Hackeři neútočí jen na hesla. Nejčastější díry webů dnes

Nejslabší místo bývá tam, kde ho nikdo nečeká

Většina úspěšných útoků na weby nezačíná „geniálním hackem“, ale kombinací běžných slabin, které se dlouho neřešily. Podle dlouhodobých statistik bezpečnostních firem se opakovaně ukazuje, že velká část incidentů souvisí se zastaralým softwarem, chybně nastavenými přístupy a lidským faktorem. Pro majitele webů to znamená jediné: nestačí mít silné heslo k administraci. Je nutné hlídat celý řetězec od hostingu až po formuláře a napojení na externí služby.

Největší problém je, že mnoho zranitelností není na první pohled vidět. Web funguje, objednávky chodí, formuláře se odesílají, a přesto může být v systému otevřená zadní vrátka. Útočníci přitom často využívají automatizované skenery, které během minut projdou tisíce webů a hledají známé chyby. Pokud používáte WordPress, e-shop nebo vlastní aplikaci, je důležité vědět, kde jsou typická slabá místa a jak je pravidelně kontrolovat.

1. Zastaralé pluginy, šablony a knihovny: nejčastější vstupní brána

U redakčních systémů, hlavně WordPressu, patří mezi nejčastější problém pluginy a šablony, které nejsou aktualizované. Bezpečnostní týmy dlouhodobě upozorňují, že právě doplňky bývají častějším zdrojem zranitelností než samotné jádro systému. Stačí jeden opuštěný plugin s chybou typu XSS, SQL injection nebo nesprávnou validací vstupu a útočník má cestu dovnitř.

Praktický příklad: web má 18 pluginů, z nichž 6 nebylo aktualizováno déle než rok. Dva z nich už nejsou aktivně vyvíjené. To je přesně situace, kdy bezpečnostní riziko roste, i když web na první pohled funguje bez potíží. U vlastního vývoje je situace podobná – nebezpečné nejsou jen knihovny v aplikaci, ale i závislosti v npm, Composeru nebo balíčky v Docker image.

  • Kontrola: jednou týdně zkontrolujte dostupné aktualizace a seznam nepoužívaných pluginů.
  • Odstranění: vše, co nepotřebujete, smažte, nestačí jen deaktivovat.
  • Monitoring: použijte nástroje jako Wordfence, Patchstack nebo Sucuri pro WordPress, u vývoje skenujte závislosti přes npm audit, Composer audit nebo Snyk.
  • Proces: aktualizace nejdřív na stagingu, až potom na produkci.

2. Slabá oprávnění a přehnaná práva: problém, který si web sám přivolá

Další častá díra není technická chyba, ale špatně nastavená práva. Typický scénář: administrátor má plný přístup všude, agentura má stejné oprávnění jako majitel, bývalý zaměstnanec má stále aktivní účet a do administrace se lze přihlásit z více zařízení bez jakéhokoli omezení. Když se pak někdo dostane k jednomu účtu, má často přístup k celému webu, databázi i e-mailovým šablonám.

V bezpečnosti platí princip minimálních práv. Každý uživatel má mít jen to, co skutečně potřebuje. U e-shopu to znamená oddělit roli obsahu, objednávek, technické správy a financí. U WordPressu je vhodné pravidelně projít role a ověřit, kdo má administrátorská práva. U SaaS nástrojů, jako je Google Workspace nebo hostingový panel, se vyplatí zapnout vícefaktorové ověření a pravidelně auditovat přístupy.

Velmi podceňovaná je také správa API klíčů. Pokud jsou uložené přímo v repozitáři, v klientském JavaScriptu nebo v nezabezpečeném config souboru, útočník je může snadno získat. To se týká platebních bran, mapových služeb, CRM, e-mailingu i AI nástrojů.

  • Odstraňte staré účty a přístupy bývalých členů týmu.
  • Zapněte MFA pro administraci, hosting, e-mail i Git repozitáře.
  • Oddělte produkční a testovací prostředí i jejich přístupy.
  • Rotujte API klíče pravidelně, ideálně po každé změně týmu nebo dodavatele.

3. Formuláře, uploady a API: tam, kde vzniká nejvíc neviditelných chyb

Bezpečnostní problémy často vznikají v místech, kde web přijímá data od uživatele. Kontaktní formuláře, nahrávání souborů, vyhledávání, komentáře, recenze nebo napojení na API jsou časté vstupní body pro útoky. Pokud není správně ošetřen vstup, může dojít k injekci škodlivého kódu, přepsání dat nebo zneužití serverových funkcí.

Zvlášť rizikové jsou uploady souborů. Mnoho webů povolí nahrát dokument, ale nekontroluje MIME typ, příponu ani obsah souboru. Útočník pak může nahrát soubor s nebezpečným skriptem nebo zneužít slabou konfiguraci serveru. Podobně nebezpečná jsou API bez autentizace, s příliš volnými CORS pravidly nebo bez limitace požadavků.

