Blog

Bezpečnosť firemného webu — čo treba riešiť

· Tomáš Milý, zakladateľ

V skratke: Bezpečnosť firemného webu nie je len „IT vec” — je to ochrana vášho podnikania. Kľúčové kroky sú štyri: funkčný SSL certifikát (HTTPS), pravidelné zálohy uložené mimo servera, aktuálne aktualizácie systému a silné unikátne heslo. Web na WordPresse vyžaduje o niečo viac pozornosti ako statický web na mieru. Prevencia je vždy lacnejšia ako obnova po incidente.

Prečo by mal hacker napadnúť práve vás?

Krátka odpoveď: nemusí vás cielene vyberať. Väčšina útokov na malé firemné weby je automatizovaná — skripty neustále skenujú internet a hľadajú otvorené dvere. Akonáhle nájdu zraniteľnosť, zaútočia. Je im jedno, či ste malý stolár alebo veľká firma.

Čo hackeri s vaším webom spravidla robia:

  • Rozošlú spam cez váš server (váš web sa dostane na čiernu listinu a prestane fungovať).
  • Umiestnia škodlivý kód — Google web označí ako nebezpečný a prehliadače ho zablokujú.
  • Ukradnú dáta (kontaktné formuláre, e-maily zákazníkov).
  • Zneužijú kapacitu servera na ťažbu kryptomien alebo ďalšie útoky.
  • Web jednoducho vymažú — či už zo zlomyseľnosti alebo omylom.

Žiadna z týchto situácií nie je hypotetická. Každý deň sa to deje tisícom malých firemných webov po celom svete.

Má váš web SSL certifikát (HTTPS)?

SSL certifikát (po slovensky: bezpečnostný certifikát, technicky označovaný skratkou SSL/TLS) zabezpečuje, že dáta putujúce medzi webom a návštevníkom sú zašifrované. Poznáte ho podľa https:// a ikony zámku v prehliadači.

Bez SSL certifikátu sa stane toto:

Čo sa dejeDôsledok
Prehliadač zobrazí varovanie „Nie je zabezpečené”Zákazník odíde skôr, než si prečíta čokoľvek
Google penalizuje web bez HTTPSHoršie pozície vo vyhľadávaní
Formuláre posielajú dáta nezašifrovanéBezpečnostné riziko pre zákazníkov

Dobrá správa: väčšina slušných hostingov dnes poskytuje SSL certifikát zadarmo (cez službu Let’s Encrypt). Ak váš hosting za SSL pýta niekoľko desiatok eur ročne navyše, je čas zvážiť zmenu.

Ako to overiť: Otvorte váš web v prehliadači. Ak vidíte https:// a nie varovanie, SSL je aktívne. Ak vidíte varovanie alebo http:// bez „s”, treba to ihneď riešiť.

Sú zálohy webu pravidelné a uložené mimo servera?

Záloha (anglicky „backup”) je kópia celého vášho webu — kód, obsah, databáza. Bez nej ste pri havárii, hacknutí alebo omylnom zmazaní v situácii, keď neexistuje nič, z čoho by sa dalo obnoviť.

Čo robiť:

  • Zálohy by mali prebiehať minimálne raz týždenne, pri aktívnych weboch ideálne každý deň.
  • Zálohu treba uložiť mimo servera — na cloudové úložisko (napr. Google Drive, Dropbox, Amazon S3). Záloha na tom istom serveri je zbytočná: ak server vyhorí alebo je hacknutý, záloha zmizne s ním.
  • Uchovávajte aspoň 4 zálohy spätne (teda mesiac histórie). Niektoré problémy si všimnete neskoro.

Mnohé lacné hostingy zálohy buď nerobia vôbec, alebo ich robia len raz za mesiac a ukladajú ich na ten istý server. Opýtajte sa svojho hostingového poskytovateľa priamo: „Ako často robíte zálohy a kde sú uložené?”

Ak sa staráme o váš web v rámci správy a údržby webu, zálohy sú súčasťou štandardnej starostlivosti.

