Była środa, godzina 11:23. Marcin otworzył laptopa, żeby sprawdzić zamówienia z poprzedniego dnia. Zamiast panelu e-sklepu zobaczył komunikat Google: „Ta strona może wyrządzić szkodę Twojemu komputerowi”. Trzy lata budowania obecności w sieci. Setki pozycji w Google. Baza 4 000 klientów. Wszystko – w ciągu jednej nocy – przestało istnieć w sposób, w jaki je znał. Co go zawiodło? Hasło, a konkretnie: „sklep123456″. Choć Marcin to wymyślona postać, to scenariusz jest jak najbardziej prawdziwy. Ataki słownikowe na strony polskich firm zdarzają się każdego dnia. Nie dlatego, że hakerzy są geniuszami, ale dlatego, że my jesteśmy tak bardzo przewidywalni. Jak się przed nimi uchronić? Zapoznaj się z naszymi wskazówkami.
Co to jest atak słownikowy i czym różni się od brute force?
Zanim przejdziemy do obrony, warto zrozumieć, z czym mamy do czynienia.
Atak słownikowy (Dictionary Attack) polega na automatycznym testowaniu gotowych list loginów i haseł – nie losowych kombinacji znaków, lecz realnych fraz zaczerpniętych z poprzednich wycieków danych.
Atak słownikowy wykorzystuje to, co hakerzy wiedzą o ludzkich nawykach – wybieramy przewidywalne frazy, używamy tych samych haseł w kilku miejscach i rzadko je zmieniamy.
Skąd biorą się te listy? Z naszych własnych błędów, z każdego dużego wycieku danych. NordPass opublikował listę 200 najpopularniejszych haseł używanych w kilkudziesięciu krajach świata. Każde z nich to kolejna pozycja w słowniku ataków hakera.
Sprawdź, jak nie stać się ofiarą ataku słownikowego >>>
Rodzaje ataków słownikowych – od prostych do groźnych
Nie wszystkie ataki słownikowe wyglądają tak samo. Są trzy główne odmiany, a ich złożoność rośnie wraz z poziomem determinacji atakującego.
- Proste ataki słownikowe to najbardziej znana i najłatwiejsza metoda łamania hasła: bot kolejno próbuje odgadnąć hasła z listy – „admin”, „123456″, „password” – i czeka, aż któreś zadziała. Bez żadnej modyfikacji, bez sprytu. Skuteczne dokładnie dlatego, że proste hasła nadal dominują.
- Ataki ze zmodyfikowanym słownikiem są sprytniejsze. Algorytm generuje różne kombinacje haseł na bazie popularnych wzorców – „password” staje się „P@ssw0rd”, „admin” – „Admin123!”. Przełamuje tym samym słabe próby zabezpieczeń polegające na wymuszaniu jednej wielkiej litery lub cyfry na końcu.
- Credential stuffing to najgroźniejsza odmiana. Zamiast słownika atakujący używa par login–hasło przejętych dosłownie z poprzednich wycieków. Jeśli te same dane uwierzytelniające były używane w kilku serwisach – jedno przejęcie otwiera drzwi do wszystkich pozostałych. To dlatego wycieki danych z pozornie nieistotnych serwisów mogą mieć wpływ na bezpieczeństwo Twojego panelu administracyjnego.
Czym atak słownikowy online różni się od ataku typu brute force?
Atak typu brute force to metoda siłowa, która testuje wszystkie możliwe kombinacje znaków – aaa, aab, aac… Brute force polega na czystej mocy obliczeniowej. Prosty atak brute na 8-znakowe hasło z samych małych liter to ponad 200 miliardów kombinacji. Brzmi groźnie, ale jest powolny.
Atak słownikowy różni się tym, że pomija żmudne sprawdzanie wszystkich kombinacji i od razu celuje w konkretne wzorce. Podczas gdy skuteczność ataku brute force drastycznie spada wraz z długością hasła, ataki słownikowe są od niej praktycznie niezależne. Przykład? Kombinacja słów i cyfr „MojeFirmowe2024″ ma aż 16 znaków, ale jeśli figuruje w bazie wycieków, złamanie hasła zajmie ułamek sekundy.