Pro vývojáře i správce platí jednoduché minimum: validovat na serveru, ne jen v prohlížeči, omezit typy souborů, nastavovat velikostní limity a logovat podezřelé požadavky. U API je důležité mít autentizaci, autorizaci, rate limiting a správně nastavené výjimky. Bez toho může být i dobře vypadající aplikace velmi snadno zneužitelná.

  • Testujte formuláře na injection a XSS pomocí OWASP ZAP nebo Burp Suite.
  • Omezte upload na přesně definované formáty a velikosti.
  • Logujte neúspěšné pokusy a anomálie, například opakované odesílání stejných dat.
  • API chraňte přes tokeny, scope oprávnění a rate limiting.

4. Hosting, SSL, zálohy a konfigurace serveru: bezpečnost, která rozhoduje o dopadu útoku

I dobře napsaný web může padnout na špatném hostingu nebo laxní serverové konfiguraci. Slabé místo bývá například zastaralá verze PHP, otevřené adresáře, veřejně dostupné zálohy, špatně nastavený soubor .htaccess, chybějící HTTP security headers nebo přístup do administrace bez omezení IP adresou. Pokud útočník získá přístup k serveru, následky bývají mnohem horší než u běžného prolomení účtu.

SSL certifikát je dnes minimum, ne bonus. Podle bezpečnostních doporučení by měl být web dostupný výhradně přes HTTPS, ideálně s přesměrováním všech variant a s HSTS. Současně je vhodné doplnit hlavičky jako Content-Security-Policy, X-Frame-Options nebo Permissions-Policy. Nezabrání všemu, ale významně snižují prostor pro útoky typu clickjacking nebo vložení cizího obsahu.

Velké téma jsou zálohy. Mnoho firem je má, ale neumí je obnovit. Záloha, kterou nelze rychle nasadit, je k ničemu. Ideální je pravidlo 3-2-1: tři kopie dat, na dvou různých médiích, jedna mimo hlavní infrastrukturu. U e-shopů a firemních webů doporučuji test obnovy alespoň jednou měsíčně.

  • Auditujte verzi PHP, databáze a serverových balíčků.
  • Zakázat veřejný přístup k backup archivům a logům.
  • Zapněte automatické zálohy i pravidelné testy obnovy.
  • Kontrolujte bezpečnostní hlavičky přes SecurityHeaders.com nebo nástroje v Lighthouse.

5. Lidská chyba, phishing a kompromitovaný e-mail: nejlevnější cesta pro útočníka

Podle dlouhodobých trendů je sociální inženýrství stále jedním z nejúčinnějších způsobů průniku. Útočník často nemusí lámat web, stačí mu přesvědčit správce, aby klikl na škodlivý odkaz, přihlásil se do falešné administrace nebo schválil přístup k účtu. Jakmile získá e-mail nebo správcovský účet, může resetovat hesla, měnit DNS záznamy, přesměrovat objednávky nebo vložit škodlivý kód do webu.

U firemních webů a e-shopů je e-mail často klíč k celé infrastruktuře. Pokud je schránka bez MFA, bez alertů na přihlášení a bez ochrany proti podezřelým přístupům, riziko dramaticky roste. Důležitý je i trénink týmu: zaměstnanci musí vědět, jak poznat falešnou fakturu, neobvyklou výzvu ke změně hesla nebo žádost o přístup od „dodavatele“.

Prakticky se vyplatí zavést krátký bezpečnostní checklist pro každý měsíc: kontrola přístupů, test obnovy záloh, kontrola aktualizací, revize e-mailových pravidel a ověření DNS záznamů. To jsou úkony, které zabírají desítky minut, ale mohou zabránit škodám v řádu dní výpadku a tisíců korun ztráty.

  • MFA pro e-mail, hosting, administraci i cloudové nástroje.
  • Upozornění na nové přihlášení z neznámého zařízení nebo lokality.
  • Bezpečnostní školení pro lidi, kteří mají přístup k webu.
  • Pravidelný audit DNS, e-mailových pravidel a přesměrování.

Jak poznat, že je váš web v riziku, ještě než dojde k problému

Riziko často prozradí několik varovných signálů: web dlouho neaktualizovaný, velké množství pluginů, neznámé účty v administraci, pomalé načítání bez zjevné příčiny, podezřelý provoz v Search Console nebo neobvyklé odchozí požadavky na serveru. Pokud spravujete větší web, vyplatí se mít základní monitoring dostupnosti, změn souborů a logů. U WordPressu dávají smysl nástroje typu Wordfence, iThemes Security nebo Sucuri; u vlastních aplikací zase Sentry, Datadog, New Relic a systémové logování přes ELK nebo Loki.

