Bezpečnost webu: Neviditelný štít vašeho podnikání

Když odcházíte z domu nebo z kanceláře, automaticky zamknete dveře. Možná dokonce zapnete alarm. Je to reflex, nad kterým nepřemýšlíte. Chráníte svůj majetek a soukromí. Proč tedy tolik majitelů webových stránek nechává své digitální dveře dokořán? Bezpečnost webu je v dnešní době naprosto kritickou záležitostí, která je často podceňována až do chvíle, kdy je pozdě. Internet není bezpečné hřiště. Je to spíše divoká džungle, kde na každém rohu číhá predátor hledající snadnou kořist. A tou kořistí se může stát váš web během několika vteřin.

Mnoho lidí žije v iluzi, že zabezpečení je téma jen pro banky, e-shopy velikosti Amazonu nebo vládní instituce. „Kdo by chtěl hacknout web mé malé pekárny? Vždyť tam nic není,“ říkají si. To je však ten nejnebezpečnější omyl, jakého se můžete dopustit. Útočníci si nevybírají cíle ručně podle toho, jak jsou slavné. Používají automatizované roboty, kteří skenují miliony stránek denně a hledají jakoukoliv slabinu. Pokud ji najdou u vás, zaútočí. Bez emocí, bez varování. Profesionální zabezpečení webových stránek je tedy nutností pro každého, kdo to s online prezentací myslí vážně.

E-shop na míru pro vaše online podnikání

Proč útočníci napadají „malé“ weby?

Pokud si myslíte, že hackerům jde o vaše recepty na bábovku nebo fotky z firemního večírku, mýlíte se. Jde jim o zdroje vašeho serveru. Napadený web mohou zneužít k rozesílání milionů spamových e-mailů, čímž se vaše doména dostane na černou listinu. Mohou na váš web umístit skrytý kód, který těží kryptoměny na počítačích vašich návštěvníků, čímž je zpomaluje. Nebo, a to je velmi časté, zneužijí váš web jako „přestupní stanici“ pro útoky na jiné, větší cíle, aby zakryli svou skutečnou identitu.

Dalším důvodem je takzvané „SEO spamování“. Hacker do vašeho webu vloží tisíce neviditelných odkazů na stránky s nelegálním softwarem, hazardem nebo pornografií. Tím se snaží zvýšit pozice svých podvodných webů ve vyhledávačích. Pro vás to má fatální následek – Google pozná, že váš web je „nakažený“, a okamžitě ho vyřadí z vyhledávání. Ztráta reputace a návštěvnosti je pak obrovská. Ochrana webu tedy chrání především vaši značku a důvěryhodnost.

Hesla: První linie obrany

Zní to jako klišé, ale nejslabším článkem bezpečnosti je téměř vždy člověk. Používání hesel jako „admin123“, „heslo“ nebo jména vašeho psa je pozvánkou pro útočníky. Existují programy, které zkoušejí miliony kombinací hesel za minutu (tzv. Brute Force útoky). Pokud je vaše heslo ve slovníku, bude prolomeno. Základem bezpečnosti webu je silné, unikátní heslo. Unikátní znamená, že ho nepoužíváte nikde jinde.

Jako správce webů důrazně doporučuji (a svým klientům nastavuji) používání správců hesel a především dvoufázového ověření (2FA). To znamená, že i kdyby útočník uhodl vaše heslo, k přihlášení potřebuje ještě kód z vašeho mobilního telefonu. Je to malá komplikace pro vás, ale nepřekonatelná zeď pro 99 % útočníků. Zavedení tohoto opatření je jedním z nejefektivnějších kroků, které můžete pro svou bezpečnost udělat.

Aktualizace: Neodkládejte je na zítra

Moderní weby běží na systémech jako WordPress, Joomla nebo Drupal. Tyto systémy jsou tvořeny kódem, ve kterém se občas objeví bezpečnostní díra. Vývojáři naštěstí díry rychle opravují a vydávají aktualizace. Problém nastává, když tyto aktualizace neinstalujete. Hackerům stačí pár hodin od zveřejnění informace o chybě, aby začali hromadně napadat weby, které aktualizaci ještě nemají.

Neaktualizovaný plugin nebo šablona je jako otevřené okno v přízemí. Můžete mít sebetěžší dveře, ale zloděj vleze oknem. Pravidelná údržba a aktualizace jsou naprostým základem kybernetické hygieny. V rámci svých služeb provádím aktualizace kontrolovaně, takže se nemusíte bát, že nová verze „rozbije“ vzhled webu. Bezpečnost a funkčnost musí jít ruku v ruce.

