Bezpečnost webu není luxus – je to nutnost. Každý den jsou hacknuty tisíce webových stránek a malé firmy jsou nejčastějším cílem. Nezabezpečený web riskuje ztrátu dat, pověsti a důvěry zákazníků. V tomto průvodci se dozvíte, jaké hrozby vám hrozí a jak se před nimi chránit.
Nejčastější bezpečnostní hrozby
| Hrozba | Co to je | Dopad |
|---|---|---|
| SQL Injection | Vložení škodlivého SQL kódu přes formuláře | Krádež celé databáze |
| XSS (Cross-Site Scripting) | Vložení škodlivého JavaScriptu | Krádež cookies, přesměrování |
| Brute Force | Automatické zkoušení hesel | Převzetí účtu |
| DDoS | Zahlcení serveru požadavky | Nedostupnost webu |
| Malware | Škodlivý kód na webu | Blacklisting, ztráta dat |
| Phishing | Podvodné stránky imitující váš web | Ztráta důvěry zákazníků |
Bezpečnostní checklist pro každý web
1. SSL certifikát (HTTPS)
SSL certifikát šifruje komunikaci mezi prohlížečem a serverem. V roce 2026 je to absolutní základ – Google penalizuje weby bez HTTPS a prohlížeče je označují jako nebezpečné. Let's Encrypt nabízí SSL certifikáty zdarma a většina hostingů je automaticky instaluje.
2. Silná hesla a dvoufaktorové ověření
Používejte silná, unikátní hesla pro všechny účty spojené s webem (hosting, CMS, FTP, databáze). Aktivujte dvoufaktorové ověření (2FA) všude, kde je to možné. Správce hesel jako Bitwarden nebo 1Password vám pomůže spravovat desítky unikátních hesel.
3. Pravidelné aktualizace
Zastaralý software je nejčastější příčinou hacknutí. Aktualizujte CMS (WordPress, Joomla), pluginy a šablony okamžitě po vydání bezpečnostních záplat. Nastavte automatické aktualizace pro menší verze a manuálně kontrolujte větší aktualizace.
4. Zálohování
Pravidelné zálohy jsou vaše pojistka proti katastrofě. Zálohujte alespoň jednou denně (databáze) a jednou týdně (soubory). Ukládejte zálohy na jiný server než je web. Pravidelně testujte, že zálohy fungují a můžete z nich obnovit web.
5. Firewall a ochrana proti útokům
Web Application Firewall (WAF) filtruje škodlivý provoz ještě před tím, než dosáhne vašeho serveru. Služby jako Cloudflare nabízejí WAF i v bezplatném plánu. Pro WordPress existují bezpečnostní pluginy jako Wordfence nebo Sucuri.
Bezpečnost WordPress webu
WordPress je nejčastějším cílem útoků kvůli své popularitě. Speciální opatření pro WordPress zahrnují:
- Změňte výchozí prefix databázových tabulek z wp_ na něco unikátního
- Odstraňte nebo přejmenujte uživatele „admin"
- Omezte počet pokusů o přihlášení (Limit Login Attempts)
- Skryjte verzi WordPressu
- Zakažte editaci souborů z administrace (DISALLOW_FILE_EDIT)
- Používejte pouze pluginy a šablony z ověřených zdrojů
GDPR a ochrana osobních údajů
Pokud váš web zpracovává osobní údaje (kontaktní formuláře, e-shop, newsletter), musíte dodržovat GDPR. To zahrnuje informovaný souhlas se zpracováním osobních údajů, cookie lištu s možností odmítnutí, SSL šifrování pro přenos dat, právo na výmaz a export dat, a záznamy o zpracování osobních údajů.
Co dělat, když je web hacknut
- Okamžitě web odstavte (maintenance mode)
- Změňte všechna hesla (hosting, FTP, databáze, CMS)
- Identifikujte a odstraňte škodlivý kód
- Obnovte web ze zálohy před útokem
- Aktualizujte veškerý software
- Proveďte bezpečnostní audit
- Informujte uživatele, pokud mohly být ohroženy jejich údaje
- SSL certifikát, silná hesla a 2FA jsou absolutní základ.
- Aktualizujte CMS a pluginy okamžitě po vydání záplat.
- Zálohujte denně a testujte obnovu ze záloh.
- Používejte WAF (Cloudflare) a bezpečnostní pluginy.
- Bezpečnostního specialistu najdete na Web-clever.cz.