Nejlepší obrana není jeden nástroj, ale rutina. Bezpečný web vzniká kombinací aktualizací, omezených práv, kvalitního hostingu, záloh, logování a pravidelných kontrol. Pokud tyto kroky nastavíte jako proces, ne jako jednorázovou akci, výrazně snížíte šanci, že se z běžné drobné chyby stane velký incident.

    • Bc. Martina Vaňková

    Bc. Martina Vaňková

    Podobné články

    Zákazník nekupuje až při checkoutu. Prodáváš i dřív?
    Zákazník nekupuje až při checkoutu. Prodáváš i dřív?

    Většina e-shopů řeší konverzi až na checkoutu, ale rozhodnutí zákazníka vzniká mnohem dřív. Od první návštěvy po detail produktu probíhá série mikro-ano, která často rozhodne o objednávce ještě před tím, než uživatel vloží zboží do košíku. V článku ukazuji, jak tyto fáze měřit, optimalizovat a proměnit v reálný růst tržeb.

    Pokračovat ve čtení
    Když web mlčí o útoku, škody už rostou‬
    Když web mlčí o útoku, škody už rostou‬

    Kybernetický útok nebývá jen technický problém. Jakmile web přestane komunikovat, ztrácí důvěru zákazníků, pozice ve vyhledávání i tržby, a škody se násobí každou hodinou. V článku ukazuji, jak poznat první signály průšvihu, co musí mít web připravené ještě před incidentem a jak správně komunikovat během útoku i po něm. Pokud spravujete web, e-shop nebo firemní systém, najdete tu konkrétní postupy, nástroje i priority.

    Pokračovat ve čtení

    Pojištění

    1
    Pojištění elektrokoloběžek a povinné ručení: Která vozítka už musíte mít ze zákona registrovaná
    Pojištění elektrokoloběžek a povinné ručení: Která vozítka už musíte mít ze zákona registrovaná
    2
    Pojištění odpovědnosti z vlastnictví nemovitosti: Proč odpovídáte za gólmana, který uklouzl na vašem chodníku
    Pojištění odpovědnosti z vlastnictví nemovitosti: Proč odpovídáte za gólmana, který uklouzl na vašem chodníku
    3
    Mýty o pojištění skel u auta: Vyplatí se připlatit si za přední okno a jak funguje oprava bez výměny
    Mýty o pojištění skel u auta: Vyplatí se připlatit si za přední okno a jak funguje oprava bez výměny
    4
    Jak správně revidovat staré pojistné smlouvy: Proč byste neměli nechat ležet desítky let staré papíry v šuplíku
    Jak správně revidovat staré pojistné smlouvy: Proč byste neměli nechat ležet desítky let staré papíry v šuplíku
    5
    Pojištění sportovního vybavení: Jak bezpečně pojistit drahé elektrokolo, lyže nebo windsurf
    Pojištění sportovního vybavení: Jak bezpečně pojistit drahé elektrokolo, lyže nebo windsurf
    6
    Jak správně pojistit auto na dovolenou: Na co si dát pozor při cestách do zahraničí
    Jak správně pojistit auto na dovolenou: Na co si dát pozor při cestách do zahraničí
    7
    Jak se mění cena pojištění s věkem: Proč se životní pojistka vyplatí uzavřít co nejdříve
    Jak se mění cena pojištění s věkem: Proč se životní pojistka vyplatí uzavřít co nejdříve
    8
    Pojištění zavazadel a elektroniky na cestách: Co dělat, když vám na letišti ztratí kufr nebo ukradnou notebook
    Pojištění zavazadel a elektroniky na cestách: Co dělat, když vám na letišti ztratí kufr nebo ukradnou notebook
    9
    Co je to franšíza v pojištění: Jak tento nenápadný pojem dokáže snížit cenu pojistky, ale zvýšit vaše náklady
    Co je to franšíza v pojištění: Jak tento nenápadný pojem dokáže snížit cenu pojistky, ale zvýšit vaše náklady
    10
    Pojištění rizikových sportů: Které aktivity máte v základu a na co už potřebujete speciální připojištění
    Pojištění rizikových sportů: Které aktivity máte v základu a na co už potřebujete speciální připojištění
    11
    Jak správně vybrat havarijní pojištění: Co ovlivňuje cenu a jak funguje spoluúčast
    Jak správně vybrat havarijní pojištění: Co ovlivňuje cenu a jak funguje spoluúčast
    12
    Jak funguje pojištění profesní odpovědnosti: Proč bez něj lékaři, architekti nebo IT specialisté neriskují
    Jak funguje pojištění profesní odpovědnosti: Proč bez něj lékaři, architekti nebo IT specialisté neriskují