SSL certifikát: Zelený zámeček důvěry

Všimli jste si v prohlížeči malého zámečku u adresy webu? To je symbol SSL certifikátu, který zajišťuje šifrovanou komunikaci (HTTPS). Dříve to byla výsada bank a e-shopů, dnes je to nutnost pro každý web. Pokud SSL nemáte, prohlížeč označí váš web jako „Nezabezpečený“ a bude odrazovat návštěvníky od vstupu. Google navíc weby bez šifrování penalizuje ve výsledcích vyhledávání.

Šifrování zajišťuje, že data, která uživatel odešle přes váš web (například kontaktní formulář), nemůže nikdo po cestě přečíst. Zajištění a správné nastavení SSL certifikátu je součástí mé práce. Existují i certifikáty zdarma (Let’s Encrypt), které jsou plně dostačující pro většinu prezentačních webů. Neexistuje tedy žádný důvod, proč by váš web měl běžet na nebezpečném protokolu HTTP.

Zálohování: Vaše záchranná vesta

I s tím nejlepším zabezpečením se může stát, že útočník uspěje. Nebo – a to je častější – uděláte chybu vy a něco si smažete. V tu chvíli rozhoduje o přežití vašeho byznysu jediné: Máte zálohu? A je ta záloha funkční? Mnoho lidí spoléhá na to, že „hosting to asi zálohuje“. To je riskantní strategie. Hostingové zálohy často sahají jen pár dní zpět a jejich obnova může být zpoplatněna nebo pomalá.

Profesionální správa bezpečnosti zahrnuje automatické zálohování na externí, geograficky oddělené úložiště (cloud). Zálohujeme denně nebo týdně. A co je klíčové, pravidelně testujeme, zda se ze zálohy dá web skutečně obnovit. V případě útoku typu ransomware, kdy hacker zašifruje váš web a požaduje výkupné, se jen pousmějeme, web smažeme a obnovíme ho ze zálohy vytvořené před útokem. Žádné výkupné, žádný stres.

Firewall (WAF): Aktivní ochrana

Pasivní ochrana nestačí. Potřebujete aktivního hlídače. Web Application Firewall (WAF) je software, který stojí mezi vaším webem a internetem. Analyzuje příchozí provoz a blokuje podezřelé požadavky dříve, než se dotknou vašeho webu. Dokáže rozpoznat, že se někdo snaží uhodnout heslo, že se snaží vložit škodlivý kód do komentáře, nebo že web skenuje robot ze země, se kterou neobchodujete.

Kvalitní firewall se učí a adaptuje na nové hrozby. Na weby svých klientů instaluji bezpečnostní pluginy, které fungují jako WAF. Můžeme například zablokovat přístup do administrace z jiných zemí než z ČR a SR, což okamžitě eliminuje 90 % útoků, které obvykle přicházejí z Asie, Ruska nebo Jižní Ameriky. Zabezpečení webu tak funguje proaktivně.

Malware scanning: Hledání neviditelného

Někdy je infekce webu velmi nenápadná. Web funguje normálně, ale na pozadí odesílá data útočníkovi. Nebo se škodlivý obsah zobrazuje jen uživatelům z mobilních telefonů, zatímco vy na počítači nic nevidíte. K odhalení těchto „spících agentů“ slouží pravidelné skenování malwarem. Je to jako antivirový program ve vašem počítači, ale běží na serveru.

Pravidelně kontroluji změny v souborech. Pokud se změní soubor, který se měnit neměl, systém mě na to upozorní. Okamžitě prověřím, zda šlo o legitimní úpravu nebo o útok. Rychlá reakce je klíčová. Čím déle je web nakažený, tím větší škody napáchá na vaší reputaci u Googlu a zákazníků.

Ochrana proti SQL Injection a XSS

Teď trochu techniky, ale nebojte se. Dva nejčastější způsoby, jak se hackeři dostávají do webů, se jmenují SQL Injection a Cross-Site Scripting (XSS). Zjednodušeně řečeno, jde o to, že útočník vloží do vyhledávacího pole nebo kontaktního formuláře speciální kus kódu, který zmate databázi a donutí ji prozradit citlivá data nebo pustit útočníka dovnitř bez hesla.

Obrana spočívá v kvalitně napsaném kódu a v tom, že používáme ověřené komponenty a pluginy. Nikdy nenechávám na webu staré, nepoužívané doplňky, které by mohly tyto chyby obsahovat. Čistý web rovná se bezpečný web. Technická správa webu eliminuje tato rizika na minimum.

Uživatelské role: Důvěřuj, ale prověřuj

Máte ve firmě více lidí, kteří přistupují k webu? Redaktory, stážisty, externisty? Zásadní chybou je dát všem roli „Administrátor“. Pokud má stážista nejvyšší oprávnění a má slabé heslo, ohrožuje celý projekt. Platí princip nejnižších nutných privilegií. Redaktor má mít právo psát články, ale ne instalovat pluginy. Obchodník má vidět objednávky, ale ne měnit vzhled webu.