Istnieje jeszcze password spraying, czyli jedna fraza, wiele kont. Atakujący próbuje jednego popularnego hasła (np. „Wiosna2024!”) kolejno na dziesiątkach kont – świadomie, by nie przekroczyć progu blokady po nieudanych próbach logowania na jednym adresie. Co istotne, ma to miejsce w obrębie jednej organizacji (np. haker sprawdza hasło Wiosna2024! dla loginów biuro@firma.pl, jan.kowalski@firma.pl, kasia@firma.pl), dlatego tak ważne, aby każdy pracownik posiadał swoje unikalne hasło. To jeden z najczęstszych przypadków ataku słownikowego wymierzonego w organizacje z wieloma użytkownikami.
Dlaczego „123456″ nadal wygrywa? Twoja firma może być następna
Załóżmy, że budujesz sklep. Kładziesz grube mury, montujesz solidne drzwi, a potem… zostawiasz je otwarte na oścież, bo klucz włożyłeś w zamek od zewnętrznej strony. Tak właśnie wygląda strona WordPress z hasłem „123456″ i loginem „admin”.
Raport NordPass “Top 200 Most Common Passwords: Generations change, password habits remain 2025“*, oparty na analizie 2,5 TB danych z wycieków w 44 krajach, nie pozostawia złudzeń.
Hasło „123456″ po raz piąty z rzędu okazało się najpopularniejszym hasłem korporacyjnym na świecie. Drugie miejsce zajął „admin”.
Wszystkie 10 najpopularniejszych haseł korporacyjnych z tej listy można złamać w mniej niż sekundę. Popularne ataki słownikowe zaczynają się właśnie od nich.
Tu pojawia się paradoks, który dotyka wielu przedsiębiorców: im bardziej zajęty jesteś rozwijaniem firmy, tym mniej czasu poświęcasz na bezpieczeństwo strony. A im mniej czasu poświęcasz na bezpieczeństwo – tym bardziej prawdopodobne, że dane logowania do panelu są wciąż domyślne lub bliskie domyślnym.
Jak naprawdę wygląda atak minuta po minucie?
Oto, jak w praktyce wyglądają popularne ataki słownikowe wymierzone w panel WordPressa:
- Bot odnajduje twój formularz logowania pod adresem
/wp-admin– zajmuje mu to sekundy, bo adresy paneli są standardowe i znane. - Pobiera słownik – listę przejętych wcześniej kombinacji haseł liczącą miliony pozycji.
- Zaczyna testować: „admin/123456″, „admin/password”, „admin/nazwatwojejdomeny”… Bez limitu prób logowania może sprawdzić dziesiątki tysięcy fraz na godzinę.
Gdy atak słownikowy próbuje danej kombinacji po raz setny – a właściciel strony nie dostaje żadnego powiadomienia – czas pracuje wyłącznie na korzyść atakującego. Przypadki ataków brute i słownikowych mają często ciche, wielogodzinne przebiegi. O włamaniu dowiadujesz się, gdy Google wyświetla ostrzeżenie przy Twojej stronie albo gdy klienci dzwonią z pytaniem, dlaczego przekierowuje ich na stronę z farmaceutykami.
Kto traci najwięcej i kiedy ryzyko jest najwyższe?
Pewnie nie raz myślisz sobie, że jesteś zbyt małym graczem na rynku online, żeby być celem i ofiarą ataku słownikowego. Muszę Cię zmartwić – to jeden z najkosztowniejszych błędów, jakie może popełnić przedsiębiorca. Boty przeprowadzające ataki słownikowe nie czytają nazwy Twojej firmy, one skanują porty, szukają formularzy, testują. Automatycznie. Bez przerwy.
Ofiarą ataku słownikowego tak samo łatwo może stać się właściciel jednoosobowej działalności, jak i właściciel firmy z pięćdziesięcioma pracownikami. Różnica tkwi wyłącznie w zabezpieczeniach, dlatego tak ważna jest edukacja w zakresie bezpieczeństwa cybernetycznego.
