Ráno otevřete e-mail a čeká vás zpráva od zákazníka: „Váš web mě přesměroval na nějakou divnou reklamní stránku, je to v pořádku?“ Vy jste přitom na webu měsíce nic neměnili. Nikdo se k vám nevloupal tak, jak to známe z filmů – žádný hacker v kapuci týdny neluštil vaše heslo. Stačila mu jedna zapomenutá součástka webu, o které jste ani nevěděli, že existuje.
Přesně takhle vypadá naprostá většina napadení malých firemních webů. A protože web dnes pro spoustu zákazníků funguje jako první dojem z vaší firmy, je dobré vědět, kde je nejslabší místo – a že se dá poměrně snadno hlídat.
Proč jsou weby malých firem tak lákavým cílem
Možná si říkáte, že váš web není pro nikoho zajímavý – žádné platební karty, žádná citlivá data. Jenže hackeři dnes útočí automatizovaně: roboti neustále prohledávají internet a hledají weby se známou, neopravenou dírou. Nezáleží jim na tom, jestli jde o velký e-shop, nebo web místního truhláře. Důležité je, že se dá napadnout snadno a rychle.
Kyberútoky na weby malých a středních firem se za posledních pět let více než zdvojnásobily a dnes tvoří přes 43 % všech hacknutých webů. Malé firmy tak nejsou na okraji zájmu útočníků – naopak jsou většinovým cílem, právě proto, že bývají nejméně zabezpečené a nikdo se o ně technicky pravidelně nestará.
Nejčastější způsob vniku: zapomenutý plugin nebo šablona
WordPress pohání obrovskou část malých firemních webů – a sám o sobě je poměrně bezpečný, pokud se pravidelně aktualizuje. Problém většinou nevzniká v jádru systému, ale v doplňcích okolo něj: v pluginech a šablonách (tématech).
Každý takový doplněk je kus softwaru, který má svého autora – a ten čas od času najde a opraví bezpečnostní chybu. Jakmile oprava vyjde, je zároveň veřejně zdokumentováno, jaká díra v předchozí verzi byla. To je ideální návod pro útočníky: stačí najít weby, které aktualizaci ještě neprovedly, a zranitelnost zneužít. Nejčastější příčinou napadení WordPressu tak zůstává jediná věc – neaktualizovaný plugin nebo téma se známou dírou, na kterou se dá zaútočit hromadně a automatizovaně, bez toho, aby si útočník váš web vybíral osobně.
Jak poznáte, že je web napadený
- Návštěvníci hlásí, že je web přesměrovává na cizí reklamní nebo phishingové stránky.
- Na webu se objevují neznámé odkazy nebo bannery, které jste tam nikdy nevkládali.
- Web je v Googlu nebo jiném prohlížeči označen jako nebezpečný a uživatelé se k němu nedostanou bez varování.
- Web se chová nezvykle pomalu, nebo se v administraci objevují uživatelské účty, které jste nezaložili.
Nejzáludnější na tom je, že si toho firma sama často nevšimne – falešný obsah se totiž leckdy zobrazuje jen některým návštěvníkům (například přes vyhledávače) a majiteli webu se web tváří naprosto normálně.
Co s tím
Dobrá zpráva je, že obrana proti nejčastější příčině napadení nevyžaduje drahé bezpečnostní nástroje – hlavně důslednost:
- Aktualizujte pravidelně – nejen samotný WordPress, ale i všechny pluginy a šablony. Ideálně v pravidelném intervalu, ne „jednou za rok, když bude čas“.
- Smažte nepoužívané pluginy a šablony. I neaktivní doplněk může obsahovat díru, kterou lze zneužít – pokud ho nepotřebujete, je nejbezpečnější ho z webu úplně odstranit.
- Zálohujte web pravidelně a mimo samotný hosting. Pokud dojde k napadení, kvalitní záloha znamená rozdíl mezi pár minutami obnovy a dny paniky.
- Omezte počet uživatelů s přístupem do administrace a nepoužívejte jednoduchá hesla ani sdílené účty.
- Pokud si nejste jistí, jestli je vše v pořádku, nechte si web zkontrolovat zvenčí – existuje řada způsobů, jak zjistit stav zabezpečení, aniž by se do webu jakkoliv zasahovalo.
Žádný z těchto kroků není technicky náročný. Jde spíš o to nezapomínat na ně v provozním shonu – a to je přesně místo, kde se dá pomoct zvenku, aniž byste to museli hlídat sami.
Projde váš web technickou kontrolou?
Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.
Zdroje: SEOconsult – Ransomware útočí na weby běžící na WordPressu, Sám sobě marketérem – Hacknutý WordPress: jak napadení poznat, Webglobe – Nejčastější hackerské útoky na weby.

Napsat komentář