FAQ

FAQ - Najczęściej zadawane pytania.

1. Czy antywirus na serwerze nie wystarczy?

Niestety nie. Antywirus chroni przed znanymi już złośliwymi plikami, ale boty i skrypty atakują warstwę aplikacji (PHP, HTTP, REST API itd.), a te luki muszą być uszczelnione wielopoziomowo. Nasz certyfikat weryfikuje nie tylko sygnatury złośliwego kodu, lecz także konfigurację serwera, nagłówki bezpieczeństwa, backupy, WAF, 2FA i wszystkie 16 kluczowych elementów.

2. „Mam już wdrożone niektóre elementy (np. SSL, reCAPTCHA), czy mogę liczyć na rabat lub kupić tylko brakujące części?”

Nasza oferta to 16-warstwowy, zintegrowany pakiet, który musi być wdrożony punkt po punkcie, tak aby każda warstwa była zsynchronizowana z pozostałymi. Nawet jeśli część zabezpieczeń (SSL, reCAPTCHA, WAF) już działa, samodzielne dołożenie kolejnego modułu bez całościowej integracji tworzy „dziury” w ochronie i unieważnia możliwość przyznania certyfikatu.

Dlatego:

Nie rozbijamy pakietu na fragmenty – naszym partnerom zlecającym wdrożenie przekazujemy pełną sekwencję prac, a każdy element jest testowany w kontekście pozostałych.
Brak rabatów za częściowe wdrożenia wynika z tego, że tylko kompleksowa realizacja gwarantuje, że wszystkie warstwy pracują razem jako spójny system.
Certyfikat otrzymasz wyłącznie po pełnej weryfikacji wszystkich 16 warstw – pojedyncze, niespójne poprawki nie dają pewności, że nie pojawi się nowa „szczelina” dla ataku.

Dzięki takiemu podejściu każdy certyfikat wystawiony przez naszą sieć partnerów jest wiarygodny i świadczy o tym, że Twoja strona przeszła całościowy, wielowarstwowy audyt i wdrożenie.

3. Ile trwa proces uzyskania certyfikatu?

Automatyczny test: ~30 sekund, by ocenić 16 pierwszych punktów technicznych.

Ręczny audyt: 1–2 dni robocze, podczas których specjaliści sprawdzają backupy off-site, logi i uprawnienia.

Wydanie certyfikatu: natychmiast po uzyskaniu wyniku 100%.

Łącznie – od kilkudziesięciu minut do 2 dni pracy, w zależności od potrzebnych poprawek.

4. Czy muszę od razu płacić za całe wdrożenie, żeby uzyskać certyfikat?

Sam certyfikat jest bezpłatny dla stron, które osiągną 100% w teście. Jeśli brakuje Ci którejś z warstw, możesz samodzielnie wprowadzić poprawki lub skorzystać z sieci naszych partnerów wdrożeniowych. Dopiero po uzyskaniu wszystkich zabezpieczeń otrzymujesz dokument, grafikę i wtyczkę do umieszczenia na stronie.

5. Jak długo jest ważny certyfikat?

Certyfikat jest ważny przez 12 miesięcy od daty wydania. Po roku zalecamy powtórzyć test i audyt, aby potwierdzić, że nie pojawiły się nowe luki wtyczek, motywów czy konfiguracji serwera.

6. Co jeśli nie uzyskam 100% za pierwszym razem?

Otrzymasz szczegółowy raport z wyszczególnieniem brakujących warstw i instrukcjami co poprawić. Gdy wdrożysz zmiany, wystarczy ponownie uruchomić test automatyczny i – po pozytywnym wyniku – odebrać certyfikat.

7. Czy test i certyfikat zbierają dane użytkowników?

Nie. Automatyczny skrypt jedynie analizuje publicznie dostępne nagłówki, endpointy i konfigurację Twojej witryny. Nie przechowujemy i nie przetwarzamy danych odwiedzających Twoją stronę.

8. Czy muszę być ekspertem, żeby przejść test?

Nie. Automatyczny test daje czytelny wynik „✔” lub „❌” przy każdym z 16 punktów. Raport zawiera opisy, co należy zrobić, a w razie potrzeby nasi partnerzy wdrożeniowi pomogą w szybkim zamknięciu luk.

