha megerősödött a gyanú, az első fél óra kritikus. Minél tovább fut a fertőzött oldal, annál több látogató kap potenciálisan kártékony tartalmat, és annál mélyebbre ágyazódhat a rosszindulatú kód.
Az első dolgod: tedd offline az oldalt. Erre a legegyszerűbb módszer egy karbantartás módot aktiváló plugin, például a WP Maintenance Mode. Ha már az adminfelülethez sem férsz hozzá, a tárhelyszolgáltatódnál általában van lehetőség a domain ideiglenes felfüggesztésére vagy egy egyszerű „hamarosan visszatérünk” oldal megjelenítésére.
Ezután cseréld ki az összes jelszót. Mindegyiket. A WordPress admin jelszavát, az FTP jelszót, az adatbázis jelszót és a tárhelyes cPanel jelszót is. Ha nem tudod, hol találod ezeket, a tárhelyszolgáltatód supportja segít. Ne halaszd el – a régi jelszavak hagyása olyan, mintha kicserélnéd a zárat, de otthagynád a kulcsot az ajtóban.
3. Mentés – még a fertőzött állapotból is
Ez furcsán hangzik, de mielőtt bármit törölnél vagy módosítanál, készíts teljes mentést a jelenlegi állapotról. Ha valamit elrontasz a takarítás során, vagy a jövőben szükség lenne arra, hogy visszanézd mi és hogyan történt, hálás leszel magadnak.
A mentéshez a legkényelmesebb módszer az UpdraftPlus plugin. Telepítés után egy gombnyomással elmenti az összes fájlt és az adatbázist is, és küldheti Google Drive-ra, Dropboxba, vagy egyszerűen letöltheted a saját gépedre. Ha már volt korábban egy vírusmentes mentésed – és van dátuma, ami biztosan a fertőzés előttről való –, azt is nézd meg. Sok esetben a legegyszerűbb megoldás egy tiszta visszaállítás.
4. A kártevő eltávolítása – biztonsági pluginekkel
A legjobb eszközök, amelyek elérhetők és laikusok számára is kezelhetők, automatikusan megtalálják és sok esetben el is távolítják a kártékony kódokat.
Wordfence Security
A Wordfence ingyenes változata is meglepően erős. Telepítés után indíts egy teljes vizsgálatot – ez az összes WordPress fájlt és az adatbázist is átnézi, és jelzi, ha valamiben gyanús kódot talál. A találatokat nem kell feltétlenül azonnal törölni: előbb nézd át a listát, a Wordfence általában megmondja, pontosan mi a probléma és mit javasol.
Sucuri Security
A Sucuri szintén ingyenesen telepíthető WordPress pluginként, és hasonlóan alapos vizsgálatot végez. Ha a prémium változatot választod, az automatikus malware-eltávolítást és blacklist-törlést is magában foglalja – ami fertőzés esetén sokat érhet, mert a Google-tól való eltávolítási kérelmet is intézik helyetted.
MalCare
A MalCare egyik előnye, hogy a szkennelés nem a te szerveredet terheli le, hanem felhőben fut. Ez különösen hasznos, ha a tárhelyszolgáltatód már figyelmeztetetett a magas erőforráshasználatra. Egykattintásos eltávolítást kínál az ismert malware-típusokhoz.
Mindhárom eszköz hasonlóan működik: telepítés, aktiválás, teljes szkennelés futtatása, majd a találatok áttekintése. Ha bizonytalan vagy a talált fájlokkal kapcsolatban, ne töröld automatikusan az összeset – előbb kérd ki egy szakember véleményét, mert előfordulhat, hogy legitim fájlokat is megjelöl a rendszer.
5. WordPress, pluginok, sablon – frissíts mindent
Ha eltávolítottad a kártevőt, azonnal frissíts mindent, amit csak tudsz. Az elavult szoftver a hackerek legjobb barátja – egy ismert sebezhetőség, amelyet az adott plugin már régen javított, de te nem frissítettél, könnyen újabb fertőzéshez vezet.
Menj be a WordPress adminba, és nézd meg az Irányítópult > Frissítések oldalt. Ott egyszerre frissítheted a WordPress core-t, az összes plugint és a sablont is. Ez általában pár kattintás, és nem szokott problémát okozni – bár nagyobb frissítések előtt azért nem árt egy gyors mentés.
