Proč útočníci neřeší velikost webu, ale slabé místo
Většina útoků na weby nezačíná cíleně. Automatizované nástroje denně procházejí miliony domén a hledají známé chyby: zastaralé pluginy, slabá hesla, otevřené administrační rozhraní, chybná práva k souborům nebo neopravené zranitelnosti v CMS. Podle dlouhodobých bezpečnostních reportů se velká část kompromitací odehrává do 24 až 72 hodin od zveřejnění kritické chyby, protože botnety reagují rychleji než správci webů.
Pro útočníka je jedno, jestli spravujete firemní web, blog nebo malý e-shop. Když najde jednu díru, může přes ni nahrát malware, přesměrovat návštěvníky, krást přihlašovací údaje nebo zneužít server k dalším útokům. Proto je webová bezpečnost především o prevenci, průběžné kontrole a rychlé reakci.
Kde vznikají nejčastější díry v praxi
Nejvíc incidentů nevzniká kvůli „sofistikovanému hackingu“, ale kvůli běžným provozním chybám. Typicky jde o kombinaci technického dluhu a nedostatečné údržby.
1. Zastaralý CMS, pluginy a šablony
WordPress, Joomla, Drupal i headless řešení jsou bezpečná jen do té míry, do jaké jsou aktualizovaná. U WordPressu bývá problémem hlavně ekosystém pluginů. Stačí jeden neudržovaný doplněk s chybou v ověřování oprávnění a útočník může nahrát soubor, číst data nebo převzít účet administrátora.
- Kontrolujte verze CMS, pluginů a šablon minimálně 1× týdně.
- Odstraňte vše, co nepoužíváte – neaktivní plugin je stále riziko.
- U kritických webů testujte aktualizace nejdřív na stagingu.
2. Slabá hesla a chybějící vícefaktorové ověření
Bruteforce útoky a credential stuffing jsou stále velmi účinné. Pokud správce používá stejné heslo napříč službami, útočník často nepotřebuje exploit, stačí mu uniklá databáze z jiné platformy. MFA výrazně snižuje riziko, protože samotné heslo už nestačí.
- Pro administraci používejte MFA všude, kde je to možné.
- Hesla mají být unikátní a dlouhá, ideálně spravovaná v password manageru.
- Zvažte omezení přístupu do administrace podle IP adres nebo přes VPN.
3. Špatná konfigurace serveru a práv k souborům
Častá chyba je příliš volné nastavení práv, otevřené adresáře nebo možnost zápisu tam, kde nemá být. Pokud webový proces může zapisovat do všech složek, útočník má po průniku mnohem jednodušší cestu k perzistenci. Stejně tak nechráněné zálohy nebo logy mohou prozradit citlivé informace.
- Kontrolujte oprávnění souborů a složek, zejména u uploadu a konfigurací.
- Zakažte listing adresářů.
- Citlivé soubory mimo webroot, zálohy odděleně a ideálně šifrovaně.
Jak útočníci web reálně napadají
U menších webů je typický scénář jednoduchý: automatický skener najde zranitelný plugin nebo slabé přihlašování, získá přístup, vloží škodlivý skript a čeká. Někdy se útok projeví okamžitě, jindy až po týdnech. Nejde jen o zjevné poškození webu, ale i o tiché zneužití – například SEO spam, skryté odkazy, phishingové formuláře nebo přesměrování částí návštěvnosti na cizí domény.
V praxi se často objevují tyto formy kompromitace:
- Defacement – úprava obsahu webu, výměna homepage.
- Malware injection – vložení škodlivého JavaScriptu nebo iframe.
- SEO spam – generování tisíců podstránek pro cizí klíčová slova.
- Phishing – vytvoření falešné přihlašovací nebo platební stránky.
- Datový únik – odcizení emailů, objednávek, účtů a interních dat.
Pro vyhledávače i uživatele má takový útok okamžité dopady: pokles důvěry, varování v prohlížečích, zhoršení SEO výkonu a často i dočasné vyřazení z indexu.
