Jak sprawdzić, czy strona jest na WordPressie i jaką ma wersję?

WordPress zasila dziś ponad 43% wszystkich stron internetowych – to dominujący CMS, którego ślady techniczne łatwo rozpoznać, jeśli wiesz, czego szukać.

Umiejętność wykrycia, czy witryna korzysta z WordPressa, oraz sprawdzenia jej wersji jest kluczowa dla administratorów, specjalistów ds. bezpieczeństwa, programistów i marketerów, bo wpływa na audyty, aktualizacje, zgodność i strategię technologiczną.

Niniejszy przewodnik pokazuje skuteczne metody identyfikacji WordPressa i jego wersji – od prostych technik w przeglądarce po narzędzia klasy enterprise, wraz z ograniczeniami i dobrymi praktykami.

Podstawy WordPress i znaczenie znajomości wersji systemu

WordPress powstał w 2003 roku jako system blogowy, a dziś to pełnoprawny CMS dla blogów, serwisów firmowych i e‑commerce. Jego siłą są otwarte źródła, ogromny ekosystem wtyczek i motywów oraz niski próg wejścia.

System opiera się na PHP i MySQL, a aktualizacje dzielą się na wydania główne, drugorzędne i łatki bezpieczeństwa. Znajomość wersji pozwala lepiej ocenić ryzyko podatności i kompatybilność dodatków.

Identyfikacji sprzyjają charakterystyczne elementy instalacji: katalogi wp-content, wp-includes, wp-admin, klasy CSS z prefiksem wp- oraz historycznie także meta tag generator w HTML.

Aktualna wersja WordPressa według oficjalnego serwisu projektu to 6.8.3 – zawiera najnowsze funkcje, poprawki i łatki. Drobne aktualizacje bezpieczeństwa instalują się automatycznie, większe zwykle wymagają akcji administratora (panel, FTP/SFTP, WP-CLI). Hosting zarządzany często włącza auto‑aktualizacje, minimalizując ryzyko.

Wraz z rozwojem projektu WordPress ogranicza liczbę automatycznie ujawnianych informacji (np. usunięto wersję z readme.html), więc część dawnych metod detekcji nie działa na dobrze zabezpieczonych instalacjach.

Metody identyfikacji witryn WordPress bez dostępu administracyjnego

Analiza publicznych elementów strony pozwala zwykle wykryć WordPress bez logowania. Najważniejsze wskaźniki znajdziesz w kodzie źródłowym, feedach i standardowych ścieżkach:

• meta tag generator – w HTML mógł kiedyś ujawniać CMS i wersję, np. <meta name="generator" content="WordPress 5.9.3" />; dziś bywa usuwany przez wtyczki bezpieczeństwa;
• ścieżki do zasobów – odnośniki zawierające wp-content, wp-includes lub wp-admin zazwyczaj wskazują na WordPress;
• klasy CSS z prefiksem wp- – m.in. wp-block, wp-image, wp-post, wp-admin-bar są trudne do całkowitego ukrycia;
• kanał RSS – URL z sufiksem /feed często zawiera tag generator, np. <generator>https://wordpress.org/?v=5.9.3</generator>;
• REST API – endpoint /wp-json/ potwierdza obecność WordPressa (nawet komunikat o zablokowaniu bywa wymowny);
• ekrany logowania – ścieżki /wp-admin/ i /wp-login.php zwykle kierują do charakterystycznych widoków logowania.

Narzędzia i platformy online do wykrywania WordPressa

Wyspecjalizowane skanery technologii automatyzują wykrywanie CMS‑ów, wtyczek i usług. Poniżej zestawienie popularnych rozwiązań i ich mocnych stron:

BuiltWith i Wappalyzer są cenione także w analizach akademickich (m.in. Harvard, MIT) i mediach (Wall Street Journal) za rzetelność i szerokość danych.

Weryfikacja wersji WordPress z dostępem administracyjnym

W panelu wp-admin numer wersji sprawdzisz w kilku miejscach bez żadnych dodatków:

• Kokpit → W skrócie – widget prezentuje kluczowe statystyki i aktualnie zainstalowaną wersję;
• stopka wp-admin – numer wersji widoczny w prawym dolnym rogu każdej podstrony panelu;
• Kokpit → Aktualizacje – pokazuje wersję, dostępność nowszego wydania oraz status aktualizacji wtyczek i motywów;
• Narzędzia → Stan witryny – sekcja diagnostyczna z wersją WP, PHP, limitami pamięci i innymi parametrami;
• /wp-admin/about.php – strona z informacjami o wydaniu i nowościach w bieżącej wersji.