Amire különösen figyelj: az inaktív pluginok. Sokan ott hagynak feltelepítve, de kikapcsolt állapotban régi bővítményeket, amelyeket „majd egyszer még használnak”. Ezek ugyanolyan veszélyt jelentenek, mint az aktívak, sőt – figyelmen kívül maradnak. Ha nincs rá szükséged, töröld.
És ha bármilyen „nulled” – azaz illegálisan feltört prémium – plugint vagy sablont használsz, azonnal távolítsd el. Ezek szinte minden esetben tartalmaznak valamilyen rejtett backdoor kódot, amit a sablon terjesztője épített bele. Nem véletlen, hogy ingyen adja. 2026-ban ez az egyik vezető fertőzési forrás maradt.
Esettanulmány: Hogyan raktam rendbe egy feltört jóga stúdió weboldalát
Tavaly nyáron keresett meg egy budapesti jóga stúdió tulajdonosa. Kétségbeesett e-mailt kaptam tőle: az oldala hirtelen egy külföldi gyógyszeres webshopra irányította a látogatókat, a Google pedig már felvette a veszélyes oldalak listájára. Az online foglalási rendszere elérhetetlenné vált, az ügyfelei elkezdtek írni, hogy valami gyanúsat láttak – néhányan azt hitték, az ő adatait is ellopták.
Amikor megnyitottam az oldalt, a fertőzés azonnal látszott: a főoldal forráskódjában egy obfuszkált JavaScript blokk volt elrejtve, ami mobileszközökön automatikusan átirányított. Asztali gépen, bejelentkezett állapotban teljesen normálisan működött az oldal – ezért nem vette észre a tulajdonos.
Az első dolgom az volt, hogy karbantartás módba tettem az oldalt, és megkértem, cserélje ki az összes jelszavát. Kiderült: a WordPress admin jelszó „yoga2019″ volt, és ugyanezt használta az FTP-hez is. A Wordfence scan lefuttatása után 23 fertőzött fájlt talált – köztük a wp-login.php egy módosított változatát, amely minden bejelentkezési adatot egy külső szerverre küldött el.
A fájlok manuális átnézésekor kiderült, hogy a fertőzés forrása egy három éve nem frissített kapcsolatfelvételi form plugin volt, amelynek ismert sebezhetőségét a hackerek automatikusan kihasználták. Maga a fertőzés valószínűleg hetek óta jelen volt – csak nemrég aktiválódott az átirányítás.
A megtisztítás után frissítettem az összes plugint és a sablont, töröltem a nem használt bővítményeket (összesen 11 darabot, amelyek közül 6 évek óta inaktív volt), és beállítottam a Wordfence tűzfalát és a kétlépcsős azonosítást. A Google-nál benyújtottam az eltávolítási kérelmet a Search Console-on keresztül – ez 36 órán belül megérkezett.
A legfontosabb tanulság ebből az esetből nem technikai jellegű volt: a tulajdonos hetente ránézett az oldalra, de sosem nézett a motorháztető alá. Nem volt értesítése, ha valami megváltozott, és nem volt automatikus mentése sem. Az oldal három éve futott „autopilóton” – és ez volt a valódi sebezhetőség.
6. Védd le a bejelentkezési oldalt
A WordPress bejelentkezési felülete – az a bizonyos /wp-login.php – az egyik leggyakrabban támadott pont. Automatizált botok másodpercenként próbálgatnak jelszó-kombinációkat, és ha nincs semmilyen védelem, előbb-utóbb bejutnak.
A Wordfence vagy a Limit Login Attempts Reloaded plugin beállítható úgy, hogy meghatározott számú sikertelen próbálkozás után ideiglenesen blokkolja az adott IP-t. Ez nem csodaszer, de drasztikusan csökkenti a sikeres brute-force támadások esélyét.
A kétlépcsős azonosítás szintén sokat segít – erről részletesebben a következő részben.
7. Kétlépcsős azonosítás bevezetése
Ha az oldaladnak van admin felülete, és te vagy bárki más belép oda jelszóval, tegyetek kétlépcsős azonosítást. Ez azt jelenti, hogy a jelszó megadása után az alkalmazás kér egy egyszeri, időkorláttal rendelkező kódot is – amit a telefonodra küld, vagy egy hitelesítő alkalmazás (Google Authenticator, Authy) generál.
