Tech & Trendy

Hackeři nehledají velké firmy. Stačí jim jeden slabý web

56 roky ago
Bc. Martina Vaňková | Redakce

Proč si útočníci vybírají právě slabé weby

Většina útoků není cílená na konkrétní značku. Útočníci používají automatizované skripty, které procházejí internet a hledají známé zranitelnosti, otevřené administrační rozhraní, zastaralé pluginy nebo špatně zabezpečené formuláře. Z pohledu útočníka je jedno, jestli jde o malý firemní web, blog nebo e-shop s pár objednávkami denně. Důležité je, zda je možné web snadno převzít, zneužít pro spam, vložit škodlivý kód nebo získat přístup k datům.

Podle dlouhodobých statistik bezpečnostních firem tvoří velkou část incidentů automatizované pokusy o prolomení přihlašování, zneužití známých chyb v CMS a injektování škodlivých skriptů do webů, které nebyly aktualizované týdny nebo měsíce. To je důvod, proč se bezpečnost webu neřeší jen po hacknutí, ale hlavně průběžně.

Nejčastější slabiny, které útočníci hledají jako první

První krok je vždy stejný: najít nejsnazší vstup. V praxi to bývá kombinace několika opakujících se chyb, které se dají odhalit během minut.

  • Slabé nebo opakovaně používané heslo – administrace bez 2FA je pro boty velmi lákavá.
  • Zastaralý WordPress, pluginy nebo šablony – staré verze často obsahují veřejně známé chyby.
  • Otevřený adresář wp-admin / login bez ochrany – útoky hrubou silou jsou pak jen otázkou času.
  • Chybné nastavení práv souborů – například zápis do citlivých souborů nebo složek.
  • Chybějící WAF a rate limiting – web neumí omezit opakované pokusy a podezřelý provoz.
  • Nezabezpečené formuláře – spam, injection, zneužití pro odesílání škodlivého obsahu.

Typický příklad z praxe: malý firemní web na WordPressu, který nebyl aktualizovaný osm měsíců, měl stejný administrátorský účet pro více lidí a žádnou dvoufaktorovou autentizaci. Útočník nepotřeboval „hacknout firmu“ – stačilo mu najít starý plugin s veřejně známou chybou a během několika minut vložit do webu skript pro přesměrování návštěvníků na podvodné stránky.

Co zkontrolovat hned dnes: rychlý bezpečnostní audit webu

Pokud chcete zjistit, jak na tom web opravdu je, začněte jednoduchým auditem. Nejde o jednorázovou akci, ale o základní inventuru rizik. Pro malé a střední weby často stačí 30–60 minut, aby se odhalily největší problémy.

1. Aktualizace a inventura komponent

Sepište si verzi CMS, šablony a všech pluginů. U WordPressu je kritické sledovat nejen hlavní verzi, ale i doplňky, které přidávají formuláře, cache, page buildery, e-commerce nebo napojení na externí služby. Kritické bezpečnostní chyby bývají veřejně dohledatelné v databázích jako CVE, WPScan Vulnerability Database nebo v oznámeních vývojářů pluginů.

2. Přihlášení a oprávnění

Každý administrátorský účet by měl mít vlastní přístup, silné heslo a ideálně 2FA. Uživatelé by měli mít jen taková práva, která skutečně potřebují. Pokud někdo spravuje obsah, nepotřebuje administrátorský přístup k instalaci pluginů nebo úpravám systémových souborů.

3. Zálohy a obnova

Záloha není zabezpečení sama o sobě, ale je to poslední pojistka. Ověřte, zda máte automatické denní zálohy, kde jsou uložené a hlavně zda je umíte skutečně obnovit. Nezřídka se stává, že zálohy existují, ale jsou na stejném serveru jako napadený web nebo se zjistí, že obnovovací proces nefunguje.

4. Logy a monitoring

Bez logů nepoznáte, že se něco děje. Kontrolujte přístupové logy, neúspěšná přihlášení, změny souborů a podezřelé požadavky na citlivé adresy. Pro menší weby je velmi užitečné nasadit monitoring dostupnosti a změn souborů přes nástroje jako Wordfence, Sucuri nebo serverový monitoring v hostingu.

