Skip to content
Wróć do bloga
5 min czytaniaCase studyWordPressBezpieczeństwo

Strona klienta od 2019 roku bez aktualizacji. W zeszłym tygodniu zaczęła reklamować kasyno w Irlandii.

WordPress postawiony lata temu, zero backupu, kontakt do osoby, która go stawiała, dawno utracony. Zamiast oferty: bonus 500 € i spiny w Dublin Casino. Klasyk, który zdarza się co tydzień jakiejś polskiej firmie.

Co się stało

Strona, która od 2019 roku stała na WordPressie i przez ten czas nie dostała ani jednej aktualizacji. Pewnego dnia klienci zaczęli dzwonić, że „coś się dzieje na stronie". Wpisujesz adres, i zamiast oferty masz reklamę kasyna online z bonusem powitalnym po irlandzku.

To nie sabotaż, nie zemsta, nie nikt „celowo zaatakował akurat tę firmę". To zwykły bot, który skanuje internet w poszukiwaniu starych wtyczek. Trafił, wszedł, podmienił.

Dlaczego to działa

WordPress to około 43% internetu, co oznacza, że jest też 43% celów dla botów skanujących znane luki 24 godziny na dobę. Wtyczka, której nikt nie aktualizował od kilku lat, to nie „stara wtyczka". To otwarte drzwi z tabliczką „wejdź".

W tym przypadku atakujący nawet się nie ukrywał: wstrzyknął przekierowania, ale tylko dla ruchu z Google. Otwierasz stronę bezpośrednio, widzisz swoją ofertę. Wchodzisz z wyszukiwarki, lądujesz w kasynie. To tzw. cloaking, i jest dokładnie tak paskudny, jak brzmi: kradnie Ci ruch z SEO, a Ty nawet nie widzisz, że coś jest nie tak.

Dlaczego nie da się tego ogarnąć samemu

Standardowy scenariusz przy nieaktualizowanej stronie:

  • login do panelu administratora, utracony albo nieaktualny,
  • hasło, nie pamiętamy,
  • kontakt do osoby, która stronę stawiała, odbija lub nieaktywny,
  • hosting, wykupiony „gdzieś tam", w jakiejś firmie, której nazwa się rozmyła,
  • backupy, nie istnieją.

To moment, w którym większość firm rezygnuje i mówi: „trudno, postawimy nową stronę od zera". Tracąc przy okazji całą historię w Google, treści budowane latami i linki zwrotne z całego internetu. Z marketingowego punktu widzenia: powrót do punktu zero.

Wayback Machine, czyli internet niczego nie zapomina

Zanim się zacznie cokolwiek odbudowywać od zera, warto sprawdzić web.archive.org. Większość stron jest tam snapshotowana regularnie. W tym przypadku kropki w kalendarzu sięgały początku istnienia domeny. Wystarczy wybrać ostatnią „czystą" wersję i ma się komplet: opisy, zdjęcia, strukturę, dane techniczne.

Reszta to robota mrówki: ręczne wyciąganie treści, zdjęć, układu. Czasem Archive zapisał tekst, ale nie zapisał wersji 1200 px zdjęcia, wtedy ratuje Google Cache. Czasem trzeba dorobić od zera. Zasada jest jedna: żaden bajt nie ginie, dopóki ktoś chce go znaleźć.

Co zmieniło się przy okazji

Skoro i tak składamy stronę od nowa, to składamy ją mądrzej. Wynik:

  • Czas ładowania spadł z 6,8 s do 1,2 s (Lighthouse 98/100).
  • Strona w końcu wygląda jak strona, a nie rozjechana tabela na telefonie.
  • Zamiast WordPressa: statyczny stack. Nie ma admin panelu, nie ma wtyczek, nie ma czego włamać.
  • Stare URL-e przekierowane 301, pozycje w Google odzyskane w trzy tygodnie.
  • Formularz kontaktowy, który naprawdę działa. Poprzedni od dwóch lat wysyłał maile w pustkę.

Co możesz sprawdzić u siebie w 10 minut

  1. Otwórz swoją stronę w trybie incognito, najlepiej z innej sieci (np. dane mobilne). Cache w przeglądarce potrafi kłamać.
  2. Wpisz w Google site:twojadomena.pl. Jeśli widzisz tytuły po chińsku, koreańsku albo „Best Online Casino 2025", masz problem.
  3. Sprawdź datę ostatniej aktualizacji WordPressa i wtyczek. Wszystko starsze niż pół roku to żółta lampka. Starsze niż rok: czerwona.

Morał

Jeśli Twoja strona stoi na WordPressie, a ostatnia aktualizacja była dawno temu, to nie jest pytanie czy, tylko kiedy zadzwoni pierwszy klient z pytaniem o kasyno w Irlandii. Dobra wiadomość: nawet jak już zadzwoni, da się to odkręcić. Tylko taniej i szybciej jest zadziałać wcześniej.

Strona klienta od 2019 roku bez aktualizacji. W zeszłym tygodniu zaczęła reklamować kasyno w Irlandii. | Jakub Kurdziel