Jak sprawdzić bezpieczeństwo strony internetowej? 7 kroków do samodzielnej weryfikacji

Prowadzisz firmę i masz stronę internetową. Ale kiedy ostatni raz sprawdzałeś, czy jest bezpieczna? Jeśli odpowiedź brzmi „nigdy” albo „nie wiem jak” — ten artykuł przeprowadzi Cię przez 7 konkretnych kroków, które możesz wykonać sam w ciągu 15 minut.

Przez 25 lat pracy ze stronami internetowymi naprawiałem dziesiątki zhakowanych witryn. W większości przypadków właściciel nie wiedział o problemie, dopóki nie zadzwonił klient z pytaniem, dlaczego strona przekierowuje na kasyno online.

Krok 1: Sprawdź certyfikat SSL

Wejdź na swoją stronę i spójrz na pasek adresu. Czy widzisz kłódkę? Kliknij na nią — certyfikat powinien być ważny i wystawiony na Twoją domenę. Jeśli przeglądarka wyświetla ostrzeżenie „Niezabezpieczona” — Twoja strona przesyła dane (w tym hasła i formularze kontaktowe) otwartym tekstem. To pierwszy problem do naprawienia.

Krok 2: Sprawdź wersję oprogramowania

Jeśli Twoja strona działa na WordPressie — zaloguj się do panelu administracyjnego. W sekcji „Kokpit” zobaczysz aktualną wersję WordPressa. Porównaj ją z najnowszą dostępną wersją na wordpress.org. Jeśli różnica wynosi więcej niż jedną wersję — masz potencjalny problem.

To samo dotyczy wtyczek i motywu. Wejdź w „Wtyczki” — jeśli widzisz powiadomienia o dostępnych aktualizacjach, szczególnie przy wtyczkach takich jak WooCommerce, Contact Form 7 czy Yoast — aktualizuj je jak najszybciej.

Nie wiesz na czym działa Twoja strona? Wejdź na wappalyzer.com — to darmowe narzędzie, które pokaże Ci technologie użyte na dowolnej stronie.

Krok 3: Przetestuj nagłówki bezpieczeństwa

Wejdź na stronę securityheaders.com i wpisz adres swojej witryny. Dostaniesz ocenę od A+ do F. Większość stron, które widuję, ma ocenę D lub F — to znaczy, że brakuje podstawowych zabezpieczeń, takich jak Content-Security-Policy, X-Frame-Options czy Strict-Transport-Security.

Ocena niższa niż B oznacza, że Twoja strona jest podatna na kilka typowych ataków. To nie jest trudne do naprawienia — ale wymaga wiedzy o konfiguracji serwera.

Krok 4: Sprawdź czy Google nie oznaczył Twojej strony

Wpisz w Google: site:twojadomena.pl. Przejrzyj wyniki. Czy widzisz strony, których nie rozpoznajesz? Tytuły w obcych językach? Linki do farmaceutyków lub kasyn? Jeśli tak — Twoja strona prawdopodobnie została zainfekowana i Google już o tym wie.

Dodatkowo wejdź na transparencyreport.google.com/safe-browsing i sprawdź swoją domenę. Google powie Ci wprost, czy wykrył na niej złośliwe oprogramowanie.

Krok 5: Zeskanuj stronę pod kątem malware

Wejdź na sitecheck.sucuri.net i wpisz adres swojej strony. To darmowy skaner, który sprawdzi, czy na stronie znajduje się znany malware, czy strona jest na czarnych listach, i czy wykrywa podejrzane skrypty.

Pamiętaj — darmowe skanery sprawdzają tylko to, co widoczne z zewnątrz. Mogą nie wykryć malware ukrytego głęboko w plikach serwera. Ale to dobry pierwszy krok.

Krok 6: Przetestuj formularze i logowanie

Czy Twój panel logowania jest pod standardowym adresem /wp-admin lub /wp-login.php? Jeśli tak — jest celem automatycznych ataków 24 godziny na dobę. Sprawdź, czy masz:

Ograniczenie prób logowania (np. wtyczka Limit Login Attempts). Silne hasło (nie „firma123”). Najlepiej — dwuskładnikowe uwierzytelnianie (2FA).

Przetestuj też formularze kontaktowe — czy mają CAPTCHA? Czy nie wysyłają danych mailem w postaci niezaszyfrowanej?

Krok 7: Sprawdź szybkość ładowania

To nie jest bezpośrednio kwestia bezpieczeństwa, ale wolna strona często oznacza problemy z konfiguracją, nieoptymalne obrazy lub przestarzały kod — a to bywa powiązane z lukami bezpieczeństwa. Wejdź na pagespeed.web.dev i sprawdź wynik. Poniżej 50 punktów na mobile — czas na interwencję.

Co zrobić z wynikami?

Jeśli Twoja strona przeszła wszystkie 7 kroków bez problemów — gratulacje, jesteś w mniejszości. Jeśli znalazłeś problemy — nie panikuj, ale też nie ignoruj ich. Każdy z tych problemów da się naprawić.

Mogę przeprowadzić dla Ciebie profesjonalny audyt bezpieczeństwa — głębszy niż te 7 kroków, obejmujący analizę plików na serwerze, konfigurację serwera, uprawnienia i logi dostępu. Pierwsza konsultacja jest bezpłatna.