9. Czy certyfikat zwiększy mój ranking w Google?

Bezpośrednio odznaka nie jest czynnikiem rankingowym, ale:

strony z HTTPS/HSTS i poprawnymi nagłówkami zyskują wyższe pozycje,
niższe ryzyko ataków i lepsze UX wpływają pozytywnie na współczynnik konwersji i czas spędzony na stronie,
a to z kolei przekłada się pośrednio na lepsze SEO.

10. Czy mogę umieścić certyfikat w innych materiałach?

Tak. Otrzymujesz logo w wersji wektorowej i PNG, które możesz zamieścić w stopce, ofertach PDF, mailingu czy prezentacjach sprzedażowych – wszędzie tam, gdzie chcesz podkreślić, że Twoja strona spełnia najwyższe standardy bezpieczeństwa.

11. Czy certyfikat jest wiarygodny dla partnerów B2B?

Jak najbardziej. Weryfikacja odbywa się według uznanego na świecie standardu OWASP oraz audytu manualnego. W raportach dla compliance czy przy przetargach ten dokument działa jak potwierdzenie spełnienia rygorystycznych kryteriów ochrony danych.

12. Jak często powinienem powtarzać test?

Rekomendujemy:

Po każdej większej aktualizacji WordPressa, motywów lub wtyczek,
Co kwartał – by wyłapać nowe podatności,
Przed kluczowymi kampaniami marketingowymi lub rozwojem funkcji.

Dzięki temu zawsze wiesz, że Twoja strona pozostaje w pełnej gotowości na ataki.

13. Czy certyfikat gwarantuje 100% bezpieczeństwo?

Absolutnych gwarancji nie ma – internet to dynamiczne środowisko. Jednak wdrożenie wszystkich 16 warstw według standardu OWASP redukuje ryzyko ataku o 80–95%, zamykając najpopularniejsze wektory włamań. Certyfikat potwierdza, że Twoja strona spełnia te rygorystyczne kryteria.

14. Czy mój dostawca hostingu pozwoli na wszystkie 16 warstw?

Większość niezależnych i komercyjnych hostingów obsługuje wszystkie elementy pakietu. WAF możesz włączyć na poziomie CDN (Cloudflare, Sucuri) niezależnie od serwera. Nagłówki bezpieczeństwa i konfigurację przeprowadzisz w .htaccess lub panelu PHP. Backup off-site, 2FA czy reCAPTCHA działają na poziomie WordPressa. Jedynie restrykcyjne chmod’y wymagają dostępu do SSH/SFTP, ale także te opcje oferuje większość dostawców.

15. Jaki wpływ na wydajność ma cały pakiet?

Każda warstwa została dobrana tak, by zminimalizować narzut:

WAF/CDN – odciąża serwer, cachując statyczne zasoby,
Nagłówki i SSL – minimalny wpływ na czas odpowiedzi,
Automatyczne aktualizacje i skrypty testowe – uruchamiane w tle, poza ruchem użytkowników.
W praktyce wdrożenie całego pakietu może nawet poprawić szybkość ładowania dzięki CDN i optymalizacji nagłówków.

16. Czy mogę przeprowadzić test na środowisku testowym przed produkcją?

Oczywiście – zalecamy stworzenie kopii staging, na której uruchomisz automatyczny skrypt i całą procedurę audytu. Dzięki temu:

unikniesz potencjalnych przerw w działaniu strony produkcyjnej,
spokojnie przetestujesz każdą warstwę i wprowadzisz poprawki,
podglądniesz raport końcowy bez konsekwencji dla klientów.

Warto dodać, że wdrożenie na stronie produkcyjnej wiąże się z minimalnym ryzykiem komplikacji. Nasi wykfalifikowani partnerzy są przygotowani na każdy wariant.

