Nejslabší článek nebývá server, ale člověk a proces

Když se mluví o hacknutí webu, většina lidí si představí složitý útok na šifrování nebo prolomení hesla hrubou silou. Praxe je ale mnohem všednější. Podle dlouhodobých zpráv bezpečnostních firem i incidentů řešených v malých a středních firmách často rozhodne phishing, zneužitý účet, špatně nastavený plugin nebo neaktualizovaný systém. Útočník nepotřebuje „rozbít“ zabezpečení, když mu někdo sám otevře dveře.

Typický scénář vypadá jednoduše: administrátor klikne na podvodný odkaz, zadá přihlašovací údaje do falešné stránky, útočník se přihlásí do WordPressu nebo cloudu a během minut mění obsah, přidává škodlivý skript nebo si vytvoří nového správce. Druhá častá cesta vede přes zapomenutý plugin, starý formulář nebo účet dodavatele, který už dávno neměl mít přístup. Z pohledu obrany je proto důležité řešit nejen technické zabezpečení, ale i procesy a návyky lidí, kteří web spravují.

Heslo nestačí: rozhoduje správa přístupů

Silné heslo je základ, ale samo o sobě nechrání. Pokud stejnou kombinaci používáte pro e-mail, hosting a administraci webu, stačí únik z jedné služby a útočník zkusí přihlášení všude jinde. To je důvod, proč se v praxi doporučuje používat správce hesel a pro klíčové účty zapnout vícefaktorové ověření. U administrace webu, hostingu, DNS i e-mailu je to dnes minimum.

U menších firem se často podceňuje i princip nejmenších oprávnění. Redaktor nepotřebuje přístup k pluginům, účetní nepotřebuje správu webu a externí agentura by neměla mít zbytečně plná práva navždy. Každý účet, který existuje navíc, je potenciální bod selhání. Pokud dodavatel končí spolupráci, přístup má být okamžitě odebrán, nejen „někdy později“.

  • Zapněte MFA na e-mailu, hostingu, WordPressu, cloudových službách i DNS.
  • Nepoužívejte sdílené účty typu admin@ nebo „jeden login pro všechny“.
  • Udělejte audit přístupů alespoň jednou za měsíc.
  • Pro správu hesel používejte nástroje jako 1Password, Bitwarden nebo LastPass s ohledem na interní politiku firmy.

Praktický příklad: firma s pěti lidmi může mít na webu deset aktivních účtů, protože každý bývalý zaměstnanec „tam ještě někde zůstal“. Útočník často hledá právě takové zapomenuté přístupy, které nikdo nesleduje.

WordPress, pluginy a šablony: nejčastější vstupní brána

WordPress je rozšířený právě proto, že je flexibilní. Stejná vlastnost ale znamená i vyšší riziko, pokud se nehlídá kvalita pluginů a šablon. Útočníci často cílí na známé zranitelnosti ve starších verzích doplňků, protože je lze automatizovaně vyhledávat ve velkém. Když web běží na zastaralé verzi jádra, pluginu nebo tématu, je to pro útočníka jednodušší než hledat složitou chybu v kódu.

Bezpečnostní incidenty u WordPressu bývají překvapivě často spojeny s doplňky pro formuláře, cache, page buildery, zálohování nebo e-commerce. Nestačí plugin jen „mít nainstalovaný“. Je nutné vědět, kdo ho vyvíjí, jak rychle reaguje na chyby a zda má pravidelné aktualizace. Pokud plugin není aktivně udržovaný, měl by být nahrazen.

  • Aktualizujte core, pluginy i šablony co nejdříve po vydání opravy.
  • Odstraňte nepoužívané pluginy, ne jen deaktivujte.
  • Instalujte pouze z ověřených zdrojů a sledujte hodnocení i historii vývoje.
  • Omezte počet administrátorů na skutečné minimum.

U větších webů je vhodné mít testovací prostředí, kde se aktualizace nejdřív ověří. U e-shopu může špatně kompatibilní plugin znamenat nejen bezpečnostní problém, ale i výpadek tržeb. Oprava po útoku bývá několikanásobně dražší než prevence.

