WordPress sajt hakovan? Šta odmah raditi
WordPress sajt hakovan
rwuac
June 10, 2026
Web dizajn

Otvorili ste vaš sajt i umesto normalnog sadržaja vidite nepoznate linkove, reklamni sadržaj ili poruku o suspenziji. Ili ste dobili email od hosting provajdera o malware-u. Ovakva situacija je stresna — ali u većini slučajeva potpuno rešiva, ako reagujete brzo i sistematično.

Nemojte paničiti i nemojte odmah brisati sajt. Pratite ove korake tačno ovim redosledom.

Korak 1: Odmah stavite sajt u maintenance mode

Pre svega ostaloga, sprečite dalje širenje štete. Kontaktirajte vašeg hosting provajdera i tražite privremenu suspenziju sajta ili ga stavite u maintenance mode. Hakovani sajt može aktivno da širi malware na vaše posetioce i ugrožava njihove podatke — to je vaša pravna odgovornost prema GDPR regulativi.

Ako možete da pristupite WordPress adminu, instalirajte SeedProd ili WP Maintenance Mode plugin i aktivirajte maintenance. Ako ne možete — pozovite hosting podršku odmah.

Korak 2: Promenite sve lozinke — sve, ne samo jednu

Pre nego što počnete sa čišćenjem, hakeru morate oduzeti pristup na svim ulaznim tačkama:

  • WordPress admin lozinka — za sve korisnike sa admin pristupom, ne samo vi
  • cPanel ili hosting kontrolna tabla — ovde mogu da menjaju fajlove direktno
  • FTP i SFTP pristup — česta meta brute force napada
  • MySQL baza podataka — ažurirajte i wp-config.php sa novom lozinkom
  • Email nalog vezan za WordPress — napadač može da resetuje sve ostale lozinke kroz email

Koristite lozinke od minimum 16 karaktera. Bitwarden je odličan besplatni password manager.

Korak 3: Identifikujte uzrok napada

Pre čišćenja morate znati kako je napadač ušao. Ovo su najčešći uzroci WordPress napada:

  • Zastareli pluginovi i teme (90%+ napada): svaki plugin koji nije ažuriran je potencijalna rupa
  • Slabe admin lozinke: automatizovani brute force napadi probaju hiljade kombinacija
  • Nulled (piratske) teme i pluginovi: uvek i bez izuzetka sadrže backdoor kod
  • Zastarela WordPress core verzija: svaka starija verzija ima javno dokumentovane ranjivosti
  • Nesiguran hosting: na prepunjenom shared hostingu kompromitovani nalog komšije može uticati na vaš

Instalirajte Wordfence Security plugin (besplatan) i pokrenite Full Scan. Wordfence identifikuje izmenjene fajlove i malware kod u vašim pluginovima.

Korak 4: Očistite malware

Opcija A: Restore iz backup-a (uvek preporučeno)

Ako imate backup napravljen pre napada — ovo je najbrže i najsigurnije rešenje. Restore celog sajta na verziju pre kompromitacije. Napomena: ako nemate redovne backupe, ovo je trenutak da to promenite kao prioritet broj jedan.

Opcija B: Ručno čišćenje (kad nema backup-a)

  • Preuzmite svežu kopiju WordPress core fajlova sa wordpress.org i zamenite sve sistemske fajlove
  • Deinstalirajte sve pluginove i reinstalirajte ih isključivo iz originalnih izvora
  • Detaljno proverite sve theme fajlove — posebno functions.php — na nepoznati PHP kod
  • Pregledajte bazu podataka za nepoznate admin korisnike i odmah ih obrišite
  • Skenirajte sve fajlove sa Wordfence ili Sucuri SiteCheck (besplatan online alat)
  • Proverite .htaccess fajl na neobične redirekcije

Korak 5: Uklonite Google Safe Browsing blacklist

Hakovani sajtovi koji su širili malware često završe na Google Safe Browsing listi. Proverite status na: transparencyreport.google.com/safe-browsing/search

Ako je sajt na listi — potpuno ga očistite po prethodnim koracima, zatim u Google Search Console idite na sekciju Security Issues i kliknite Request Review. Google odgovara za 1–3 radna dana.

Prevencija: kako zaštititi sajt od budućih napada

  • Ažurirajte WordPress, teme i pluginove odmah kad izađu nove verzije — uključite automatska ažuriranja za minor verzije
  • Two-Factor Authentication (2FA) za sve admin korisnike — WP 2FA plugin je besplatan
  • Promenite /wp-admin URL na nešto nestandardno — WPS Hide Login plugin eliminiše 99% brute force napada
  • Limitirajte broj login pokušaja — Wordfence blokira IP posle nekoliko neuspešnih pokušaja
  • Automatski backup svaki dan na udaljenu lokaciju — UpdraftPlus besplatni plan je dovoljan za start
  • Cloudflare Web Application Firewall — besplatni plan blokira poznate malicious bot-ove pre nego što stignu do vašeg servera
  • Nikad ne koristite nulled teme i pluginove — uštedite 50 €, platite 500 € za sanaciju za mesec-dva

Trebate hitnu pomoć? AdRise Studio nudi WordPress sigurnosnu intervenciju sa garantnim rokom sanacije. Kontaktirajte nas na adrisestudio.com/kontakt.

Share on Facebook
Share on Twitter

Ostavite komentar