Przegląd kodu wtyczek WordPress

Znajdź dziury w bezpieczeństwie, które AI zostawiło w Twojej wtyczce.

Przegląd kodu i audyt bezpieczeństwa wtyczek WordPress

Zbudowałem AI Hustler z Claude Code. Wiem, gdzie ono idzie na skróty. Jeden brakujący $wpdb->prepare() i Twoja baza danych jest odsłonięta. Dokładnie tego szukam.

Upwork Top Rated Plus · 95% Job Success · Obecnie przyjmuję do 5 przeglądów tygodniowo

15+
Lat w WordPress
130+
Zrealizowanych projektów
$99
Cena początkowa
48h
Najszybsza realizacja
Audyt bezpieczeństwa wtyczek WordPress od Marcina Dudka

Wtyczki tworzone metodą vibe coding wyglądają dobrze. Dopóki nie przestają.

Asystenci AI generują kod, który działa. Wtyczka się instaluje, funkcja działa, demo wygląda świetnie. Bezpieczeństwo WordPress tkwi w ścieżkach kodu, których użytkownicy nigdy nie widzą - a dokładnie to AI pomija.

SQL Injection

AI sięga po $wpdb->query() z surowymi danymi od użytkownika. Jeden brakujący $wpdb->prepare() i Twoja baza danych jest odsłonięta.

Brak weryfikacji nonce

Handlery AJAX bez check_ajax_referer() pozwalają każdemu zalogowanemu użytkownikowi wywołać działania na poziomie admina przez CSRF.

Błędne kontrole dostępu

Sprawdzenia uprawnień takie jak current_user_can() są pomijane lub źle umieszczone, co pozwala subskrybentom dotrzeć do endpointów admina.

XSS przez nieoescapowane wyjście

Brak esc_html(), esc_attr() lub wp_kses() wokół wartości kontrolowanych przez użytkownika. AI notorycznie o tym zapomina.

Path Traversal

Operacje odczytu/zapisu plików bez odpowiedniej sanityzacji ścieżek. Atakujący może odczytać /etc/passwd albo nadpisać pliki rdzenia.

Niezabezpieczone endpointy REST

Trasy REST API zarejestrowane bez permission_callback albo z __return_true jako placeholderem, który nigdy nie zostaje zastąpiony.

96%
96% wszystkich podatności WordPress znajduje się we wtyczkach - nie w motywach, nie w rdzeniu. W samym 2024 roku zgłoszono 7 966 nowych podatności WP, o 34% więcej rok do roku. Wtyczka AI Engine (100 tys.+ aktywnych instalacji) ujawniła w 2025 roku błąd eskalacji uprawnień powstały dokładnie z takich wzorców, jakie AI generuje na co dzień. Źródła: Patchstack 2026 State of WordPress Security Report; Cybersecurity News (CVE-2025-11749)

Czym jest "vibe coding"?

Vibe coding to tworzenie oprogramowania poprzez opisanie AI (Claude, Cursor, ChatGPT), czego się chce, a następnie iterowanie na wyniku - często bez dokładnego czytania każdej linii.

Collins Dictionary uznał to za Słowo Roku 2025. 92% amerykańskich developerów codziennie korzysta z narzędzi AI do kodowania. 46% całego nowego kodu jest generowane przez AI (GitHub, 2025).

Efekt: wtyczki, które działają poprawnie, ale mają luki bezpieczeństwa, których nie wychwyci żaden automatyczny test. Logika działa. Brakuje tylko zabezpieczeń.

Trzy kroki, jeden raport

1
Kupujesz przegląd i przesyłasz swoją wtyczkę
Płacisz z góry przez Stripe, następnie przesyłasz wtyczkę przez prywatne repozytorium GitHub lub link WeTransfer. Potwierdzam odbiór w ciągu 2 godzin.
2
Ręczny przegląd + skan automatyczny
Przechodzę przez Twój kod linia po linii wraz z kontrolami bezpieczeństwa PHPCS. Każde znalezisko jest odnotowane z oceną krytyczności i lokalizacją.
3
Otrzymujesz raport w PDF
Każdy problem udokumentowany z oceną krytyczności, dokładną linią, wyjaśnieniem i rekomendacją naprawy. Gotowe dla developera.