Technické chyby, které útočníci milují

Nejde jen o přihlášení. Mnoho incidentů vzniká kvůli drobným technickým nedostatkům, které se v provozu přehlédnou. Patří sem špatně nastavená práva k souborům, otevřená administrační rozhraní, chybějící limit pokusů o přihlášení nebo veřejně dostupné zálohy. Útočník často postupuje metodou průzkumu: najde verzi systému, otestuje známé chyby a zkusí, co je dostupné bez ochrany.

Velmi častým problémem jsou i formuláře a API endpointy. Pokud nejsou chráněné proti spamům, botům nebo zneužití, mohou sloužit k zahlcení serveru, sběru dat nebo injektování škodlivého obsahu. U webů s přihlašováním je vhodné nasadit rate limiting, ochranu proti brute force útokům a monitoring neobvyklých přihlášení.

Pro běžný provoz dává smysl zkontrolovat zejména tyto oblasti:

  • HTTPS a certifikát SSL/TLS bez chyb a s automatickou obnovou.
  • Práva souborů a adresářů nastavená podle doporučení hostingu a CMS.
  • Zakázání editace souborů přímo z administrace, pokud není nutná.
  • Ochrana přihlášení přes MFA, rate limiting a případně CAPTCHA.
  • Bezpečné zálohy mimo stejný server nebo účet.

Jedna z nejhorších chyb je mít zálohy uložené na stejném hostingu, který byl kompromitován. V takovém případě útočník často smaže nejen web, ale i poslední možnost obnovy.

Monitoring, logy a zálohy: až incident ukáže, kdo je připravený

Bezpečnost není jednorázové nastavení, ale průběžná kontrola. Pokud firma nehlídá logy, často zjistí problém až ve chvíli, kdy web přesměrovává návštěvníky na cizí doménu nebo Google označí stránku jako nebezpečnou. V tu chvíli už nejde jen o technický zásah, ale i o dopad na SEO, reputaci a tržby. Vyčištění indexace po útoku může trvat dny až týdny.

Proto má smysl sledovat změny na webu automaticky. Užitečné jsou alerty na nové administrátory, změny souborů, neobvyklé přihlášení z cizí země nebo masové úpravy obsahu. Nástroje jako Wordfence, Sucuri, Cloudflare nebo serverové monitoringy pomohou odhalit problém dřív, než se rozšíří. Na úrovni hostingu je vhodné mít aktivní ochranu proti malwaru a možnost rychlého obnovovacího bodu.

U záloh platí jednoduché pravidlo: pokud obnovu nikdy netestujete, nevíte, jestli funguje. Ideální je kombinace denních záloh databáze a pravidelných plných záloh webu, uložených mimo produkční server. U e-shopu nebo webu s častými změnami může být nutná i častější frekvence. Obnova by měla být nacvičená předem, ne až uprostřed incidentu.

Co udělat během dne, ne během měsíce

Největší přínos má rychlý audit. Během jednoho dne lze výrazně snížit riziko většiny běžných útoků. Začněte u přístupů, pokračujte přes aktualizace a skončete u monitoringu. U menšího webu to znamená několik konkrétních kroků, které mají okamžitý efekt.

  • Zapněte MFA pro všechny správce a admin účty.
  • Změňte hesla u administrace, hostingu, FTP/SFTP a e-mailu.
  • Odstraňte nepoužívané účty a pluginy.
  • Aktualizujte CMS, šablony a doplňky.
  • Zkontrolujte, kde jsou uložené zálohy a kdo k nim má přístup.
  • Nastavte upozornění na změny souborů, přihlášení a vytvoření nového administrátora.

Firmy, které tyto kroky odkládají, často platí vyšší cenu později: ztrátu dat, výpadek provozu, reputační škodu i náklady na obnovu. Útočníci nečekají na „vhodný moment“. Sledují slabiny, které zůstaly bez dozoru. A právě v tom je jejich výhoda i vaše šance – většinu z nich lze omezit rychleji, než se zdá.