WordPress to najpopularniejszy system zarządzania treścią na świecie, dlatego wielu specjalistów SEO, developerów i właścicieli witryn chce szybko ustalić, czy dana strona jest na WordPressie. Rozpoznanie CMS pomaga w doborze narzędzi, ocenie bezpieczeństwa, planowaniu migracji i optymalizacji.
W tym artykule znajdziesz praktyczne, sprawdzone metody — od prostych kontroli w przeglądarce, przez inspekcję nagłówków i REST API, po narzędzia online i techniki dla zaawansowanych. Zawrę też checklistę krok po kroku, typowe pułapki i mini-case’y, które pomogą uniknąć fałszywych diagnoz.
Szybkie sprawdzenia w przeglądarce — metody dla każdego
Intencja: szybkie potwierdzenie, czy strona używa WordPressa bez narzędzi developerskich.
Sprawdź adresy typowe dla WordPressa
W pasku przeglądarki dodaj do domeny kilka typowych ścieżek i zobacz, czy zwracają oczekiwane treści. Przykładowe żądania:
- /wp-admin — strona logowania lub przekierowanie; jeśli dostępne, silny sygnał WordPressa.
- /wp-login.php — często dostępna strona logowania.
- /wp-content/ — katalog z motywami i pluginami; dostępność plików w tym katalogu to silny dowód.
- /wp-includes/ — pliki systemowe używane przez WordPress.
Jeśli te ścieżki zwracają 200 lub 403 i wyglądają jak zasoby WordPressa, to najczęściej oznacza, że witryna działa na tym CMS. Jednak niektóre serwisy blokują te ścieżki lub je ukrywają.
Sprawdź źródło strony
Otwórz widok źródła strony i wyszukaj frazy typu wp-content, wp-includes, wp-json lub generator. Pliki CSS i JS często mają ścieżki zawierające wp-content/themes/nazwa-motywu lub wp-content/plugins/nazwa-pluginu. To jedno z najprostszych i najbardziej wiarygodnych potwierdzeń.
Inspekcja za pomocą narzędzi deweloperskich i network
Intencja: bardziej szczegółowa analiza, kiedy szybkie metody zawodzą.
Zakładka Network i nagłówki HTTP
Otwórz narzędzia deweloperskie (F12) i przejdź do Network. Sprawdź nagłówki odpowiedzi. Czasem pojawi się nagłówek X-Pingback wskazujący na plik xmlrpc.php, albo inne nagłówki charakterystyczne dla hostingu WordPress. Warto też przyjrzeć się ciasteczkom — WordPress ustawia ciasteczka typu wordpress_logged_in_, wp-settings- oraz wp-postpass_.
REST API — wp-json
Spróbuj zażądać ścieżki /wp-json. WordPress wystawia REST API pod tym adresem, a odpowiedź JSON często zawiera informacje o wersji, nazwie witryny i dostępnych endpointach. Uwaga: niektóre serwisy wyłączają lub ograniczają REST API.
Narzędzia w terminalu i komendy
Intencja: metody dla osób pracujących z wierszem poleceń lub automatyzacją.
curl
Wywołanie prostego zapytania curl pozwala szybko sprawdzić obecność typowych ścieżek i nagłówków. Przykładowe polecenia:
- curl -I https://domena.pl/wp-login.php — sprawdź status HTTP i nagłówki.
- curl -s https://domena.pl/wp-json | head — zobacz pierwsze linie odpowiedzi JSON.
Brak dostępu nie oznacza braku WordPressa, ale zwrócenie 200 oraz obecność ciągów wp- to mocny sygnał.
wget i pobieranie plików
Wget można użyć do pobrania plików z katalogu wp-content lub readme.html. Jeśli readme.html jest dostępny, często zawiera wersję WordPressa. Jednak wiele serwisów usuwa lub ogranicza ten plik ze względów bezpieczeństwa.
Narzędzia i rozszerzenia online
Intencja: szybkie, zautomatyzowane sprawdzenie bez ręcznej analizy.
Rozszerzenia przeglądarki i serwisy fingerprintingowe
Narzędzia typu Wappalyzer, BuiltWith, WhatCMS lub dedykowane checker’y WordPress często odczytują sygnały z nagłówków, ścieżek plików i meta tagów. Są wygodne i szybkie, ale pamiętaj, że mogą mylić się przy niestandardowych konfiguracjach.
Narzedzia bezpieczeństwa
Skany WordPress-specific od serwisów bezpieczeństwa mogą wskazać użycie WordPressa oraz potencjalne wersje i podatności. Korzystaj z nich ostrożnie i tylko w ramach dozwolonych działań audytowych.
Zaawansowane metody rozpoznawania
Intencja: rozpoznanie WordPressa przy ukrytej lub headless konfiguracji.
Odciski motywów i pluginów
Pliki CSS motywów i pluginów mają charakterystyczne selektory, nazwy klas i komentarze. Przykładowo, analiza pliku style.css motywu może ujawnić nazwę motywu i autora. Nawet jeśli ścieżki są zmienione, unikalne nazwy klas lub struktura HTML mogą zdradzić użycie WordPressa.
Analiza linków RSS
Sprawdź /feed lub ?feed=rss2. Domyślny format RSS WordPressa ma charakterystyczne elementy i nazwy tagów. To dobre podejście, gdy REST API jest zablokowane.
CSRF, tokeny i formularze
Formularze generowane przez WordPress i popularne wtyczki mogą zawierać pola ukryte z nazwami lub tokenami specyficznymi dla tego CMS. To kolejny element do rozważenia przy analizie.