A WP 2FA plugin ezt egyszerűen megoldja, és ingyenesen elérhető. Telepítés után lépésről lépésre végigvezet a beállításon. Ha valaki ellopja a jelszavadat, a második faktor nélkül akkor sem tud belépni.
Ez talán a legkönnyebben bevezethető, mégis az egyik leghatékonyabb biztonsági lépés, amit megtehetsz.
8. Tűzfal és automatikus védelem
A biztonsági plugin önmagában nem elég – egy tűzfal folyamatos védelmet nyújt azáltal, hogy valós időben szűri a beérkező forgalmat, és blokkolja az ismert rosszindulatú IP-ket, kéréseket, támadási mintákat.
A Wordfence Firewall ingyenes változata is tartalmaz tűzfal funkciót – az első aktiválás után egy „learning mode” időszakba lép, ahol megtanulja az oldal normál forgalmát, majd ezután kapcsolja be az aktív védelmet.
Ha Cloudflare-t használsz (és érdemes), a Cloudflare ingyenes csomagja is tartalmaz alapszintű WAF védelmet és DDoS-blokkolást. 2026-ra a Cloudflare Turnstile lett az egyik legjobb CAPTCHA alternatíva – nem kell már semmiféle „kattints a járdákra” rejtvényt megoldani, mégis hatékonyan szűri ki a botokat.
9. Mentések – rendszeresen, automatikusan
Egyetlen mentés nem mentés. Ha csak akkor keletkezik biztonsági másolat, amikor eszedbe jut, az nem sokat ér.
Az UpdraftPlus ingyenes verziója lehetővé teszi, hogy napi, heti vagy havi ütemezéssel automatikusan készüljön mentés, és az egyenesen a Google Drive-odra, Dropboxodba vagy akár e-mailbe kerüljön. Beállítás: max. 15 perc. Aztán nem kell rá gondolni.
Ne tárold a mentést ugyanazon a szerveren, ahol az oldal fut. Ha a szerver kompromittálódik, a mentés is odavész.
10. Rendszeres ellenőrzés – de nem manuálisan
Senki sem fog minden nap manuálisan végigböngészni fájlokat és logokat. Nem is kell. Az automatizált értesítések elvégzik helyetted a munka nagy részét.
Regisztrálj a Google Search Console-ba, ha még nem tetted – ez teljesen ingyenes, és közvetlenül értesít, ha a Google biztonsági problémát észlel az oldaladon. A Wordfence és a Sucuri is küld e-mailes riasztásokat, ha valami megváltozik a fájlrendszerben.
Az UptimeRobot ingyenes csomagja percenként ellenőrzi, hogy az oldal elérhető-e, és SMS-ben vagy e-mailben értesít, ha leáll. Praktikus nemcsak támadásoknál, hanem szerverhiba esetén is.
11. Hogyan kerülj le a Google és más blacklistekről?
Ha az oldalad már felkerült a Google veszélyes oldalak listájára, a tisztítás után kérvényezheted az eltávolítást. Ez nem automatikus – aktívan kell kérni.
Nyisd meg a Google Search Console-t, menj a Biztonsági problémák menüpontra, és ha a problémát megoldottad, kattints a Felülvizsgálat kérése gombra. Írj röviden arról, mit találtál és hogyan javítottad – a Google általában 24–72 órán belül felülvizsgálja a kérelmet.
Más listák – McAfee, Norton, különféle spam-szűrők – szintén saját eltávolítási folyamattal rendelkeznek. A Sucuri SiteCheck megmutatja, hogy melyik listákon szerepel még az oldalad, így egyenként végigjárhatod őket.
12. Mikor kérj profi segítséget?
Nem minden fertőzés oldható meg önállóan, és nincs ebben semmi szégyen. Ha az oldal a tisztítás után újra fertőzötté válik, az általában azt jelenti, hogy maradt egy backdoor – egy rejtett belépési pont, amelyen keresztül a támadó újra és újra visszajut. Ezeket megtalálni és eltüntetni már komoly szakértelmet igényel.
Hasonlóképpen: ha webshopot üzemeltetsz és vásárlói adatok is érinthetők, ne próbálkozz egyedül. GDPR szempontból kötelezettségeid vannak, és a helyzet kezelése jogi és adatvédelmi vonzatokat is hordoz.