4 momenty, gdy jesteś szczególnie narażony
Raport Sucuri “SiteCheck Mid-Year 2024” ** pokazuje skalę zjawiska. W pierwszej połowie 2024 roku narzędzie przeskanowało ponad 53 miliony witryn, wykrywając 681 182 zainfekowane strony. Za większością z nich stał ten sam schemat – brak aktualizacji i słabe dane logowania.
Kiedy Twoja firma jest narażona najbardziej na łamanie haseł? Oto 4 momenty, podczas których próby ataków zdarzają się najczęściej.
Zaraz po uruchomieniu strony
Nowe domeny są szybko indeksowane, a domyślne dane uwierzytelniające często pozostają niezmienione przez tygodnie. To czas, gdy atakujący mają największą szansę.
Po migracji lub aktualizacji środowiska
Zmiany techniczne potrafią po cichu wyłączyć wtyczki bezpieczeństwa. Właściciel nie zdaje sobie sprawy z tego, że ochrona przestała działać – a boty już to wiedzą.
W czwartym kwartale roku
Raport “State of Brute Force Attacks in WordPress: 2025” firmy Limit Login Attempts Reloaded*** potwierdza, że okres od października do grudnia to statystycznie najniebezpieczniejszy czas dla stron internetowych. Liczba ataków na domenę wzrosła między lutym a grudniem 2024 roku o 120%. Właściciele sklepów są zajęci sprzedażą, a atakujący doskonale o tym wiedzą.
Dane pokazują, że 38,3% wszystkich ataków siłowych ma miejsce w czwartym kwartale. Ten wzrost zbiega się z okresem świątecznych zakupów, kiedy atakujący wykorzystują platformy e-commerce i firmy działające przy ograniczonym nadzorze IT.
Gdy brakuje monitoringu
Nieudane próby logowania pozostają niezauważone, a atakujący mają nieograniczony czas na przeprowadzanie ataków. Bez logów nie wiesz, że ktoś od trzech tygodni próbuje odgadnąć hasło do twojego panelu.
Ile kosztuje brak zabezpieczeń? Liczby, które robią wrażenie
Zanim przejdziemy do rozwiązań, warto przez chwilę zostać przy konsekwencjach. Bo najczęstszym argumentem, który słyszą specjaliści od bezpieczeństwa jest: „u mnie nic się nie stanie”. Dane mówią natomiast coś zupełnie innego.
Raport IBM “Cost of a Data Breach 2025“ **** oparty na analizie 604 organizacji z 16 krajów, wskazuje, że globalny średni koszt naruszenia bezpieczeństwa danych wyniósł w 2024 roku 4,88 mln USD – to o 10% więcej niż rok wcześniej. Skradzione dane logowania były najczęstszym wektorem ataku (16% wszystkich incydentów), a co najbardziej niepokojące – wykrycie i opanowanie takiego włamania trwało średnio 292 dni. To oznacza, że aż prawie rok atakujący móoże swobodnie poruszać się po Twoim systemie bez żadnych podejrzeń.
Dla właściciela polskiej firmy z małą stroną na WordPressie liczby w dolarach mogą brzmieć abstrakcyjnie. Przeliczmy to jednak na realia: włamania przy pomocy ataku słownikowego skutkują najczęściej usunięciem strony z wyników Google wraz z ostrzeżeniem dla odwiedzających, wyciekiem danych klientów i ryzykiem kar na gruncie RODO, a niekiedy też całkowitą utratą treści, jeśli nie ma aktualnej kopii zapasowej. Odbudowanie pozycji SEO po penalizacji to tygodnie lub miesiące. Odbudowanie zaufania klientów – czasem znacznie dłużej.
Skąd wiesz, czy Twoja strona jest już narażona? Sprawdź w minutę
Tu pojawia się pytanie, które zadaje sobie większość przedsiębiorców po przeczytaniu tego rodzaju artykułu: „No dobrze, ale czy mnie to dotyczy? Czy moja strona jest bezpieczna?”
Problem w tym, że intuicja tu nie wystarczy. Luki w zabezpieczeniach, takie jak przestarzała wersja WordPressa, podatna wtyczka czy nieważny certyfikat SSL, są z definicji niewidoczne dla właściciela strony. Widzi je za to bot przeprowadzający atak słownikowy.