Co hlídat každý týden: praktický bezpečnostní checklist
Bezpečnost webu není jednorázový projekt, ale provozní rutina. Pokud máte malý tým, postačí jednoduchý systém kontrol, který zabere desítky minut týdně, ale výrazně sníží riziko.
- Aktualizace CMS, pluginů, šablon a serverových balíčků.
- Kontrola účtů – kdo má administrátorský přístup a zda stále pracuje pro firmu.
- Logy – neobvyklé přihlášení, opakované chyby, podezřelé požadavky na upload.
- Změny souborů – nečekané úpravy v jádru webu, šabloně nebo v upload složce.
- Backup test – záloha není záloha, dokud ji neumíte obnovit.
- SSL/TLS – platnost certifikátu, přesměrování na HTTPS, HSTS.
U WordPressu je velmi užitečné nastavit monitoring integrity souborů. Nástroje jako Wordfence, iThemes Security nebo serverový AIDE umí upozornit na změny v systémových souborech. Pro menší weby je to často nejrychlejší způsob, jak odhalit průnik včas.
Nástroje a kontroly, které dávají smysl i bez bezpečnostního týmu
Není nutné budovat vlastní SOC, abyste měli nad webem rozumný dohled. Důležité je kombinovat několik jednoduchých vrstev ochrany.
- Google Search Console – sledujte bezpečnostní problémy a manuální zásahy.
- UptimeRobot / Better Stack – hlídání dostupnosti a rychlé upozornění na výpadky.
- Cloudflare – základní WAF, ochrana proti botům, rate limiting, DNS zabezpečení.
- OWASP ZAP – základní bezpečnostní scan aplikace před nasazením.
- Burp Suite – ruční testování formulářů, autentizace a session managementu.
- WPScan – kontrola známých zranitelností ve WordPressu.
- Fail2ban – blokování opakovaných neúspěšných přihlášení na serveru.
U e-shopů a webových aplikací dává smysl pravidelný vulnerability scan alespoň 1× měsíčně a po každé větší změně. Pokud máte vývojový proces, zařaďte bezpečnostní kontrolu do release checklistu stejně jako testování formulářů nebo rychlosti načítání.
Jak nastavit obranu tak, aby fungovala i v běžném provozu
Nejlepší bezpečnost je ta, kterou tým skutečně používá. Pokud je proces příliš složitý, lidé ho obejdou. Proto je vhodné rozdělit ochranu do několika úrovní a začít tím, co má největší efekt.
- Minimální standard: MFA, aktualizace, zálohy, WAF, monitoring.
- Střední úroveň: staging prostředí, oddělené role, audit logy, skenování zranitelností.
- Vyšší úroveň: princip minimálních oprávnění, segmentace serverů, pravidelné penetrační testy.
Velmi důležitý je také incident response plán. Když se něco stane, nesmíte improvizovat. Mějte připravené kroky: odpojit napadený web od provozu, změnit přístupy, obnovit čistou zálohu, zkontrolovat logy, provést forenzní analýzu a informovat hosting nebo klienty podle závažnosti incidentu.
Co si pohlídat u WordPressu, protože právě tam vzniká hodně problémů
WordPress je bezpečný systém, ale kvůli obrovskému podílu na trhu je i častým cílem útoků. Kritické je hlavně řízení pluginů a oprávnění uživatelů. Každý další plugin znamená další potenciální vstupní bod. V praxi často stačí vymazat 5 až 10 zbytečných pluginů a zmenšit riziko i technický dluh najednou.
- Omezte počet administrátorů na skutečné minimum.
- Vypněte editaci souborů z administrace.
- Používejte bezpečnostní plugin jen jako jednu vrstvu, ne jako náhradu údržby.
- Pravidelně kontrolujte uživatelské účty, cron úlohy a neznámé soubory v upload složce.
Pokud provozujete WooCommerce, přidejte i kontrolu platebních integrací, webhooků a napojení na externí služby. Útok nemusí poškodit jen web, ale i objednávky, fakturaci a zákaznická data. U obchodních webů je proto bezpečnost přímo součástí konverzního výkonu: čím méně incidentů, tím vyšší důvěra, lepší SEO signály a menší riziko ztráty tržeb.