Co sprawdzam w każdym audycie

Przechodzę przez Twoją wtyczkę plik po pliku, szukając wzorców, które AI konsekwentnie pomija. Automatyczne skanery wychwytują może 30% z tego. Reszta wymaga kogoś, kto przeczytał wystarczająco dużo kodu wtyczek, by wiedzieć, jak wygląda błąd.

SQL Injection przez $wpdb
Każde zapytanie do bazy danych sprawdzone pod kątem prawidłowego użycia $wpdb->prepare() i zapytań sparametryzowanych.
Weryfikacja nonce
Handlery AJAX, wysyłki formularzy i trasy REST zweryfikowane pod kątem prawidłowego generowania i walidacji nonce.
Sprawdzenia uprawnień
Każde działanie administracyjne zabezpieczone przez current_user_can() z właściwym uprawnieniem dla tej operacji.
Escaping wyjścia
Wszystkie wartości kontrolowane przez użytkownika przepuszczone przez esc_html(), esc_attr(), esc_url() lub wp_kses().
Sanityzacja danych wejściowych
Dane POST/GET sanityzowane przy pomocy sanitize_text_field(), absint() i podobnych, zanim trafią do zapisu lub użycia.
Bezpieczeństwo systemu plików
Zapobieganie path traversal, sprawdzenia realpath() oraz użycie WP Filesystem API dla wszelkich operacji na plikach.
Endpointy REST API
Każda zarejestrowana trasa ma prawidłowy permission_callback, który nie jest placeholderem.
Biblioteki firm trzecich
Dołączone biblioteki sprawdzone pod kątem znanych CVE oraz tego, czy są aktualizowane, czy porzucone.

Zweryfikowane na niezależnych platformach

To dane z platform, których nie mogę edytować. Sprawdź sam.

Upwork
Top Rated Plus
95%
Job Success
1K+
Godzin rozliczonych

Zobacz profil na Upwork →

Fiverr
Level 2 Seller
4.9★
Ocena
130+
Recenzji

Zobacz opinie na Fiverr →

Toptal
Top 3%
Top 3%
Global Talent

Zweryfikowany w sieci ekspertów Toptal - top 3% na świecie. Zobacz profil →

Dlaczego nie ma tu opinii klientów?

To nowa usługa. Wolę pokazać Ci weryfikowalne liczby, które sam możesz sprawdzić, niż wklejać fałszywe cytaty. Gdy pojawią się prawdziwe opinie z tej usługi, trafią tutaj z linkiem do źródła. Do tego czasu - Upwork, Fiverr i Toptal to mój track record.

Proste, przejrzyste ceny

Cena stała. Bez rozliczeń godzinowych, które puchną, bez ukrytych opłat za PDF. Płatność z góry, raport na piśmie.

Quick Scan
$99 ryczałt
Do ~500 linii kodu · realizacja w 48 godzin

Dobre rozwiązanie dla małych wtyczek narzędziowych, prostych wtyczek do shortcode'ów lub jednofunkcyjnego narzędzia poniżej 500 linii.

  • Automatyczny skan bezpieczeństwa PHPCS
  • Ręczny przegląd kluczowych ścieżek (AJAX, REST, zapytania do bazy)
  • Pisemny raport ze znaleziskami (PDF)
  • Ocena krytyczności dla każdego problemu (Critical / High / Medium / Low)
Kup Quick Scan - 99 USD
Duża wtyczka
Wycena
Powyżej 10 000 linii kodu · Termin ustalany z góry
  • Wszystko z Full Review
  • Wycena dopasowana do liczby linii i złożoności
  • NDA dostępne na życzenie
  • Opcjonalna 30-minutowa rozmowa podsumowująca w cenie
Poproś o wycenę

Budowałem wtyczki. Wydawałem produkty. Znam pułapki.

Buduję wtyczki WordPress od 2010 roku. Były CTO w CreativeMinds. Dziś sam tworzę swoje produkty metodą vibe coding z Claude Code - więc wiem, co te narzędzia generują, z pierwszej ręki.

15+ lat w WordPress

Były CTO w CreativeMinds, firmie produkującej wtyczki WordPress obecne na tysiącach stron na całym świecie.

🤖

Też koduję metodą vibe coding

Zbudowałem AI Hustler z Claude Code. Wiem, które prompty generują podatne wzorce - widziałem je we własnym kodzie.

Upwork Top Rated Plus

95% job success score. Ponad 1 000 rozliczonych godzin. Track record, który możesz zweryfikować na ich platformie, nie tylko na moje słowo.

