HackYeah 2025 w Krakowie – byliśmy prelegentami i partnerem CTF

HackYeah 2025 w Krakowie: nasza prelekcja o bezpieczeństwie WordPress i partnerstwo CTF

Minął już miesiąc od HackYeah 2025, ale w naszej pamięci ten intensywny weekend w Krakowie zostaje na długo. To wydarzenie, które co roku przyciąga osoby praktycznie zajmujące się cyberbezpieczeństwem, programowaniem i rozwiązywaniem problemów pod presją czasu. W tegorocznej edycji uczestniczyliśmy w dwóch rolach: jako prelegenci oraz jako partnerzy części CTF.

Dwie role, jeden cel: wiedza i praktyka

W trakcie HackYeah 2025 mieliśmy okazję:

• wystąpić z prezentacją „Zhakowali moją stronę! – prawdziwe historie, które uczą, jak chronić CMS”, skupioną na bezpieczeństwie WordPress i typowych mechanizmach prowadzących do incydentów,
• wesprzeć wydarzenie jako partnerzy CTF, w tym przygotować „klockową” niespodziankę dla jednego z uczestników.
  To połączenie jest dla nas szczególnie ważne: z jednej strony edukacja i wnioski z realnych przypadków, z drugiej – praktyczna rywalizacja, która pozwala w bezpiecznym środowisku sprawdzić umiejętności i sposób myślenia.

Prelekcja: „Zhakowali moją stronę!” w kontekście WordPress

W prezentacji pokazaliśmy, że ataki na strony oparte o WordPress rzadko zaczynają się od „magicznego” włamania. Najczęściej punktem wejścia jest kumulacja pozornie drobnych zaniedbań: nieaktualny komponent, niepotrzebna wtyczka, zbyt szerokie uprawnienia, brak MFA lub brak monitoringu, który pozwoliłby zauważyć problem na wczesnym etapie.

Wnioski, które wybrzmiewają przy takich historiach regularnie:

• bezpieczeństwo WordPressa to proces utrzymania, a nie jednorazowa konfiguracja,
• kluczowe są proste standardy i konsekwencja: aktualizacje, kontrola dodatków, zasady dostępu,
• technologia pomaga, ale nie zastępuje dobrych praktyk zespołu.

CTF: rywalizacja do ostatnich minut

CTF to jeden z najbardziej angażujących elementów wydarzeń security. W tym roku rywalizacja trwała do samego końca, a do zmagań stanęło ponad 140 uczestników podzielonych na zespoły. Taki format świetnie pokazuje różnice między „wiedzą o bezpieczeństwie” a umiejętnością zastosowania jej w praktyce: pod presją czasu, w warunkach ograniczonych informacji i przy konieczności pracy zespołowej.

Cieszymy się, że mogliśmy dołożyć swoją cegiełkę do tej części wydarzenia jako partnerzy CTF, wspierając organizatorów i uczestników.

Dlaczego takie wydarzenia są ważne dla firm i zespołów

Z perspektywy organizacji prowadzących własne serwisy, sklepy czy platformy treści, takie inicjatywy mają realną wartość: łączą społeczność, budują kompetencje i pozwalają porównywać podejścia. A z perspektywy bezpieczeństwa WordPressa jedna rzecz powtarza się konsekwentnie: wiele incydentów zaczyna się od rzeczy, które da się uporządkować wcześniej.

Jeśli mielibyśmy wyciągnąć z tego jeden praktyczny wniosek dla właścicieli stron i zespołów utrzymaniowych, brzmiałby on tak:

• utrzymuj WordPressa jak system produkcyjny, nie jak „stronę”, która ma po prostu działać.

Podziękowania

Dziękujemy wszystkim, którzy byli z nami podczas HackYeah 2025 w Krakowie: uczestnikom, osobom, które przyszły na prelekcję, zespołom startującym w CTF oraz organizatorom, którzy co roku dowożą wydarzenie na bardzo wysokim poziomie.

Jeśli chcesz uporządkować bezpieczeństwo WordPressa w swojej organizacji – od audytu wtyczek i uprawnień, przez proces aktualizacji i backupów, po monitoring i plan reagowania – odezwij się do nas. Przełożymy dobre praktyki na działania dopasowane do Twojego środowiska.