Znajdź dziury w bezpieczeństwie, które AI zostawiło w Twojej wtyczce.
Przegląd kodu i audyt bezpieczeństwa wtyczek WordPress
Zbudowałem AI Hustler z Claude Code. Wiem, gdzie ono idzie na skróty. Jeden brakujący $wpdb->prepare() i Twoja baza danych jest odsłonięta. Dokładnie tego szukam.
Upwork Top Rated Plus · 95% Job Success · Obecnie przyjmuję do 5 przeglądów tygodniowo
Wtyczki tworzone metodą vibe coding wyglądają dobrze. Dopóki nie przestają.
Asystenci AI generują kod, który działa. Wtyczka się instaluje, funkcja działa, demo wygląda świetnie. Bezpieczeństwo WordPress tkwi w ścieżkach kodu, których użytkownicy nigdy nie widzą - a dokładnie to AI pomija.
SQL Injection
AI sięga po $wpdb->query() z surowymi danymi od użytkownika. Jeden brakujący $wpdb->prepare() i Twoja baza danych jest odsłonięta.
Brak weryfikacji nonce
Handlery AJAX bez check_ajax_referer() pozwalają każdemu zalogowanemu użytkownikowi wywołać działania na poziomie admina przez CSRF.
Błędne kontrole dostępu
Sprawdzenia uprawnień takie jak current_user_can() są pomijane lub źle umieszczone, co pozwala subskrybentom dotrzeć do endpointów admina.
XSS przez nieoescapowane wyjście
Brak esc_html(), esc_attr() lub wp_kses() wokół wartości kontrolowanych przez użytkownika. AI notorycznie o tym zapomina.
Path Traversal
Operacje odczytu/zapisu plików bez odpowiedniej sanityzacji ścieżek. Atakujący może odczytać /etc/passwd albo nadpisać pliki rdzenia.
Niezabezpieczone endpointy REST
Trasy REST API zarejestrowane bez permission_callback albo z __return_true jako placeholderem, który nigdy nie zostaje zastąpiony.
Czym jest "vibe coding"?
Vibe coding to tworzenie oprogramowania poprzez opisanie AI (Claude, Cursor, ChatGPT), czego się chce, a następnie iterowanie na wyniku - często bez dokładnego czytania każdej linii.
Collins Dictionary uznał to za Słowo Roku 2025. 92% amerykańskich developerów codziennie korzysta z narzędzi AI do kodowania. 46% całego nowego kodu jest generowane przez AI (GitHub, 2025).
Efekt: wtyczki, które działają poprawnie, ale mają luki bezpieczeństwa, których nie wychwyci żaden automatyczny test. Logika działa. Brakuje tylko zabezpieczeń.
Trzy kroki, jeden raport
Co sprawdzam w każdym audycie
Przechodzę przez Twoją wtyczkę plik po pliku, szukając wzorców, które AI konsekwentnie pomija. Automatyczne skanery wychwytują może 30% z tego. Reszta wymaga kogoś, kto przeczytał wystarczająco dużo kodu wtyczek, by wiedzieć, jak wygląda błąd.
$wpdb->prepare() i zapytań sparametryzowanych.current_user_can() z właściwym uprawnieniem dla tej operacji.esc_html(), esc_attr(), esc_url() lub wp_kses().sanitize_text_field(), absint() i podobnych, zanim trafią do zapisu lub użycia.realpath() oraz użycie WP Filesystem API dla wszelkich operacji na plikach.permission_callback, który nie jest placeholderem.Zweryfikowane na niezależnych platformach
To dane z platform, których nie mogę edytować. Sprawdź sam.
Zobacz profil na Upwork →
Zobacz opinie na Fiverr →
Zweryfikowany w sieci ekspertów Toptal - top 3% na świecie. Zobacz profil →
Dlaczego nie ma tu opinii klientów?
To nowa usługa. Wolę pokazać Ci weryfikowalne liczby, które sam możesz sprawdzić, niż wklejać fałszywe cytaty. Gdy pojawią się prawdziwe opinie z tej usługi, trafią tutaj z linkiem do źródła. Do tego czasu - Upwork, Fiverr i Toptal to mój track record.
Proste, przejrzyste ceny
Cena stała. Bez rozliczeń godzinowych, które puchną, bez ukrytych opłat za PDF. Płatność z góry, raport na piśmie.