Żeby odpowiedzieć na to pytanie bez angażowania specjalisty i bez wiedzy technicznej, WeNet udostępnił bezpłatne narzędzie Cyberskaner. Wystarczy wpisać adres swojej strony, a w mniej niż minutę otrzymujesz raport z oceną ryzyka: informację o tym, jak Google ocenia bezpieczeństwo Twojej domeny, czy certyfikat SSL jest ważny i aktualny oraz checklistę konkretnych działań do poprawy.
Cyberskaner nie wymaga instalacji, rejestracji ani wiedzy technicznej. To dobry punkt startowy – szczególnie jeśli nie pamiętasz, kiedy ostatnio ktokolwiek sprawdzał bezpieczeństwo Twojej strony.
Jak skutecznie bronić się przed atakami słownikowymi? Praktyczny przewodnik
Dobra wiadomość jest taka, że blokowanie ataków brute i słownikowych nie wymaga specjalistycznej wiedzy ani dużego budżetu. Najskuteczniejsze metody ochrony są w zasadzie bezpłatne. Zła wiadomość? Trzeba je po prostu wdrożyć, bo same w sobie nie zadziałają.
Krok 1. Zacznij od podstaw – zmień login i stosuj silne hasła
Login „admin” to pierwszy wpis na każdej liście słownikowej. Zmień go na cokolwiek nieprzewidywalnego już dziś. Połowę pracy masz za sobą.
Silne hasła – długie i unikalne, o minimalnej długości 16 znaków – to drugi fundament. Eksperci NordPass zalecają minimum 20 znaków z mieszanką liter, cyfr i znaków specjalnych. Stosowanie silnych haseł jest szczególnie ważne dla kont administracyjnych, bo to właśnie one są celem ataków słownikowych w pierwszej kolejności.
Menedżer haseł generuje i bezpiecznie przechowuje różne kombinacje haseł dla każdego serwisu z osobna. Dzięki temu nie musisz ich pamiętać i nie masz pokusy, żeby używać tego samego hasła wszędzie.
Krok 2. Włącz uwierzytelnianie dwuskładnikowe (2FA)
Uwierzytelnianie dwuskładnikowe (2FA) to dziś jedna z najprostszych i zarazem najskuteczniejszych barier przed atakami słownikowymi. Nawet jeśli atakującemu uda się złamanie hasła – bez jednorazowego kodu z telefonu nie dostanie się do panelu.
Aplikacje takie jak Google Authenticator generują kody zmieniające się co 30 sekund. Żaden słownik, żadna lista wycieków, żaden credential stuffing nie przełamie tej bariery bez fizycznego dostępu do Twojego telefonu.
Według danych cytowanych przez Sucuri**, wdrożenie 2FA zmniejsza liczbę nieautoryzowanych prób logowania o około 73%.
Krok 3. Ogranicz próby logowania i zmień adres panelu
Domyślnie WordPress nie ogranicza liczby prób logowania, co czyni go idealnym środowiskiem do przeprowadzania ataków słownikowych. Wtyczka Limit Login Attempts Reloaded blokuje adres IP po kilku nieudanych próbach i dzięki temu skutecznie uniemożliwia masowe testowanie kombinacji. Bot traci dostęp, zanim przetestuje nawet 1% swojego słownika.
Drugą linią obrony i uzupełnieniem jest zmiana adresu /wp-admin na własny, nieoczywisty ciąg znaków. Gdy bot nie może znaleźć formularza, atak słownikowy online w ogóle nie rusza. Wtyczka WPS Hide Login wykonuje tę zmianę bez ingerencji w kod strony i pozwala na ukrycie formularza przed botami, które szukają wejścia w standardowych miejscach. Jeśli bot nie widzi drzwi, nie może zacząć w nie pukać.
Krok 4. Zainstaluj zaporę – WAF i systemy IPS
Web Application Firewall (WAF) oraz Intrusion Prevention System (IPS) to Twoja najsilniejsza, zewnętrzna warstwa ochrony. Działają one jak inteligentny filtr przed wejściem na stronę:
- WAF analizuje ruch przychodzący i odrzuca boty, zanim te w ogóle dotrą do Twojego formularza logowania,
- IPS monitoruje aktywność wewnątrz witryny i aktywnie blokuje wzorce zachowań charakterystyczne dla hakerów.