🔍

Prawdziwe przeglądy, prawdziwy kod

Czytam każdą linię. PHPCS obsługuje skan automatyczny. Ręczny przegląd wykonuję ja - nie ma tu żadnego magicznego narzędzia, które robi to za mnie.

Najczęstsze pytania

W jakim formacie jest raport?
PDF ze wszystkimi znaleziskami: krytyczność (Critical / High / Medium / Low), plik i numer linii, wyjaśnienie oraz konkretna rekomendacja naprawy. Możesz przekazać go developerowi albo naprawić sam.
Czy naprawiasz wykryte problemy?
Przegląd nie obejmuje napraw - dzięki temu zakres i cena są przewidywalne. Jeśli chcesz, żebym naprawił konkretne znaleziska po raporcie, chętnie wycenię to osobno. Większość klientów radzi sobie sama, korzystając z raportu jako przewodnika.
Co jeśli moja wtyczka jest już na WP.org?
Ten sam proces. Automatyczny przegląd WP.org wyłapuje część rzeczy, ale pomija sporo problemów na poziomie logiki. Ręczny przegląd po zaakceptowaniu wciąż się opłaca - zwłaszcza dla kodu generowanego przez AI.
Czy to jest poufne?
Tak, nie udostępniam Twojego kodu nikomu innemu. Dla większych lub komercyjnych wtyczek mogę podpisać NDA, zanim cokolwiek prześlesz.
Jak przesłać Ci wtyczkę?
Prywatne repozytorium GitHub (dodaj MarcinDudekDev jako współpracownika) lub link do archiwum na WeTransfer - email nie sprawdza się dobrze do plików wtyczek. Potwierdzę odbiór w ciągu 2 godzin i podam szacowany termin realizacji.
Czy ma znaczenie, jakiego narzędzia AI użyłem?
Zupełnie nie. Cursor, Claude Code, Copilot, ChatGPT - bez różnicy. Efektem jest kod PHP, a wzorce podatności są takie same niezależnie od tego, które narzędzie je wygenerowało.

Checklista bezpieczeństwa dla wtyczek tworzonych metodą vibe coding

Zanim zgłosisz wtyczkę na WP.org albo przekażesz ją klientowi, przejdź przez tych 12 punktów. Nie wychwyci wszystkiego, ale złapie te oczywiste rzeczy.

  1. 01 Każde zapytanie $wpdb używa $wpdb->prepare()
  2. 02 Każdy handler AJAX wywołuje check_ajax_referer()
  3. 03 Działania admina zabezpieczone przez current_user_can()
  4. 04 Całe wyjście użytkownika przepuszczone przez esc_html() lub esc_attr()
  5. 05 Dane POST/GET sanityzowane przed użyciem lub zapisem
  6. 06 Endpointy REST mają prawdziwy permission_callback
  7. 07 Operacje na plikach przechodzą przez WP Filesystem API
  8. 08 Brak placeholderów __return_true w kodzie produkcyjnym
  9. 09 Prefiks wtyczki na wszystkich globalnych funkcjach i opcjach
  10. 10 Brak zapisanych na stałe danych logowania czy kluczy API w kodzie źródłowym
  11. 11 unlink() / zapis pliku zabezpieczony sprawdzeniami ścieżki
  12. 12 Biblioteki firm trzecich przypięte do znanej wersji

Wciąż nie masz pewności? Po to jest płatny przegląd.

Dlaczego darmowa checklista?

"Jeśli potrafisz samodzielnie zweryfikować wszystkie 12 punktów powyżej, prawdopodobnie mnie nie potrzebujesz."

W 15 lat czytania kodu wtyczek nigdy nie widziałem wtyczki tworzonej metodą vibe coding, która przeszłaby wszystkie 12 punktów za pierwszym razem. Narzędzia AI są dość konsekwentne co do tego, które z nich pomijają.

Skorzystaj z checklisty. Jeśli znajdziesz problemy - albo po prostu nie masz pewności - płatny przegląd obejmuje to wszystko z dokładnymi odniesieniami do plików i linii.

Umów rozmowę o przeglądzie

Gotowy na wydanie?

Umów 30-minutową rozmowę, ustalimy zakres, a ja powiem Ci, który pakiet pasuje. Zwykle zajmuje to 5 minut.

Umów rozmowę