Dobre rozwiązanie dla małych wtyczek narzędziowych, prostych wtyczek do shortcode'ów lub jednofunkcyjnego narzędzia poniżej 500 linii.
- Automatyczny skan bezpieczeństwa PHPCS
- Ręczny przegląd kluczowych ścieżek (AJAX, REST, zapytania do bazy)
- Pisemny raport ze znaleziskami (PDF)
- Ocena krytyczności dla każdego problemu (Critical / High / Medium / Low)
Większość wtyczek, które trafiają na produkcję, ma 1 000-5 000 linii. Ten pakiet obejmuje pełną bazę kodu - nie tylko kluczowe ścieżki.
- Wszystko z Quick Scan
- Pełny ręczny przegląd linia po linii
- Ocena jakości i utrzymywalności kodu
- Konkretne rekomendacje naprawy dla każdego znaleziska
- Sprawdzenie gotowości do zgłoszenia na WP.org
- Wszystko z Full Review
- Wycena dopasowana do liczby linii i złożoności
- NDA dostępne na życzenie
- Opcjonalna 30-minutowa rozmowa podsumowująca w cenie
Budowałem wtyczki. Wydawałem produkty. Znam pułapki.
Buduję wtyczki WordPress od 2010 roku. Były CTO w CreativeMinds. Dziś sam tworzę swoje produkty metodą vibe coding z Claude Code - więc wiem, co te narzędzia generują, z pierwszej ręki.
15+ lat w WordPress
Były CTO w CreativeMinds, firmie produkującej wtyczki WordPress obecne na tysiącach stron na całym świecie.
Też koduję metodą vibe coding
Zbudowałem AI Hustler z Claude Code. Wiem, które prompty generują podatne wzorce - widziałem je we własnym kodzie.
Upwork Top Rated Plus
95% job success score. Ponad 1 000 rozliczonych godzin. Track record, który możesz zweryfikować na ich platformie, nie tylko na moje słowo.
Prawdziwe przeglądy, prawdziwy kod
Czytam każdą linię. PHPCS obsługuje skan automatyczny. Ręczny przegląd wykonuję ja - nie ma tu żadnego magicznego narzędzia, które robi to za mnie.
Najczęstsze pytania
Checklista bezpieczeństwa dla wtyczek tworzonych metodą vibe coding
Zanim zgłosisz wtyczkę na WP.org albo przekażesz ją klientowi, przejdź przez tych 12 punktów. Nie wychwyci wszystkiego, ale złapie te oczywiste rzeczy.
- 01 Każde zapytanie
$wpdbużywa$wpdb->prepare() - 02 Każdy handler AJAX wywołuje
check_ajax_referer() - 03 Działania admina zabezpieczone przez
current_user_can() - 04 Całe wyjście użytkownika przepuszczone przez
esc_html()lubesc_attr() - 05 Dane POST/GET sanityzowane przed użyciem lub zapisem
- 06 Endpointy REST mają prawdziwy
permission_callback - 07 Operacje na plikach przechodzą przez WP Filesystem API
- 08 Brak placeholderów
__return_truew kodzie produkcyjnym - 09 Prefiks wtyczki na wszystkich globalnych funkcjach i opcjach
- 10 Brak zapisanych na stałe danych logowania czy kluczy API w kodzie źródłowym
- 11
unlink()/ zapis pliku zabezpieczony sprawdzeniami ścieżki - 12 Biblioteki firm trzecich przypięte do znanej wersji
Wciąż nie masz pewności? Po to jest płatny przegląd.
Dlaczego darmowa checklista?
"Jeśli potrafisz samodzielnie zweryfikować wszystkie 12 punktów powyżej, prawdopodobnie mnie nie potrzebujesz."
W 15 lat czytania kodu wtyczek nigdy nie widziałem wtyczki tworzonej metodą vibe coding, która przeszłaby wszystkie 12 punktów za pierwszym razem. Narzędzia AI są dość konsekwentne co do tego, które z nich pomijają.
Skorzystaj z checklisty. Jeśli znajdziesz problemy - albo po prostu nie masz pewności - płatny przegląd obejmuje to wszystko z dokładnymi odniesieniami do plików i linii.
Umów rozmowę o przeglądzie