🛡️ Raport bezpieczeństwa: filtrowaniewody.pl (marzec 2025)
✅ 📋 Podstawowe informacje
| Właściwość | Wartość |
|---|---|
| CMS | WordPress 6.1.7 (❌ nieaktualny) |
| Serwer | LiteSpeed |
| IP | 86.106.91.26 |
| Token API WPScan | ✅ działa |
| Czas trwania skanu | ⏱ 5 minut 46 sekund |
⚠️ 🔍 WYKRYTE ZAGROŻENIA
🧩 1. Wtyczka Contact Form 7 – ZAINSTALOWANA i PODATNA
Wersja używana: 5.7 (❌ stara)
Dostępna wersja: 6.0.5
Wykryto 3 krytyczne podatności:
| CVE | Wersje podatne | Typ zagrożenia |
|---|---|---|
| CVE-2023-6449 | < 5.8.4 | Arbitrary File Upload (Editor+) |
| CVE-2024-2242 | < 5.9.2 | Reflected XSS |
| CVE-2024-4704 | < 5.9.5 | Open Redirect (unauthenticated) |
📌 Luka umożliwia m.in. przesyłanie złośliwych plików oraz ataki XSS – ryzyko wysokie.
➡️ Rekomendacja: zaktualizować Contact Form 7 do wersji 6.0.5 natychmiast.
🧩 2. Wtyczka WPBakery (js_composer) – ZAINSTALOWANA i BARDZO PODATNA
Wersja używana: 4.11.2.1 (⛔ bardzo stara)
Dostępna wersja: 8.3.1
Wykryto aż 9 poważnych podatności:
- 🔴 Stored XSS przez tagi tytułów, autorów, buttony
- 🔴 Local File Inclusion – możliwe zdalne wykonanie kodu
- 🔴 Stored XSS przez pola formularzy i atrybuty HTML
➡️ Rekomendacja: natychmiastowa aktualizacja do najnowszej wersji lub rezygnacja z wtyczki.
🎨 3. Motyw Centum – PODATNY
Wersja: 3.2.2
Motyw zawiera nieaktualną wersję Slider Revolution z lukami:
- 🧨 CVE-2015-1579 – Local File Disclosure
- 🧨 CVE-2014-9735 – Shell Upload (zdalne przejęcie strony)
➡️ Rekomendacja: usunąć lub zaktualizować motyw/narzędzie Slider Revolution.
🔐 4. Publicznie dostępne pliki WordPress
| Element | Wykryto? | Komentarz |
|---|---|---|
xmlrpc.php |
✅ Tak | Brute-force, DDoS – wyłączyć |
readme.html |
✅ Tak | Ujawnia wersję WP – usunąć |
robots.txt |
✅ Tak | Nie krytyczne |
wp-cron.php |
✅ Tak | Potencjalne ryzyko DDoS |
👤 5. Ujawnieni użytkownicy
- profirank – znaleziony przez JSON API
- oktagonmk – znaleziony przez brute-force ID
Rekomendacja:
– Ukryć konta w treściach i kanałach RSS
– Włączyć 2FA dla administratorów
📌 Szybka checklista: Co należy poprawić?
- 🔄 Zaktualizować WordPress do najnowszej wersji
- 🔄 Zaktualizować Contact Form 7 (5.7 → 6.0.5)
- 🔄 Zaktualizować WPBakery lub rozważyć jego usunięcie
- 🧨 Usunąć/ukryć plik
readme.html - 🚫 Zablokować dostęp do
xmlrpc.phpiwp-cron.php - 👥 Ukryć użytkowników:
profirank,oktagonmk - 🔐 Włączyć dwuskładnikowe uwierzytelnianie (2FA)
🔐 Co zyskujesz dodatkowo? Kompleksowy pakiet zabezpieczeń
Po wykonaniu audytu oferujemy wdrożenie wszystkich zaleceń oraz dodatkowy pakiet zabezpieczeń WordPress, który obejmuje m.in.:
- Ukrycie panelu logowania WordPress
- Ochronę przed atakami brute-force (limity prób logowania, blokady IP)
- Opcjonalne logowanie dwuetapowe (2FA) dla administratorów
- Dezaktywację zbędnych komponentów (np. nieużywane szablony, wtyczki, REST API)
- Ukrycie wersji WordPressa z kodu źródłowego, feedów i plików
- Blokada edycji plików motywów i wtyczek z poziomu panelu WP
- Zabezpieczenie plików konfiguracyjnych (wp-config.php, .htaccess) przed dostępem z zewnątrz
- Zabezpieczenie katalogu wp-content przed uruchamianiem złośliwego kodu
- Blokada XML-RPC, archiwów autorów oraz enumeracji użytkowników
- Konfiguracja automatycznych kopii zapasowych całej strony www