Prečo je WordPress častý terč — a čo s tým?

WordPress je najrozšírenejší systém na správu webov (tzv. CMS — Content Management System) na svete. Pohána vyše 40 % všetkých webov, čo z neho robí atraktívny cieľ: hackeri vyvíjajú nástroje a automatizácia skenuje práve jeho slabiny.

Najčastejšie bránky pre útočníkov na WordPress webe:

  1. Zastarané pluginy a témy — každý plugin je potenciálna zraniteľnosť, ak nie je aktualizovaný.
  2. Slabé administrátorské heslo — útočníci skúšajú bežné kombinácie automaticky (tzv. brute force útok).
  3. Zabudnutý a nepoužívaný plugin — neaktívne pluginy ostávajú, ale nikto ich neaktualizuje.
  4. Nekvalitný hosting — lacné hostingy neriešia bezpečnosť na úrovni servera.

To neznamená, že WordPress je zlý — znamená to, že si vyžaduje pravidelné aktualizácie a pozornosť. Weby postavené na statickej technológii (napr. Astro, Next.js bez databázy) nemajú databázu ani pluginy, takže útočná plocha je výrazne menšia.

Ak vás zaujíma porovnanie, prečítajte si aj článok WordPress vs. web na mieru — čo si vybrať.

Aké heslá a prístupy treba mať pod kontrolou?

Toto je oblasť, kde ľudia najčastejšie chybujú — nie zo zlého úmyslu, ale z pohodlnosti.

Minimálny štandard:

  • Heslo administrátora webu: aspoň 16 znakov, kombinácia písmen, číslic a špeciálnych znakov.
  • Heslo by malo byť unikátne — nepoužívané na e-mail, sociálne siete ani kdekoľvek inde.
  • Zapnite dvojfaktorové overenie (2FA) — pri prihlásení si vyžiada kód z mobilu. Aj keď heslo unikne, útočník sa nedostane dnu.
  • Prístupy k hostingu, FTP/SFTP a doméne uložte na bezpečné miesto (napr. správca hesiel ako Bitwarden alebo 1Password).

Praktická rada: ak ste niekedy dali prístup k webu externému dodávateľovi, po ukončení spolupráce prístupy zrušte alebo heslo zmeňte. Staré prístupy sú bežný zdroj problémov.

Čo sú aktualizácie a prečo sa nesmú ignorovať?

Keď bezpečnostní výskumníci nájdu zraniteľnosť v nejakom softvéri, vývojári vydajú opravu — aktualizáciu (anglicky „update” alebo „patch”). Ak aktualizáciu neaplikujete, útočníci vedia o diere, ale váš web je stále otvorený.

Čo treba aktualizovať:

  • WordPress jadro (tzv. core)
  • Všetky nainštalované pluginy
  • Aktívnu tému

Aktualizácie treba robiť pravidelne, minimálne raz mesačne — a pred tým vždy urobiť zálohu, pre prípad, že by aktualizácia niečo rozbila.

Ak to nechcete riešiť sami, je to práve jedna z vecí, ktoré pokrýva správa a údržba webu.

Checklist bezpečnosti firemného webu

Prejdite si tento zoznam a zaznačte, čo máte pod kontrolou:

  • HTTPS aktívne — adresa webu začína https://, žiadne varovania v prehliadači
  • SSL certifikát je platný — nestráca platnosť (automatická obnova je ideálna)
  • Zálohy prebiehajú pravidelne (min. 1× týždenne)
  • Zálohy sú uložené mimo hlavného servera
  • Uchovávate aspoň 4 zálohy spätne
  • WordPress (ak používate) je aktualizovaný — jadro aj všetky pluginy
  • Prístupy k webu, hostingu a doméne sú chránené silným heslom
  • Je zapnuté dvojfaktorové overenie (2FA) na webe aj hostingu
  • Staré prístupy pre externých dodávateľov sú zrušené
  • Nepoužívané pluginy sú odstránené (nielen deaktivované)

Ak ste zaškrtli všetko — výborne. Ak nie, každý nezaškrtnutý bod je otvorená brána.