Przykłady i mini-case’y
Intencja: pokazanie realnych scenariuszy i interpretacji wyników.
Case 1 — jasny WordPress
Strona example.pl ma dostępny /wp-admin, w źródle pojawiają się ścieżki wp-content/plugins/ oraz nagłówek X-Pingback. Dodatkowo /wp-json zwraca JSON. Wniosek: strona działa na WordPressie, prawdopodobnie bez ukrywania struktury.
Case 2 — ukryty WordPress
Strona shop.pl nie ma widocznego /wp-admin i nie pokazuje wp-content w źródle. Jednak analiza plików CSS ujawnia klasy typowe dla motywu znanego z WordPressa, a RSS zwraca format charakterystyczny dla WP. Wniosek: to WordPress, ale częściowo ukryty lub użyty headless.
Pułapki i najczęstsze błędy
Intencja: ostrzec przed fałszywymi pozytywami i negatywami.
- Fałszywe wp- w ścieżkach — niektóre strony używają podobnych nazw katalogów niezależnie od CMS.
- CDN i cache — zasoby mogą pochodzić z CDN, co ukrywa oryginalne ścieżki.
- Headless WordPress — front-end może być odłączony, więc nie zobaczysz typowych śladów WP.
- Bezpieczeństwo — administratorzy mogą blokować /wp-json, readme.html i inne endpointy.
- Wersjonowanie — brak informacji o wersji nie oznacza braku WordPressa.
Checklista krok po kroku
Intencja: praktyczna procedura do szybkiego zastosowania.
- W przeglądarce sprawdź /wp-admin i /wp-login.php.
- Otwórz źródło strony, wyszukaj wp-content, wp-includes, wp-json.
- Sprawdź ciasteczka na obecność wordpress_logged_in_ i wp-settings_.
- W narzędziach deweloperskich w zakładce Network sprawdź nagłówki i REST API.
- Uruchom curl -I dla typowych ścieżek oraz curl -s /wp-json.
- Jeśli wyniki są niejednoznaczne, użyj Wappalyzer lub BuiltWith jako dodatkowej weryfikacji.
- Jeżeli konieczne, przeprowadź analizę plików CSS i RSS.
Legalność i etyka
Intencja: przypomnieć o granicach bezpiecznego sprawdzania.
Rozpoznawanie technologii to działanie neutralne i zwykle dopuszczalne. Nie podejmuj jednak prób łamania zabezpieczeń, wykonywania skanów podatności ani innych działań bez zgody właściciela strony. Używaj narzędzi zgodnie z prawem i polityką serwisu.
FAQ
Czy brak wp-content w źródle oznacza, że strona nie jest na WordPressie?
Nie zawsze. Brak wp-content może wynikać z użycia CDN, minifikacji, headless setupu lub celowego ukrywania ścieżek. Warto sprawdzić inne sygnały, takie jak REST API, ciasteczka czy format RSS.
Jak sprawdzić WordPress na stronie mobilnej lub SPA?
Sprawdź żądania sieciowe w narzędziach deweloperskich, analizując odpowiedzi API. Często backend WordPress wystawia REST API lub feedy, nawet jeśli front-end to SPA.
Czy narzędzia typu Wappalyzer zawsze trafiają poprawnie?
Nie. Te narzędzia bazują na sygnaturach i heurystykach, więc mogą dawać fałszywe pozytywy lub negatywy, zwłaszcza przy niestandardowych konfiguracjach lub ukrytych instalacjach.
Co zrobić, gdy strona ma wp-login, ale nie ma wp-content w źródle?
To może być efekt próby ukrycia struktury lub użycia niestandardowej ścieżki dla zasobów. Dalsza analiza nagłówków, ciasteczek i REST API pomoże zweryfikować diagnozę.
Czy wykrycie wersji WordPressa jest łatwe?
Wykrycie wersji bywa trudne, ponieważ wiele serwisów usuwa wersję z metatagów i plików. Jeśli wersja nie jest jawna, nie zakładaj jej bez dalszych dowodów.
Najważniejsze wnioski
- Najprostsze i najszybsze dowody to dostępność /wp-admin, /wp-login.php i ścieżek wp-content.
- Sprawdź kilka niezależnych sygnałów: źródło strony, REST API, ciasteczka i nagłówki HTTP.
- Użyj narzędzi online jako wsparcia, ale zawsze weryfikuj ręcznie wątpliwe wyniki.
- Ukryte lub headless instalacje wymagają głębszej analizy — RSS, pliki CSS i fingerprinting mogą pomóc.
- Zachowaj etykę i prawo — nie skanuj podatności bez zgody właściciela strony.
Dalsza literatura i źródła, z których warto korzystać: oficjalna dokumentacja WordPress oraz przewodniki deweloperskie, materiały dotyczące REST API WordPressa, raporty i blogi branżowe o bezpieczeństwie (np. publikacje firm zajmujących się bezpieczeństwem CMS), dokumentacja narzędzi fingerprintingowych i rozszerzeń przeglądarkowych.
Strateg e-biznesu, który łączy techniczne SEO i świat IT ze skutecznym marketingiem oraz sprzedażą. Pomagam firmom budować wydajne strony i sklepy internetowe, które nie tylko przyciągają ruch, ale realnie konwertują go w zysk. Wdrażam kompleksowe strategie, w których analityka, płatne kampanie i pozycjonowanie tworzą jeden spójny mechanizm wzrostu. Na portalu pokazuję, jak zarządzać technologią i procesami, by bezpiecznie i stabilnie skalować biznes w internecie.