Správné nastavení uživatelských rolí je důležitou součástí bezpečnostní strategie. Každý má mít přístup jen k tomu, co potřebuje ke své práci. Tím se snižuje riziko, že chyba (nebo zlý úmysl) jednotlivce položí celou firmu.

Co dělat, když už je web napadený?

Pokud čtete tento článek ve chvíli, kdy už máte problém – web je pomalý, přesměrovává na porno stránky nebo ho prohlížeč blokuje červenou obrazovkou – nezoufejte. Situace je vážná, ale řešitelná. Nabízím službu odvirování webu. Není to jen o smazání špatných souborů. Je to detektivní práce.

Musím najít „pacienta nula“ – tedy kudy se tam útočník dostal (zadní vrátka, tzv. backdoor). Pokud se jen smaže virus a nezavřou se dveře, do hodiny je tam útočník zpátky. Web vyčistím, zalepím díry, aktualizuji a požádám Google o přezkoumání, aby zrušil blokaci. Je to proces, který vyžaduje zkušenosti, ale na jeho konci je web opět čistý a bezpečný.

Bezpečnost webu má i právní rozměr. Pokud provozujete e-shop nebo sbíráte e-maily, spravujete osobní údaje. Podle GDPR máte povinnost tyto údaje chránit. Pokud by došlo k úniku databáze zákazníků kvůli zanedbanému zabezpečení, hrozí vám drakonické pokuty od úřadů. Nemluvě o ztrátě důvěry klientů.

Investice do zabezpečení webových stránek je tedy i pojistkou proti právním problémům. Zajišťujeme, aby formuláře byly zabezpečené, aby se neukládala data, která nejsou potřeba, a aby přístup k citlivým informacím byl přísně kontrolován a logován.

Drahá prevence vs. ještě dražší náprava

Mnoho klientů váhá s investicí do bezpečnostního balíčku. „Zatím se nic nestalo, tak proč platit?“ Ale v bezpečnosti platí, že prevence je vždy levnější než náprava škod. Čištění zavirovaného webu stojí tisíce až desetitisíce korun. Ztráta tržeb, když e-shop týden nejde, může jít do statisíců. Poškozená pověst je nevyčíslitelná.

Měsíční paušál za správu a bezpečnost webu je zlomkem těchto nákladů. Kupujete si klid. Víte, že o váš web pečuje odborník, který sleduje bezpečnostní trendy a reaguje dříve, než se hrozba změní v realitu.

Spěte klidně, my hlídáme

Kybernetická bezpečnost je nekonečný závod. Hackeři jsou stále vynalézavější. Vy ale nemusíte být expertem na kryptografii ani síťovou bezpečnost. Stačí, když máte po boku někoho, kdo jím je. Váš web je vaší vizitkou i zdrojem příjmů. Zaslouží si tu nejlepší ochranu.

Nenechávejte své digitální dveře odemčené. Kontaktujte mě a společně vytvoříme kolem vašeho webu pevnost, která odolá nájezdům robotů i hackerů. Vaše data i vaši zákazníci budou v bezpečí.

Jak poznám, že je můj web zavirovaný?

Mezi typické příznaky patří extrémní zpomalení webu, vyskakující okna s reklamou, přesměrování na cizí stránky, nové neznámé účty v administraci nebo varování od prohlížeče či antiviru při vstupu na stránku.

Stačí mi bezpečnostní plugin zdarma?

Pro základní ochranu je lepší než nic, ale placené verze (např. Wordfence Premium) nabízejí databázi hrozeb v reálném čase, blokování útoků podle zemí a pokročilejší skenování. Pro firemní weby doporučuji profesionální řešení.

Kolik stojí SSL certifikát?

Základní SSL certifikát (Let's Encrypt) je zdarma a pro většinu webů plně dostačující. Platíte pouze za jeho správné nasazení a nastavení obnovy. Pro e-shopy a velké firmy existují placené certifikáty s vyšší zárukou a ověřením firmy.

Může se vir přenést z webu do mého počítače?

Ano, je to možné, i když méně časté. Zavirovaný web může obsahovat tzv. 'drive-by download' skripty, které se snaží stáhnout škodlivý kód do počítače návštěvníka. Proto je důležité mít aktuální antivirus i na svém PC.

Co je to dvoufázové ověření (2FA)?

Je to metoda přihlašování, která vyžaduje dva různé údaje: něco, co znáte (heslo), a něco, co máte (telefon). I když útočník získá vaše heslo, bez jednorázového kódu z aplikace v telefonu se do webu nepřihlásí.

Jak často by se mělo zálohovat?

Záleží na tom, jak často se web mění. Pro statické firemní stránky stačí jednou týdně. Pro e-shopy a zpravodajské portály je nutné zálohovat denně nebo i v reálném čase, abyste nepřišli o objednávky a data klientů.