Metody weryfikacji wersji WordPress bez logowania do panelu

Gdy logowanie nie jest możliwe, skorzystaj z dostępu do plików lub narzędzi serwerowych:

• readme.html – starsze instalacje (sprzed 5.0) ujawniały wersję pod adresem /readme.html; w nowszych wydaniach informacja została usunięta ze względów bezpieczeństwa;
• wp-includes/version.php – plik zawiera zmienną $wp_version (np. $wp_version = '5.9.3';), dostęp przez FTP/SFTP jest najbardziej niezawodny;
• panel hostingu – w cPanel lub DirectAdmin otwórz Menedżer plików, przejdź do wp-includes i odczytaj version.php;
• SSH + WP-CLI – w katalogu instalacji wykonaj wp core version lub wp core version --extra, aby otrzymać wersję i dodatkowe informacje;
• WordPress Toolkit (np. w Plesk) – graficzny podgląd instancji, wersji, motywów, wtyczek i statusu aktualizacji.

Rozszerzenia przeglądarek do detekcji WordPress

Jeśli często sprawdzasz technologie na odwiedzanych stronach, rozszerzenia przeglądarkowe przyspieszają pracę:

• WordPress Theme Detector – wykrywa WP, motywy i wtyczki; ikona zmienia kolor po detekcji;
• WordPress Theme Detector and Plugins Detector – podobny zakres, wielojęzyczny interfejs, detekcja po stronie serwera;
• Wappalyzer – identyfikuje setki technologii, pokazuje ikonę WordPressa i szczegóły po kliknięciu.

Instalacja jest prosta: wejdź do sklepu rozszerzeń przeglądarki, wyszukaj nazwę i kliknij „Dodaj”. Skuteczność zależy od konfiguracji i zabezpieczeń strony – niektóre witryny celowo maskują infrastrukturę.

Aspekty bezpieczeństwa związane z wykrywalnością WordPress

Automatyczne boty nieustannie skanują sieć w poszukiwaniu podatnych instalacji WordPress, zwłaszcza tych z przestarzałymi wersjami lub wtyczkami. Zidentyfikowana luka bywa atakowana niemal natychmiast.

Aby utrudnić skanowanie i ograniczyć ryzyko, rozważ poniższe działania:

• ukrywanie wersji – usuwanie/meta‑maskowanie tagu generator, modyfikacja nagłówków HTTP, blokada publicznych plików informacyjnych;
• wtyczki bezpieczeństwa – Sucuri Security (skan, WAF DNS) i Wordfence (firewall na serwerze, porównanie sum kontrolnych) znacząco podnoszą poziom ochrony;
• regularne skany podatności – WPSec, HackerTarget (Nmap NSE, integracje z OpenVAS/Nikto) automatyzują wykrywanie i wysyłają powiadomienia.

WPSec szacuje, że ponad 170 000 witryn WordPress jest podatnych – to mocny argument za proaktywnym monitoringiem i natychmiastowymi aktualizacjami.

Praktyczne zastosowania identyfikacji WordPress

Wiedza o tym, czy i jak strona korzysta z WordPressa, przekłada się na konkretne korzyści w różnych rolach:

• programiści i projektanci – szybka identyfikacja motywów oraz wtyczek, inspiracje i wzorce rozwiązań;
• marketing i sprzedaż B2B – listy prospektingowe wg technologii (np. strony na starszych wersjach), targetowanie według branży i rynku;
• analitycy konkurencji – monitoring migracji i wdrożeń narzędzi; Wappalyzer umożliwia alerty zmian;
• audytorzy bezpieczeństwa i konsultanci IT – skanery (Sucuri, Wordfence, WPSec) automatyzują audyty i rekomendacje;
• właściciele witryn – okresowe autokontrole (np. IsItWP, bezpłatne skany Sucuri/Wordfence), monitoring integralności plików;
• instytucje akademickie i badacze – dane BuiltWith i Wappalyzer do analiz trendów (np. HTTP Archive).

Ograniczenia i wyzwania w wykrywaniu WordPress

Im lepsze zabezpieczenia, tym trudniejsza detekcja. Powszechne praktyki utrudniające identyfikację to m.in.:

• maskowanie sygnatur – usuwanie tagów generator, zmiana nagłówków, blokowanie ścieżek i feedów przez wtyczki (Sucuri, Wordfence, iThemes Security);
• głęboka personalizacja – motywy i frameworki (np. Sage, Bedrock) mogą nie zdradzać typowych cech WP;
• headless WordPress – front odseparowany od WP ukrywa większość charakterystycznych elementów;
• agresywna optymalizacja – minifikacja/łączenie zasobów, CDN, reverse proxy zaciemniają sygnatury;
• ograniczenia API i logowania – blokowanie /wp-json/, zmiana/ukrycie /wp-admin/ i /wp-login.php.

W praktyce warto łączyć wiele metod i narzędzi – pojedynczy wskaźnik bywa niewystarczający, ale ich kombinacja zwykle daje pewny wynik.