Το WordPress δεν μολύνεται επειδή “είναι κακό”. Μολύνεται όταν μένει απροστάτευτο, παλιό, γεμάτο plugins άγνωστης ποιότητας ή σε hosting χωρίς σωστή απομόνωση. Για μια ελληνική επιχείρηση, ένα μολυσμένο WordPress δεν είναι μόνο τεχνικό πρόβλημα. Μπορεί να σημαίνει χαμένες φόρμες, warning στην Google, spam emails από τον server, πτώση SEO, blacklist και απώλεια εμπιστοσύνης.
Η προστασία δεν γίνεται με ένα plugin ασφαλείας και τέλος. Χρειάζεται πλάνο: ενημερώσεις, backups, δικαιώματα, έλεγχος plugins, WAF, monitoring και διαδικασία αποκατάστασης. Το official WordPress hardening guide ξεκινά από μια βασική αρχή: η ασφάλεια είναι μείωση ρίσκου, όχι απόλυτη εγγύηση.
Από πού μπαίνει συνήθως το malware
Οι πιο συνηθισμένες είσοδοι είναι παλιά plugins, nulled premium plugins, παλιά themes, αδύναμοι κωδικοί, admin accounts χωρίς 2FA, writable αρχεία, κακό hosting isolation, εκτεθειμένα backups και φόρμες ή builders με ευπάθειες. Το πρόβλημα δεν είναι μόνο το WordPress core. Το οικοσύστημα plugins και themes είναι τεράστιο και άνισο.
Η Patchstack στο mid-year WordPress vulnerability report 2025 ανέφερε ότι δημοσίευσε 4.462 ευπάθειες στο πρώτο εξάμηνο του 2025, ποσοστό 66,60% των named vulnerabilities που καταγράφηκαν εκείνη την περίοδο. Σημείωσε επίσης 3.044 ευπάθειες σε plugins και ότι τα plugins ήταν υπεύθυνα για το 89% των ευπαθειών. Αυτό δεν σημαίνει ότι πρέπει να φοβάσαι κάθε plugin. Σημαίνει ότι πρέπει να επιλέγεις, να ενημερώνεις και να παρακολουθείς.
Το λάθος των nulled plugins
Τα nulled plugins είναι από τις πιο ακριβές “οικονομίες” που μπορεί να κάνει μια επιχείρηση. Ένα premium plugin από άγνωστη πηγή μπορεί να περιέχει backdoor, spam injector, fake admin user, redirect malware ή code που ξυπνά εβδομάδες μετά. Ακόμη και αν φαίνεται ότι δουλεύει, δεν έχεις update channel και δεν ξέρεις τι τρέχει μέσα.
Για σοβαρό site, plugin ή theme πρέπει να έρχεται από WordPress.org, από γνωστό vendor ή από developer που μπορεί να υποστηρίξει τον κώδικα. Το WordPress hardening guide το λέει καθαρά: μην παίρνεις plugins και themes από μη αξιόπιστες πηγές.
Βασική άμυνα
Η πρώτη γραμμή άμυνας είναι updates. Core, plugins, themes και PHP πρέπει να μένουν σε υποστηριζόμενες εκδόσεις. Πριν από updates χρειάζεται backup. Σε επαγγελματικό site χρειάζεται και staging, ώστε να μη σπάσει live checkout ή φόρμα.
Η δεύτερη γραμμή είναι πρόσβαση. Ισχυροί κωδικοί, 2FA, ελάχιστα admin accounts, σωστοί ρόλοι χρηστών και απενεργοποίηση file editing από το dashboard μειώνουν το ρίσκο. Η τρίτη γραμμή είναι permissions και hosting. Τα αρχεία plugin δεν πρέπει να είναι γενικά writable. Το hosting πρέπει να έχει απομόνωση λογαριασμών, σύγχρονο PHP, WAF/ModSecurity όπου γίνεται και καθαρά backups.
Monitoring και backups
Backup που δεν έχει δοκιμαστεί δεν είναι backup. Χρειάζεται καθημερινό ή συχνότερο backup ανάλογα με το site, off-server αποθήκευση και δοκιμή επαναφοράς. Για e-shop, το backup θέλει ειδική προσοχή, γιατί δεν θέλεις να χάσεις παραγγελίες που έγιναν μετά το τελευταίο snapshot.
Το monitoring πρέπει να ελέγχει uptime, αλλαγές αρχείων, ύποπτα redirects, νέους admin users, blacklists, Google Safe Browsing, cron jobs, άγνωστα PHP files σε uploads και ασυνήθιστη αποστολή email. Όσο νωρίτερα βρεθεί το πρόβλημα, τόσο μικρότερο το κόστος καθαρισμού.
Τι κάνεις αν μολυνθεί
Αν το site μολυνθεί, μην πατάς απλά update και ελπίζεις. Πρώτα πάρε forensic backup της τρέχουσας κατάστασης, για να μπορείς να δεις τι έγινε. Μετά βάλε το site σε ασφαλή λειτουργία, άλλαξε κωδικούς, έλεγξε admin users, καθάρισε αρχεία, σύγκρινε core με καθαρές εκδόσεις, αντικατάστησε plugins/themes από επίσημες πηγές και έλεγξε database για injected scripts.
Μετά τον καθαρισμό χρειάζεται κλείσιμο της τρύπας. Αν δεν βρεις το entry point, το site μπορεί να ξαναμολυνθεί. Τέλος, ενημέρωσε Search Console, έλεγξε sitemap, robots.txt, canonical και indexation. Το malware συχνά αφήνει SEO spam σε κρυφές σελίδες ή redirects.
Πρακτική γραμμή άμυνας
Η προστασία WordPress από malware είναι διαδικασία, όχι κουμπί. Λίγα καθαρά plugins, συχνά updates, σωστό hosting, 2FA, backups, monitoring και σοβαρή συντήρηση μειώνουν δραστικά το ρίσκο. Το φθηνό, απροστάτευτο WordPress μπορεί να κοστίσει πολύ περισσότερο από τη μηνιαία φροντίδα του.