17. Jak wygląda wsparcie po wydaniu certyfikatu?

Certyfikat to dopiero początek partnerstwa. Oferujemy:

Monitoring nowych podatności w użytych wtyczkach i motywach,
Alerty e-mailowe, gdy pojawi się aktualizacja OWASP lub krytyczna luka,
Dostęp do aktualizowanych checklist i webinarów edukacyjnych dla partnerów.

18. Co zrobić, gdy po wdrożeniu pojawią się konflikty wtyczek?

Nasz raport zawiera listę rekomendowanych rozwiązań, a partnerzy wdrożeniowi mają doświadczenie w:

identyfikacji i dezaktywacji kolidujących wtyczek,
dostrojeniu reguł WAF tak, by omijały legalne zapytania,
zaproponowaniu alternatyw (lekkich, zgodnych z OWASP) wtyczek.

19. Czy certyfikat uwzględnia specyfikę multisite WordPress?

Tak — podczas audytu sprawdzamy każdy serwis w sieci multisite:

wspólne ustawienia nagłówków, SSL i WAF,
odrębne reguły dla katalogów uploads każdej instancji,
indywidualne limity logowania i backupy.

20. Jakie są zasady odświeżania lub odnawiania certyfikatu?

Certyfikat ważny jest 12 miesięcy. Przed jego wygaśnięciem:

wysyłamy przypomnienie na 30 i 7 dni przed końcem ważności,
zachęcamy do ponownego, skróconego testu — automatyczny skrypt + szybki ręczny audyt,
po potwierdzeniu, że nic się nie pogorszyło, odnawiamy certyfikat automatycznie bezpłatnie.

21. Czy mogę samodzielnie wprowadzić poprawki na podstawie raportu?

Tak, jeśli posiadasz dostęp SSH/SFTP i kompetencje do modyfikacji plików WordPressa. Raport zawiera jasne opisy, które warstwy wymagają uwagi. Jeśli wolisz, możesz zlecić to jednemu z naszych partnerów wdrożeniowych — zarówno opcja DIY, jak i pełne wsparcie eksperckie prowadzi do uzyskania certyfikatu.

22. Co wchodzi w skład dokumentacji, którą otrzyma klient?

Pełny raport PDF z wykazem 16 warstw i wynikami punktowymi,
Zrzuty ekranu/fragmenty logów potwierdzające wdrożenie,
Rekomendacje i opis ewentualnych poprawek,
Grafika certyfikatu w formatach SVG i PNG do umieszczenia na stronie.

23. Czy certyfikat chroni przed atakami typu DDoS?

Sam certyfikat nie blokuje DDoS, ale:

jeden z elementów pakietu to WAF/CDN o funkcjach ratelimit i blokady botów,
większość umiarkowanych ataków wolumetrycznych zostanie odrzucona na warstwie CDN,
do ochrony przed dużymi DDoS sugerujemy dodatek „Advanced DDoS Protection” od partnerów.

24. Czy mogę zaprosić zewnętrznego audytora, aby zweryfikował Wasze wyniki?

Jesteśmy w pełni transparentni:

dostarczymy Ci pełną dokumentację wszystkich testów,
umożliwimy dostęp do logów i endpointów REST API automatycznego skryptu,
nasi partnerzy wdrożeniowi chętnie pomogą przy takiej weryfikacji.

25. Czy certyfikat działa w połączeniu z innymi standardami (ISO, PCI DSS)?

16-warstwowa Metodyka OWASP uzupełnia wymagania ISO 27001, PCI DSS czy krajowych norm NIS.

nagłówki bezpieczeństwa i logowanie odpowiadają częściowo na punkt 9.4 ISO,
backupy off-site spełniają wymogi ciągłości działania,
Raport OWASP jest uznawany przez audytorów PCI DSS jako dodatkowy dowód testów pen-test.

26. Co się dzieje, jeśli w trakcie ważności certyfikatu odkryję nową krytyczną lukę?

Od razu uruchamiamy ekstra audyt tylko dla nowego zagrożenia,
Fundusz wsparcia subskrypcyjnego pokrywa koszty szybkiej aktualizacji i testów regresyjnych,
Po potwierdzeniu poprawki otrzymujesz aktualizację certyfikatu bez dodatkowych opłat.