Dzięki temu duetowi większość cyberataków słownikowych zostaje wygaszona w chmurze, nie obciążając zasobów Twojego serwera. Rozwiązania takie jak Cloudflare oferują darmowy plan z podstawowym WAF, który jest w zupełności wystarczający dla większości polskich firm.
Rozwiązania takie jak Cloudflare (z darmowym planem dla małych firm) działają jak filtr, który przepuszcza prawdziwych klientów, a zatrzymuje podejrzane skrypty.
Krok 5: Technologia to nie wszystko
Pamiętaj jednak, że technologia to tylko połowa sukcesu. Edukacja w zakresie bezpieczeństwa dopełnia całą strukturę.
Jeśli zatrudniasz pracowników z dostępem do panelu – każdy z nich musi posiadać własne, unikalne dane logowania i silne hasło. Świadomy zespół, który wie, jak rozpoznać zagrożenie i dlaczego nie należy używać haseł typu „Firma2026!” to ostatni, najmocniejszy element Twojej tarczy obronnej.
Co warto zapamiętać? Jeden miesiąc zaniedbań może kosztować rok pracy
Wróćmy do Marcina z początku tego artykułu. Po tygodniach żmudnej odbudowy strony, odzyskiwaniu pozycji w Google i wyjaśnieniach klientom, dlaczego przez jakiś czas ich dane mogły być zagrożone, zrobił jedną rzecz: zmienił hasło, włączył 2FA i zainstalował limit prób logowania. Zajęło mu to 45 minut. Tyle samo czasu poświęciłby na to przed cyberatakiem, zanim jeszcze stracił wszystko, co budował latami w swoim e-sklepie – rozpoznawalność marki i zaufanie klientów w internecie.
Atak słownikowy jest groźny nie dlatego, że jest skomplikowany, lecz właśnie dlatego, że taki nie jest. To zautomatyzowana, bezosobowa, nieustająca metoda eksploatowania najprostszych błędów. Za pomocą ataku słownikowego przejmowane są strony zarówno jednoosobowych działalności, jak i dojrzałych firm, bo skuteczność ataków słownikowych nie zależy od wielkości celu, lecz od słabości jego zabezpieczeń.
Raport Patchstack “State of WordPress Security 2025” przypomina, że 43% podatności wykrytych w 2024 roku można było wykorzystać bez żadnej autoryzacji. Nawet najsilniejsze hasło nie wystarczy, jeśli zainstalowane wtyczki mają niezałatane luki. Z kolei raport Wordfence 2024 Annual WordPress Security Report pokazuje, że liczba ujawnionych podatności w ekosystemie WordPressa wzrosła w 2024 roku o 68% rok do roku, co obrazuje ogromną dynamikę zjawiska, z którą mamy do czynienia.
Bezpieczeństwo danych Twojej firmy i Twoich klientów powinno stać się codziennym nawykiem. Raz w miesiącu: sprawdź Google Search Console, przejrzyj logi logowania, zaktualizuj wtyczki. A jeśli nie wiesz, od czego zacząć – wróć do Cyberskanera i sprawdź aktualny stan swojej strony. Tyle wystarczy, żeby Twoja strona nie stała się kolejną pozycją w statystykach Sucuri.
Bo w świecie automatycznych ataków na strony www nie chodzi o to, czy jesteś wystarczająco ważny, żeby zostać zaatakowanym, tylko o to, czy jesteś wystarczająco trudnym celem, żeby bot wybrał kogoś innego.
Źródła:
* NordPass “Top 200 Most Common Passwords: Generations change, password habits remain”
** Raport Sucuri “SiteCheck Mid-Year 2024″
*** Limit Login Attempts„The State of Brute Force Attacks in WordPress: 2025”
**** IBM Raport “Cost of a Data Breach Report 2025“
***** Patchstack “State of WordPress Security in 2025“
****** “2024 Annual WordPress Security Report by Wordfence“