Koľko stojí zabezpečenie webu?

Väčšina základných opatrení nestojí nič navyše — SSL certifikát býva v cene hostingu, aktualizácie tiež. Platíte len čas alebo niekoho, kto to spraví za vás.

OpatrenieCena
SSL certifikát (Let’s Encrypt)zadarmo
Silné heslo + správca hesielzadarmo (Bitwarden) alebo ~10 €/rok
Automatické zálohy do cloudu5–20 €/mesiac podľa riešenia
Pravidelná správa a aktualizáciesúčasť správy webu
Bezpečnostný plugin pre WordPresszadarmo (Wordfence) alebo ~100 €/rok (premium)

Prevencia je vždy lacnejšia ako obnova po incidente. Obnova hacknutého webu vrátane čistenia, opravy reputácie a opätovného zaindexovania Googlom môže trvať týždne a stáť niekoľkonásobok ročnej ceny správy.

Čo ak web spravujem sám?

Nie je nič zlého na tom, keď si web spravujete sami — dôležité je, aby ste vedeli, čo treba sledovať.

Minimálny mesačný rituál:

  1. Záloha pred akoukoľvek zmenou.
  2. Aktualizácia WordPress jadra, pluginov a témy.
  3. Overenie, že SSL certifikát je stále platný (napr. cez SSL Labs).
  4. Rýchly pohľad na prihlasovacie logy — či sa niekto opakovane nepokúša prihlásiť.

Ak to nechcete riešiť, alebo jednoducho nemáte čas, je to presne to, čo pokrýva profesionálna správa webu.

Čo ďalej?

Ak chcete mať istotu, že váš firemný web je zabezpečený a funguje bez starostí, pozrite si správu a údržbu webu alebo si rovno pozrite, koľko by stál nový web na mieru — statický web na mieru má výrazne menšiu útočnú plochu ako WordPress a nepotrebuje každomesačné aktualizácie desiatok pluginov.

Takisto si prečítajte, čo musí firemný web obsahovať — bezpečnosť je jeden zo základov, ale nie jediný.

Bezpečný web nie je luxus. Je to základ, na ktorom stojí všetko ostatné — vaša reputácia, dopyty a dôvera zákazníkov.

Časté otázky

Čo je SSL certifikát a prečo ho web potrebuje?
SSL certifikát (označenie HTTPS v prehliadači) šifruje spojenie medzi návštevníkom a serverom. Bez neho prehliadač zobrazuje varovanie „Nie je zabezpečené", čo odháňa zákazníkov a zhoršuje pozície v Google. Väčšina kvalitných hostingov SSL poskytuje zadarmo.
Ako často treba zálohovať firemný web?
Minimálne raz týždenne, ideálne denne. Záloha musí byť uložená mimo servera (napr. v cloude). Ak o zálohu nepožiadate výslovne, mnohé lacné hostingy ju nerobia. Obnova webu bez zálohy môže stáť státisíce a zabrať týždne.
Prečo je WordPress častý terč hackerov?
WordPress pohání vyše 40 % všetkých webov na svete, takže hackeri vyvíjajú automatizované nástroje práve naň. Nepravidelné aktualizácie pluginov a tém sú najčastejšou bránou do webu. Web na mieru (statický) tieto riziká nemá.
Musím mať na webe silné heslo?
Áno. Heslo administrátora by malo mať aspoň 16 znakov a byť unikátne — teda nepoužívané nikde inde. Dvojfaktorové overenie (2FA) výrazne znižuje riziko, aj keď heslo unikne.
Čo sa stane, keď web hackujú?
Google web označí ako nebezpečný a vyhodí ho z výsledkov. Prehliadače zobrazujú varovanie. Môžete prísť o dáta, zákazníkov a reputáciu. Obnova trvá dni až týždne a stojí peniaze — preto je prevencia lacnejšia.

Súvisiace články