Jak web ochránit technicky: minimum, které má smysl

Bezpečnost není o jedné „zázračné“ aplikaci. Jde o více vrstev, které se doplňují. I levný web může být poměrně odolný, pokud má správně nastavený základ.

  • HTTPS a HSTS – SSL certifikát je dnes standard, ale HSTS pomáhá vynutit bezpečné spojení.
  • WAF – web application firewall filtruje části útoků ještě předtím, než dorazí k aplikaci.
  • Rate limiting – omezení počtu pokusů o přihlášení a odeslání formuláře.
  • Silná správa hesel – správce hesel jako 1Password, Bitwarden nebo LastPass výrazně snižuje riziko opakování hesel.
  • Oddělené prostředí pro testování – aktualizace a pluginy testujte nejdřív na stagingu.
  • Omezení přístupu podle IP – zejména pro administraci, pokud je to provozně možné.

U WordPressu má smysl zvážit pluginy jako Wordfence, iThemes Security nebo Solid Security, ale vždy s ohledem na dopad na výkon a správné nastavení. Na úrovni serveru se vyplatí Cloudflare nebo jiný CDN/WAF, protože umí blokovat část škodlivého provozu ještě před hostingu. U citlivějších projektů je vhodné přidat i Fail2ban, který automaticky blokuje podezřelé IP adresy po opakovaných pokusech o přihlášení.

Bezpečnost obsahu, formulářů a e-shopu: místa, kde útok často začne

Nejvíc kompromitovaných webů nebývá prolomeno přes „velké“ technické chyby, ale přes drobnosti. Typicky jde o kontaktní formulář, komentáře, nahrávání souborů nebo napojení na e-shopové rozšíření. Právě zde se objevuje spam, injektovaný kód nebo zneužití pro phishing.

Pokud provozujete e-shop, sledujte zejména platby, změny v objednávkách, nové administrátorské role a neobvyklé přesměrování zákazníků. U WooCommerce je důležité pravidelně kontrolovat kompatibilitu pluginů po aktualizacích. Jeden neudržovaný doplněk může ohrozit celý checkout, a tím i obrat. U formulářů používejte reCAPTCHA, hCaptcha nebo alespoň serverovou ochranu proti botům. U uploadů souborů omezte typy souborů, velikost i práva ke spuštění.

Velmi častým problémem je i tzv. SEO spam – útočník vloží stovky podstránek s cizojazyčným obsahem, které se začnou indexovat ve vyhledávači. Web pak nejen ztrácí důvěru, ale může přijít i o organickou návštěvnost. V Google Search Console sledujte neočekávané URL, indexované stránky bez vašeho obsahu a prudké změny v počtu zobrazení.

Jak nastavit proces, aby bezpečnost nebyla jednorázová oprava

Největší chyba je myslet si, že zabezpečení webu je projekt na jeden den. Ve skutečnosti jde o proces, který musí být součástí správy webu stejně jako obsah nebo SEO. Doporučuji jednoduchý režim, který zvládne i menší tým:

  • 1× týdně kontrola aktualizací, nových účtů a logů.
  • 1× měsíčně kontrola záloh, obnovy a sken zranitelností.
  • 1× za kvartál revize přístupů, pluginů a bezpečnostní konfigurace.
  • Po každé větší změně test přihlášení, formulářů, checkoutu a výkonu.

Pro technický audit lze použít nástroje jako WPScan, Burp Suite, Google Search Console, GTmetrix pro dopad bezpečnostních pluginů na výkon nebo SecurityHeaders.com pro kontrolu hlaviček. Důležité je nespoléhat na pocit, ale na data. Web může působit „v pořádku“, a přesto z něj útočník už týdny odesílá spam nebo těží výkon serveru pro cizí účely.

Jestli má váš web přinášet poptávky, objednávky nebo důvěru, bezpečnost není doplněk. Je to základní provozní disciplína, která rozhoduje o tom, zda web vydělává, nebo se stane snadným cílem prvního automatizovaného skriptu, který ho najde.

Bc. Martina Vaňková | Redakce
Bc. Martina Vaňková | Redakce

Redaktorka magazínu CityPress.cz s citem pro detail a aktuální dění. Věnuje se zpravodajství, kultuře a lifestylovým tématům. Ráda objevuje nová místa a inspirativní příběhy, které následně přenáší na stránky našeho magazínu.

https://www.citypress.cz