WordPress stále pohání drtivou většinu webů na internetu — a útočníci to vědí. Statistiky bezpečnostních expertů ukazují, že ekosystém WordPress je pod neustálým tlakem útoků, z nichž většina zneužívá zranitelnosti v šablonách a pluginech — ne v samotném jádru CMS. Analýzy ukazují, že 96 % všech zranitelností WordPressu je v pluginech, zatímco pouze malé procento je v šablonách a jádru systému.
Najít zranitelné místo dnes není těžké — kybernetické týmy od Wordfence hlásily koncem prosince 2025 až 459 nových zranitelností ve více než 200 pluginech a tématech během jediného týdne. A to není ojedinělý jev — jiná data ukazují, že v roce 2024 a 2025 bylo každý den zveřejněno desítky nových bezpečnostních slabin, které často zůstávají neopravené na stovkách tisíc webů dlouho poté, co o nich svět ví.
Konkrétním příkladem zranitelností s reálnými dopady je kritická chyba v pluginu Advanced Custom Fields: Extended, který byl aktivní na více než 100 000 WordPress webech — útočníci mohli prostřednictvím ní získat administrátorská práva bez přihlášení a převzít kontrolu nad celým webem. Podobně útoky zaměřené na pluginy jako Post SMTP ohrozily přes 400 000 stránek, umožňující převzetí účtů a manipulaci s obsahem.
A co další prostředí? I šablony nejsou imunní — kritická zranitelnost v tématu Service Finder umožňovala útočníkům obejít přihlášení a přihlásit se jako administrátor bez jakýchkoliv pověření, přičemž jen během několika měsíců bylo zaznamenáno více než 13 800 pokusů o zneužití.
Typy útoků jsou různé — od escalation privilege (zvýšení práv) přes backdoory a vzdálené spouštění kódu (RCE) až po automatické scannery, které v krátkém čase prověří miliony webů. Advanced AI-nástroje dnes dokážou rychle identifikovat slabá místa a navyšovat škálovatelnost útoků — což znamená, že i staré, dlouho neaktualizované weby jsou čím dál více v ohrožení.
Statistiky jsou nemilosrdné: každý den jsou tisíce nových útoků, mnoho z nich automatizovaných, a většina WordPress webů nemá adekvátní ochranu proti těmto hrozbám.
Co z toho plyne pro vás
WordPress je skvělý nástroj pro tvorbu webů, ale bez aktivního zabezpečení, pravidelných aktualizací a monitoringu se může stát největším rizikem vaší online přítomnosti. Útočníci nečekají — skenují a útočí 24/7, a to i na malé nebo střední weby.
Chcete tomu předcházet? Nenechte svůj web na náhodě — profesionální zabezpečení je dnes nezbytností, ne luxusem.