Ráno otevřete e-mail a čeká vás zpráva od zákazníka: „Váš web mě přesměroval na nějakou divnou reklamní stránku, je to v pořádku?“ Vy jste přitom na webu měsíce nic neměnili. Nikdo se k vám nevloupal tak, jak to známe z filmů – žádný hacker v kapuci týdny neluštil vaše heslo. Stačila mu jedna zapomenutá součástka webu, o které jste ani nevěděli, že existuje.

Přesně takhle vypadá naprostá většina napadení malých firemních webů. A protože web dnes pro spoustu zákazníků funguje jako první dojem z vaší firmy, je dobré vědět, kde je nejslabší místo – a že se dá poměrně snadno hlídat.

Proč jsou weby malých firem tak lákavým cílem

Možná si říkáte, že váš web není pro nikoho zajímavý – žádné platební karty, žádná citlivá data. Jenže hackeři dnes útočí automatizovaně: roboti neustále prohledávají internet a hledají weby se známou, neopravenou dírou. Nezáleží jim na tom, jestli jde o velký e-shop, nebo web místního truhláře. Důležité je, že se dá napadnout snadno a rychle.

Kyberútoky na weby malých a středních firem se za posledních pět let více než zdvojnásobily a dnes tvoří přes 43 % všech hacknutých webů. Malé firmy tak nejsou na okraji zájmu útočníků – naopak jsou většinovým cílem, právě proto, že bývají nejméně zabezpečené a nikdo se o ně technicky pravidelně nestará.

Nejčastější způsob vniku: zapomenutý plugin nebo šablona

WordPress pohání obrovskou část malých firemních webů – a sám o sobě je poměrně bezpečný, pokud se pravidelně aktualizuje. Problém většinou nevzniká v jádru systému, ale v doplňcích okolo něj: v pluginech a šablonách (tématech).

Každý takový doplněk je kus softwaru, který má svého autora – a ten čas od času najde a opraví bezpečnostní chybu. Jakmile oprava vyjde, je zároveň veřejně zdokumentováno, jaká díra v předchozí verzi byla. To je ideální návod pro útočníky: stačí najít weby, které aktualizaci ještě neprovedly, a zranitelnost zneužít. Nejčastější příčinou napadení WordPressu tak zůstává jediná věc – neaktualizovaný plugin nebo téma se známou dírou, na kterou se dá zaútočit hromadně a automatizovaně, bez toho, aby si útočník váš web vybíral osobně.

Jak poznáte, že je web napadený

  • Návštěvníci hlásí, že je web přesměrovává na cizí reklamní nebo phishingové stránky.
  • Na webu se objevují neznámé odkazy nebo bannery, které jste tam nikdy nevkládali.
  • Web je v Googlu nebo jiném prohlížeči označen jako nebezpečný a uživatelé se k němu nedostanou bez varování.
  • Web se chová nezvykle pomalu, nebo se v administraci objevují uživatelské účty, které jste nezaložili.

Nejzáludnější na tom je, že si toho firma sama často nevšimne – falešný obsah se totiž leckdy zobrazuje jen některým návštěvníkům (například přes vyhledávače) a majiteli webu se web tváří naprosto normálně.

Co s tím

Dobrá zpráva je, že obrana proti nejčastější příčině napadení nevyžaduje drahé bezpečnostní nástroje – hlavně důslednost:

  • Aktualizujte pravidelně – nejen samotný WordPress, ale i všechny pluginy a šablony. Ideálně v pravidelném intervalu, ne „jednou za rok, když bude čas“.
  • Smažte nepoužívané pluginy a šablony. I neaktivní doplněk může obsahovat díru, kterou lze zneužít – pokud ho nepotřebujete, je nejbezpečnější ho z webu úplně odstranit.
  • Zálohujte web pravidelně a mimo samotný hosting. Pokud dojde k napadení, kvalitní záloha znamená rozdíl mezi pár minutami obnovy a dny paniky.
  • Omezte počet uživatelů s přístupem do administrace a nepoužívejte jednoduchá hesla ani sdílené účty.
  • Pokud si nejste jistí, jestli je vše v pořádku, nechte si web zkontrolovat zvenčí – existuje řada způsobů, jak zjistit stav zabezpečení, aniž by se do webu jakkoliv zasahovalo.

Žádný z těchto kroků není technicky náročný. Jde spíš o to nezapomínat na ně v provozním shonu – a to je přesně místo, kde se dá pomoct zvenku, aniž byste to museli hlídat sami.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: SEOconsult – Ransomware útočí na weby běžící na WordPressu, Sám sobě marketérem – Hacknutý WordPress: jak napadení poznat, Webglobe – Nejčastější hackerské útoky na weby.


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *