Každých 39 sekund dochází k hackerskému útoku někde na internetu. To znamená 2,244 útoků denně.
43% kybernetických útoků cílí na malé a střední firmy, přitom pouze 14% z nich má připravené bezpečnostní opatření. Průměrné náklady na únik dat v Evropě? 4.5 milionu EUR podle IBM Security.
Pro český e-shop s 500 objednávkami měsíčně může hacknutí znamenat:
- Ztráta všech zákaznických dat
- Pokuta od ÚOOÚ (až 20 milionů EUR nebo 4% obratu)
- Ztráta důvěry zákazníků
- Týdny výpadku
- Právní náklady
V tomto článku ukážu jak ochránit váš web před nejčastějšími útoky, jaká rizika hrozí a jak se bránit. Založeno na reálných datech a osvědčených postupech.
1. Proč Bezpečnost Webu Záleží - Reálné Náklady Hacknutí
Statistiky Které Nelžou
Zpráva Verizon o úniku dat (2024):
- 74% útoků zahrnuje lidský faktor (phishing, chyby, zneužití)
- 68% úniků trvá měsíce než jsou objeveny
- 95% úniků je motivováno finančně
- Průměrná doba detekce: 207 dní
- Průměrná doba nápravy: 73 dní
IBM Zpráva o nákladech úniku dat (2024):
Globální průměr: $4.45M USD
Evropský průměr: €4.5M
Malé a střední firmy: €2.2M
Rozdělení nákladů:
- Detekce a eskalace: 29%
- Ztráta obchodu: 38%
- Reakce po úniku: 27%
- Náklady na oznámení: 6%
Malé firmy nejsou v bezpečí:
43% útoků cílí na malé a střední firmy
60% malých firem končí do 6 měsíců po úniku dat
Pouze 14% má připravené bezpečnostní opatření
Veřejně Známé Případy Hacknutí
WannaCry (2017):
Dopad: 300,000+ počítačů ve 150 zemích
Způsob: Zneužití zranitelnosti Windows
Náklady: $4 miliardy globálně
Prevence: Pravidelné bezpečnostní aktualizace
SolarWinds (2020):
Dopad: 18,000+ organizací
Způsob: Útok přes dodavatelský řetězec
Trvání: Neobjevený 9 měsíců
Poučení: Bezpečnost třetích stran je kritická
Hacknutí WordPress pluginů (probíhající):
2023: 10,000+ WordPress webů hacknutých přes plugin
Oblíbené pluginy: Contact Form 7, Yoast SEO exploity
Způsob: Zastaralé verze pluginů
Prevence: Pravidelné aktualizace
Co Hacker Získá Z Vašeho Webu
Nejsou to jen "velké firmy":
Malý e-shop může mít:
- 5,000 zákaznických účtů
- Jména, adresy, telefony
- Emailové adresy
- Historie objednávek
- Platební informace (pokud uložené)
Hodnota na temném webu:
- Email + heslo: $1-5 za záznam
- Platební informace: $50-100 za kartu
- Kompletní identita: $100-500
5,000 záznamů × $5 = $25,000 hodnota
= Stojí to za hacknutí pro kriminálníky
Co dělají s hacknutým webem:
1. Krádež dat → Prodej na temném webu
2. Vložení škodlivého softwaru → Infikování návštěvníků
3. SEO spam → Zpětné odkazy pro své weby
4. Výkupné → Požadavek na platbu
5. Botnet → Útoky na přetížení služby
6. Těžba kryptoměn → Využití vašich serverových zdrojů
7. Phishing → Rozesílání spamových emailů
GDPR a Právní Dopady
Pokuty za porušení GDPR:
Maximální pokuty:
- €20M nebo 4% globálního obratu
- Podle toho co je vyšší
Reálné pokuty (příklady):
- Amazon: €746M (2021)
- WhatsApp: €225M (2021)
- Google: €90M (2020)
- H&M: €35M (2020)
České firmy:
- Různé: €50k-500k typické rozmezí
Požadavky na hlášení:
Pokud dojde k úniku dat:
→ Nahlásit ÚOOÚ do 72 hodin
→ Oznámit postiženým uživatelům
→ Zdokumentovat incident
→ Implementovat nápravná opatření
Nehlášení = Další pokuty
📖 Shoda s GDPR: GDPR a Cookies - co musí mít váš web
2. Top 10 Bezpečnostních Rizik (OWASP 2024)
OWASP = Projekt Otevřené Bezpečnosti Webových Aplikací Každoroční top 10 nejčastějších zranitelností.
č.1: Porušená Kontrola Přístupu (34% aplikací)
Co to je:
Uživatel získá přístup k datům/funkcím
které by neměl vidět.
Příklad:
URL: priklad.cz/uzivatel/profil?id=123
Hacker změní: id=124
→ Vidí profil jiného uživatele
Jak se bránit:
✓ Implementujte správné ověřování
✓ Ověřte oprávnění uživatele na straně serveru
✓ Výchozí zamítnutí (ne výchozí povolení)
✓ Zaznamenávejte selhání kontroly přístupu
✓ Omezte rychlost volání API
č.2: Kryptografická Selhání (29%)
Co to je:
Citlivá data nejsou správně šifrována
nebo používají slabé šifrování.
Příklady:
- Hesla uložená jako prostý text
- HTTP místo HTTPS
- Slabé šifrovací algoritmy (MD5, SHA1)
- Nešifrované zálohy databáze
Jak se bránit:
✓ Používejte HTTPS všude (SSL/TLS)
✓ Správně hashujte hesla (bcrypt, Argon2)
✓ Šifrujte citlivá data v klidu
✓ Používejte silné šifrovací standardy
✓ Neukládejte platební informace (použijte Stripe/GoPay)
č.3: Injekční Útoky (19%)
Co to je:
Hacker vloží škodlivý kód do vstupních polí.
Příklad SQL injection:
Uživatelské jméno: admin
Heslo: ' NEBO '1'='1
→ Obejde přihlášení
Typy:
- SQL injection (databáze)
- XSS (Cross-site scripting - skriptování mezi weby)
- Příkazové injection
- LDAP injection
Jak se bránit:
✓ Používejte připravené příkazy (SQL)
✓ Ověřujte a čistěte VŠECHNY vstupy
✓ Escapujte výstup
✓ Používejte ORM (Laravel Eloquent, atd)
✓ Omezte oprávnění databáze
č.4: Nespolehlivý Design
Co to je:
Bezpečnost nebyla součást procesu návrhu.
Bezpečnost jako dodatek = problém.
Příklady:
- Bez omezení rychlosti → Hrubá síla možná
- Bez uzamčení účtu → Neomezené pokusy
- Slabé požadavky na hesla
- Bez možnosti 2FA
Jak se bránit:
✓ Bezpečnost od začátku návrhu
✓ Modelování hrozeb
✓ Bezpečnostní požadavky
✓ Kontrola kódu pro bezpečnost
✓ Penetrační testování
č.5: Chybná Konfigurace Bezpečnosti (90% testovaných)
Co to je:
Špatně nakonfigurovaná bezpečnost.
Nejčastější problém!
Příklady:
- Výchozí hesla (admin/admin)
- Zbytečné funkce povolené
- Chybové zprávy s technickými detaily
- Neopravené systémy
- Otevřené cloudové úložiště
Jak se bránit:
✓ Odstraňte výchozí účty
✓ Zakažte nepoužívané funkce
✓ Obecné chybové zprávy
✓ Nakonfigurované bezpečnostní hlavičky
✓ Pravidelné bezpečnostní skenování
č.6: Zranitelné a Zastaralé Komponenty
Co to je:
Používání zastaralého softwaru se známými
bezpečnostními dírámi.
Příklad WordPress:
Plugin má známou zranitelnost
Není aktualizovaný
Hacker použije veřejný exploit
Statistiky:
84% webů používá zranitelné JavaScript knihovny
60% WordPress webů běží na zastaralé verzi
Průměrný WordPress web: 10+ zastaralých pluginů
Jak se bránit:
✓ Pravidelné aktualizace (týdně!)
✓ Odstraňte nepoužívané pluginy/knihovny
✓ Sledujte bezpečnostní oznámení
✓ Automatická upozornění na aktualizace
✓ Nástroje na skenování závislostí
📖 Více o údržbě: Údržba webu - co zahrnuje
č.7: Selhání Identifikace a Ověřování
Co to je:
Slabé nebo porušené ověřování.
Příklady:
- Slabá hesla (heslo123)
- Bez omezení rychlosti → Hrubá síla
- Fixace relace
- Předvídatelná ID relací
Čísla hrubé síly:
Heslo: 8 znaků, pouze písmena
Kombinace: 208 miliard
Čas na prolomení: 2 hodiny (moderní hardware)
Heslo: 12 znaků, smíšené
Kombinace: 3 kvadriliony
Čas na prolomení: 2 miliony let
Jak se bránit:
✓ Silné požadavky na hesla (12+ znaků)
✓ Dvoufaktorové ověřování (2FA)
✓ Uzamčení účtu po N pokusech
✓ CAPTCHA při přihlášení
✓ Bezpečná správa relací
✓ Žádná hesla v URL
č.8: Selhání Integrity Softwaru a Dat
Co to je:
Kód/data lze modifikovat bez detekce.
Příklady:
- Nespolehlivý CI/CD pipeline
- Automatické aktualizace bez ověření
- Nepodepsaný kód
- Nespolehlivá deserializace
Útoky přes dodavatelský řetězec:
Hacker kompromituje knihovnu třetí strany
→ Váš web automaticky stáhne infikovanou aktualizaci
→ Všechny weby používající knihovnu kompromitovány
Reálný příklad: SolarWinds (18,000 obětí)
Jak se bránit:
✓ Digitální podpisy pro aktualizace
✓ Ověřte integritu (kontrolní součty)
✓ Oddělený pipeline pro sestavení
✓ Kontrolujte kód třetích stran
✓ Používejte soubory uzamčení balíčků
č.9: Selhání Bezpečnostního Záznamu a Monitorování
Co to je:
Nedostatečné zaznamenávání = nevidíte útok.
IBM statistika: Průměrná doba detekce úniku = 207 dní
= Hacker má 7 měsíců volného přístupu!
Co zaznamenávat:
✓ Pokusy o přihlášení (neúspěšné i úspěšné)
✓ Selhání kontroly přístupu
✓ Chyby ověřování vstupu
✓ Akce administrátorů
✓ Podezřelé vzory
✓ Modifikace souborů
Jak se bránit:
✓ Implementujte komplexní zaznamenávání
✓ Monitorování a upozorňování záznamů
✓ Nástroje SIEM (pro podniky)
✓ Pravidelná kontrola záznamů
✓ Plán reakce na incidenty
✓ Zálohujte záznamy mimo web
č.10: Padělání Požadavků na Straně Serveru
Co to je:
Hacker donutí server aby načetl URL
kterou hacker kontroluje.
Příklad:
Funkce webu: "Import z URL"
Hacker zadá: http://interni-server/admin
→ Server načte interní zdroj
→ Hacker získá interní data
Jak se bránit:
✓ Ověřte uživatelem zadané URL
✓ Bílá listina povolených domén
✓ Zakažte zbytečné protokoly
✓ Segmentace sítě
✓ Pravidla firewallu
3. WordPress Bezpečnost - Speciální Pozornost
43% všech webů běží na WordPressu = největší cíl.
Proč Je WordPress Častý Cíl
Ne protože je "nespolehlivý"
Ale protože:
- 43% podíl na trhu = největší cíl
- Mnoho uživatelů neaktualizuje
- Ekosystém pluginů = zranitelnosti
- Netechničtí uživatelé = snadné cíle
Statistiky:
90% WordPress hacků: Zastaralý software
8% WordPress hacků: Slabá hesla
2% WordPress hacků: Nespolehlivý hosting
= 98% předejitelných!
Top WordPress Zranitelnosti
1. Zastaralé Jádro (60% hacků)
Problém: Běh staré verze WordPressu
Řešení: Aktualizovat do 24 hodin po vydání
Automatické aktualizace: Zvažte povolení
2. Zranitelné Pluginy (29% hacků)
Problém: Zastaralé nebo opuštěné pluginy
Řešení: Aktualizujte týdně, smažte nepoužívané
Vysoce rizikové pluginy:
- Kontaktní formuláře
- Pluginy pro nahrávání souborů
- Členské pluginy
- SEO pluginy (ironicky)
3. Slabá Hesla (8%)
Problém: admin/heslo123
Řešení: 16+ náhodných znaků v hesle
Nástroje:
- 1Password
- LastPass
- Bitwarden
4. Nespolehlivé Témata (3%)
Problém: Pirátské témata
Riziko: Zadní vrátka, malware
Řešení: Používejte pouze důvěryhodné zdroje
WordPress Bezpečnostní Checklist
Nezbytné (Udělejte Okamžitě):
□ Aktualizovat WordPress jádro
□ Aktualizovat VŠECHNY pluginy
□ Aktualizovat téma
□ Změnit uživatelské jméno admina (ne "admin")
□ Silná hesla (16+ znaků)
□ Omezit pokusy o přihlášení (plugin)
□ Dvoufaktorové ověřování
□ SSL certifikát (HTTPS)
□ Pravidelné zálohy (denně)
□ Odstranit nepoužívané pluginy
□ Skrýt verzi WordPressu
□ Zakázat úpravu souborů (dashboard)
Doporučené Pluginy:
Wordfence Security (zdarma)
→ Firewall, skenování malwaru, 2FA
iThemes Security (zdarma/pro)
→ 30+ bezpečnostních funkcí
UpdraftPlus (zdarma/pro)
→ Automatické zálohy
Sucuri Security (zdarma/pro)
→ Zpevnění bezpečnosti
Pokročilé:
□ Změnit URL wp-admin
□ Změna předpony databáze
□ Zakázat XML-RPC
□ Hlavičky Content Security Policy
□ Omezení rychlosti
□ Geografické blokování (pokud relevantní)
□ Bezpečnostní auditní log
□ Monitorování integrity souborů
📖 WordPress úvahy: WordPress vs Custom - bezpečnostní rozdíly
4. Hosting Bezpečnost - Základ Je Klíčový
Bezpečnost začíná u hostingu.
Levný Hosting = Bezpečnostní Riziko
Problémy sdíleného hostingu:
100+ webů na jednom serveru
→ Jeden kompromitovaný web = všechny v riziku
→ Nedostatečné bezpečnostní opatření
→ Pomalé bezpečnostní aktualizace
→ Žádný firewall
→ Žádné skenování malwaru
Reálná statistika: 90% hacknutých webů bylo na sdíleném hostingu
Varovné signály:
❌ Neomezené všechno za 150 Kč/měsíc
❌ Nepodporuje HTTPS
❌ Starý PHP (5.x)
❌ Žádné bezpečnostní funkce uvedené
❌ Žádná služba zálohování
❌ Obecná technická podpora
Kvalitní Hosting - Co Hledat
Bezpečnostní funkce které musí mít:
✓ Zdarma SSL certifikát (Let's Encrypt)
✓ Web Application Firewall (WAF)
✓ Skenování malwaru (denně)
✓ Ochrana proti DDoS
✓ Automatické zálohy (denně)
✓ Podpora PHP 8.2+
✓ Přístup SSH
✓ Dvoufaktorové ověřování
✓ Bezpečnostní monitorování
✓ Reakce na incidenty
Typy hostingu - bezpečnostní srovnání:
Sdílený hosting (150-300 Kč/měsíc):
Bezpečnost: ⭐⭐ (základní, sdílené riziko)
VPS (500-1500 Kč/měsíc):
Bezpečnost: ⭐⭐⭐⭐ (izolované, přizpůsobitelné)
Spravovaný WordPress (800-3000 Kč/měsíc):
Bezpečnost: ⭐⭐⭐⭐⭐ (proaktivní, specializované)
Dedikovaný (3000-15000+ Kč/měsíc):
Bezpečnost: ⭐⭐⭐⭐⭐ (plná kontrola, izolované)
Doporučení poskytovatelé (ČR/EU):
České:
- Websupport (spravovaný WordPress)
- Wedos (VPS, dobrá bezpečnost)
EU:
- Hetzner (VPS, skvělý poměr cena/výkon)
- SiteGround (spravované, vynikající bezpečnost)
Globální:
- WP Engine (spravovaný WordPress, špičková úroveň)
- Kinsta (spravovaný WordPress, drahé ale stojí to za to)
📖 Podrobnosti o hostingu: Hosting pro web - jak vybrat a kolik stojí
5. Hesla a Ověřování - První Obrana
Proč Jsou Slabá Hesla Problém
Čas na prolomení hesel (2024 hardware):
6 znaků, pouze písmena: Okamžitě
8 znaků, pouze písmena: 2 hodiny
8 znaků, smíšené: 2 dny
10 znaků, smíšené: 6 měsíců
12 znaků, smíšené: 3,000 let
16 znaků, smíšené: 10^18 let
= 12+ znaků MINIMUM
Nejčastější hesla (2024):
1. heslo
2. 123456
3. 123456789
4. 12345678
5. admin
6. qwerty
7. pusmevnu
8. vitejte
9. opice
10. drak
Pokud je vaše zde = změňte TEĎKA!
Vytváření Silných Hesel
Dobrá formule hesla:
❌ Špatné: heslo123
❌ Špatné: JanNovak1990
❌ Špatné: qwerty123!
✅ Dobré: Tr$8mK#pL9nQ2wE
✅ Dobré: spravny-kun-baterie-sponka (XKCD metoda)
✅ Dobré: Miluji_svou_kocku_jmenem_Micka!2024
Požadavky:
- 16+ znaků
- Mix: Velká, malá písmena, čísla, symboly
- Ne slovníkové slovo
- Ne osobní informace
- Unikátní pro každý web
Správci hesel:
Používejte jeden! Nemožné si zapamatovat 50+ unikátních hesel.
Doporučené:
1Password (900 Kč/rok) - Nejlepší UI
Bitwarden (Zdarma/Premium) - Open source
LastPass (Zdarma/Premium) - Populární
Dashlane (1500 Kč/rok) - Bohaté na funkce
Všechny podporují:
✓ Generování silných hesel
✓ Automatické vyplňování
✓ Bezpečné úložiště
✓ Cross-platform
✓ Monitorování úniků
Dvoufaktorové Ověřování (2FA)
Co je 2FA:
Vrstva 1: Něco co znáte (heslo)
Vrstva 2: Něco co máte (telefon, klíč)
I když je heslo ukradené → Nelze se přihlásit bez 2FA
2FA metody (nejlepší k nejhorší):
1. Hardwarový klíč (YubiKey) - Nejbezpečnější
2. Autentizační aplikace (Google, Authy) - Velmi bezpečné
3. SMS kódy - Ujde (riziko výměny SIM)
4. Emailové kódy - Nejslabší (email může být kompromitován)
Povolit 2FA na:
✓ WordPress admin
✓ Hostingový účet
✓ Registrátor domény
✓ Email
✓ Cloudové úložiště
✓ Platební účty
✓ VŠECHNO důležité
WordPress 2FA pluginy:
- Wordfence (zahrnuje 2FA)
- Two Factor Authentication (zdarma)
- Google Authenticator
- Duo Two-Factor Authentication
6. Zálohy - Poslední Obrana
Zálohy ≠ Bezpečnost, ale = Pojištění
Pravidlo Zálohování 3-2-1
3 kopie dat
2 různé typy úložiště
1 mimo web
Příklad:
- Kopie 1: Živý web (hosting)
- Kopie 2: Lokální záloha (úložiště hostingu)
- Kopie 3: Mimo web (Dropbox, AWS S3, Google Drive)
Frekvence Zálohování
Závisí na frekvenci aktualizací:
Statický web (změny měsíčně):
→ Týdenní zálohy OK
Blog (příspěvky týdně):
→ Denní zálohy minimum
E-shop (objednávky denně):
→ Několikrát denně
→ Replikace databáze v reálném čase (ideální)
Členský web (uživatelská data):
→ Hodinově nebo nepřetržitě
Co Zálohovat
✓ Databáze (všechny tabulky)
✓ Soubory (/wp-content pro WordPress)
✓ Konfigurační soubory
✓ SSL certifikáty
✓ Emailové účty (pokud hostované)
✓ DNS nastavení (zdokumentovat)
Specificky WordPress:
✓ wp-content/uploads (média)
✓ wp-content/plugins
✓ wp-content/themes
✓ wp-config.php
✓ .htaccess
✓ Databáze
Testování Záloh
Kritické: Testujte obnovu čtvrtletně!
Postup:
1. Vytvořit testovací prostředí
2. Obnovit nejnovější zálohu
3. Ověřit že všechny funkce fungují
4. Otestovat integritu databáze
5. Zkontrolovat úplnost souborů
6. Zdokumentovat případné problémy
Netestovaná záloha = Žádná záloha
Řešení Zálohování
WordPress pluginy:
UpdraftPlus (Zdarma/Premium)
✓ Automatizovaný plán
✓ Více možností cloudového úložiště
✓ Obnova jedním kliknutím
✓ Zdarma: Manuální, Premium: Automatizovaná migrace
BackupBuddy (Premium)
✓ Zálohy v reálném čase
✓ Skenování malwaru
✓ Přípravné prostředí
BlogVault (Premium)
✓ Inkrementální zálohy
✓ 365 dní uchovávání
✓ Včetně přípravného prostředí
Na úrovni hostingu:
Mnoho hostů zahrnuje zálohy:
- WP Engine: Denní automatické
- Kinsta: Automatické hodinově
- SiteGround: Denní zdarma
- Hetzner: Placený doplněk
Ověřte:
□ Frekvence zálohování?
□ Období uchovávání?
□ Snadná obnova?
□ Kde uložené (mimo web)?
7. SSL/HTTPS - Šifrování Je Standard
Proč Je HTTPS Nutné (Nejen Příjemné Mít)
Požadavky Google:
2014: HTTPS jako faktor hodnocení
2018: Chrome označuje HTTP jako "Není bezpečné"
2024: HTTP weby prakticky mrtvé
Bez HTTPS = Bez důvěry = Bez byznysu
Co HTTPS dělá:
✓ Šifruje data při přenosu
✓ Ověřuje identitu webu
✓ Zabraňuje útokům prostředníka
✓ Chrání hesla/platební informace
✓ Vyžadováno pro moderní funkce (PWA, geolokace, atd)
✓ SEO benefit
✓ Signály důvěry (zámek)
Získání SSL Certifikátu
Zdarma možnosti:
Let's Encrypt (ZDARMA!)
→ Používá 60%+ webů
→ Automatické obnovování
→ Podporováno všemi hlavními hosty
→ Ověření domény (DV)
Většina hostingu nyní zahrnuje zdarma SSL
Pokud ne → Změňte hosting!
Placené možnosti (zřídka potřebné):
Organizačně Ověřené (OV): 1200-5000 Kč/rok
→ Zobrazuje název firmy
→ Více ověřování
Rozšířené Ověření (EV): 5000-12000 Kč/rok
→ Zelená lišta (starší prohlížeče)
→ Nejvyšší ověření
Pouze pro:
- Banky
- E-commerce (velký)
- Podnik
SSL Konfigurace
Po instalaci SSL:
□ Vynutit HTTPS (přesměrovat HTTP → HTTPS)
□ Aktualizovat interní odkazy (http:// → https://)
□ Aktualizovat zdroje (obrázky, CSS, JS)
□ Aktualizovat Google Analytics/Search Console
□ Zkontrolovat upozornění na smíšený obsah
□ Povolit HSTS hlavičku
□ Otestovat na SSL Labs (ssllabs.com/ssltest)
Cíl: Hodnocení A+ na SSL Labs
HSTS (HTTP Strict Transport Security):
Přidejte do .htaccess nebo konfigurace serveru:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
= Vynucuje HTTPS na 1 rok
= Zabraňuje útokům downgrade
8. Firewall a Ochrana Proti DDoS
Web Application Firewall (WAF)
Co dělá:
Filtruje škodlivý provoz před dosažením serveru
Blokuje:
- Pokusy SQL injection
- XSS útoky
- Pokusy hrubou silou
- Známé škodlivé IP
- Bot provoz
- DDoS útoky
WAF možnosti:
Cloudflare (Zdarma tier dostupný)
✓ Globální CDN
✓ Ochrana DDoS
✓ Omezení rychlosti
✓ Pravidla firewallu
✓ Ochrana botů
Sucuri (5000-12000 Kč/rok)
✓ WAF
✓ Odstranění malwaru
✓ CDN
✓ Mitigace DDoS
Wordfence (WordPress plugin)
✓ Zdarma tier dostupný
✓ Firewall
✓ Omezení rychlosti
✓ Blokování zemí
Ochrana Proti DDoS
Co je DDoS:
Distribuované Odmítnutí Služby
= Zahlcení webu požadavky
= Server přetížen
= Web spadne
Motivace:
- Výkupné (plaťte nebo zůstanete dole)
- Konkurence
- Politika/aktivismus
- "Pro zábavu" (bohužel)
Strategie ochrany:
1. CDN/Proxy (Cloudflare, atd)
→ Absorbuje útočný provoz
2. Omezení rychlosti
→ Max požadavků na IP
3. Analýza provozu
→ Detekce neobvyklých vzorů
4. Škálování kapacity
→ Cloudové automatické škálování
5. Mít plán reakce na DDoS
9. Monitorování a Detekce
Co Monitorovat
Bezpečnostní monitorování:
✓ Neúspěšné pokusy o přihlášení
✓ Modifikace souborů
✓ Změny oprávnění uživatelů
✓ Instalace pluginů/témat
✓ Změny databáze
✓ 404 chyby (potenciální skenování)
✓ Špičky provozu
✓ Geografické anomálie
✓ Provozuschopnost
Nástroje Monitorování
Zdarma:
Wordfence (WordPress)
→ Monitorování provozu v reálném čase
→ Upozornění na podezřelou aktivitu
Sucuri SiteCheck (zdarma skener)
→ Detekce malwaru
→ Monitorování blacklistu
Google Search Console
→ Upozornění na bezpečnostní problémy
→ Manuální akce
UptimeRobot
→ Monitorování provozuschopnosti
→ Upozornění na výpadek
Placené:
Sucuri (5000+ Kč/rok)
→ Nepřetržité monitorování
→ Reakce na incident
→ Odstranění malwaru zahrnuto
Sitelock (2500+ Kč/rok)
→ Denní skeny
→ Detekce zranitelností
ManageWP (zdarma/premium)
→ Monitorování více webů
→ Provozuschopnost, bezpečnost, aktualizace
Plán Reakce na Incident
Když je detekován únik:
OKAMŽITÉ (Hodina 0-1):
1. Odpojit web (pokud aktivní útok)
2. Změnit VŠECHNA hesla
3. Zdokumentovat vše
4. Oznámit poskytovateli hostingu
VYŠETŘOVÁNÍ (Hodina 1-24):
5. Identifikovat vstupní bod
6. Posoudit škody
7. Zkontrolovat záznamy
8. Skenovat malware
NÁPRAVA (Den 1-3):
9. Odstranit malware
10. Opravit zranitelnost
11. Obnovit z čisté zálohy (pokud potřeba)
12. Aktualizovat veškerý software
OBNOVA (Den 3-7):
13. Vrátit web online
14. Pečlivě monitorovat
15. Oznámit postiženým uživatelům (pokud únik dat)
16. Nahlásit ÚOOÚ (pokud vyžadováno, <72h)
PO INCIDENTU (Týden 2+):
17. Bezpečnostní audit
18. Implementovat dodatečná opatření
19. Aktualizovat plán reakce
20. Školení týmu
10. Bezpečnostní Checklist - Akční Kroky
Okamžité Akce (Udělejte Dnes)
□ Změnit hesla (admin, hosting, databáze)
→ 16+ znaků, unikátní
□ Povolit 2FA na WordPress admin
□ Aktualizovat WordPress jádro
□ Aktualizovat VŠECHNY pluginy
□ Aktualizovat téma
□ Smazat nepoužívané pluginy
□ Zkontrolovat fungující SSL certifikát
□ Nastavit zálohy (UpdraftPlus)
□ Instalovat bezpečnostní plugin (Wordfence)
□ Ověřit že hosting má firewall
Týdenní Údržba
□ Aktualizovat WordPress/pluginy (kontrola týdně)
□ Zkontrolovat bezpečnostní záznamy
□ Zkontrolovat neúspěšné pokusy o přihlášení
□ Skenovat malware
□ Ověřit běžící zálohy
□ Monitorovat zprávy o provozuschopnosti
Měsíční Úkoly
□ Plný bezpečnostní audit
□ Zkontrolovat uživatelské účty (odstranit nepoužívané)
□ Zkontrolovat oprávnění souborů
□ Zkontrolovat instalované pluginy (stále potřebné?)
□ Aktualizovat dokumentaci
□ Otestovat obnovu zálohy
□ Zkontrolovat přístupové záznamy
Čtvrtletní Kontroly
□ Rotace hesel (kritické účty)
□ Hluboké skenování bezpečnostním pluginem
□ Profesionální bezpečnostní audit (zvážit)
□ Zkontrolovat a aktualizovat bezpečnostní politiky
□ Cvičení obnovy po havárii
□ Aktualizovat plán reakce na incidenty
Roční Akce
□ Komplexní penetrační test
□ Zkontrolovat bezpečnost hostingu
□ Zvážit upgrade hostingu
□ Zkontrolovat pojistné krytí
□ Školení týmu v bezpečnosti
□ Audit shody (GDPR)
□ Rozpočet na příští rok bezpečnosti
11. Kdy Najmout Profesionála
DIY Bezpečnost (Rozpočet: 0-5k Kč/rok)
Zvládnete:
✓ Pravidelné aktualizace
✓ Silná hesla
✓ Základní pluginy (Wordfence, zálohy)
✓ SSL certifikát
✓ Základní monitorování
Dobré pro:
- Malé blogy
- Portfolio weby
- Nízko-rizikové weby
- Omezený rozpočet
Profesionální Bezpečnostní Audit (15-50k Kč jednorázově)
Potřebujete profesionála když:
✗ E-commerce web
✗ Zpracování uživatelských dat
✗ Vysoká hodnota webu
✗ Byli jste předtím hacknutí
✗ Vyžadována shoda (přísné GDPR)
✗ Duševní klid
Co zahrnuje audit:
✓ Skenování zranitelností
✓ Penetrační testování
✓ Kontrola kódu
✓ Audit konfigurace
✓ Podrobná zpráva
✓ Doporučení nápravy
Spravovaná Bezpečnostní Služba (5-20k Kč/měsíc)
Podnikové/Weby s vysokou hodnotou:
Zahrnuje:
✓ Monitorování 24/7
✓ Reakce na incidenty
✓ Odstranění malwaru
✓ Správa firewallu
✓ Pravidelné audity
✓ Pomoc se shodou
✓ Mitigace DDoS
✓ Pojištění (někdy)
Pro:
- E-commerce (>1M obrat)
- Weby s členstvím
- SaaS aplikace
- Vysoce profilované weby
- Regulovaná odvětví
Otázky pro Vašeho poskytovatele bezpečnosti
□ Máte zkušenosti s naší platformou? (WordPress, atd)
□ Jaká je reakční doba na incidenty?
□ Co je zahrnuto vs extra náklady?
□ Poskytujete zprávy o compliance?
□ Jaké nástroje používáte?
□ Reference od podobných klientů?
□ Pojištění/záruky?
□ Proces reakce na incident?
□ Komunikace během incidentu?
□ Podpora po incidentu?
📖 Výběr poskytovatele: Jak vybrat vývojářskou firmu - bezpečnostní otázky
12. Náklady na bezpečnost vs security breach náklady
Investice Do Bezpečnosti
Malý web (blog, portfolio):
Upgrade hostingu: 500 Kč/měsíc extra
Bezpečnostní plugin: Zdarma
2FA: Zdarma
Zálohy: Zdarma/500 Kč měsíc
SSL: Zdarma (Let's Encrypt)
Časová investice: 2-4 hodiny/měsíc
Celkem: 1-2k Kč/měsíc = 12-24k/rok
Střední web (byznys, malý e-shop):
Lepší hosting: 1,500 Kč/měsíc
Premium pluginy: 3,000 Kč/rok
Zálohy (premium): 2,000 Kč/rok
Roční audit: 20,000 Kč
Čas: 4-8 hodin/měsíc
Celkem: 40-50k Kč/rok
Velký web (e-shop, podnik):
Spravovaný hosting: 5,000 Kč/měsíc
Bezpečnostní služba: 10,000 Kč/měsíc
Shoda: 50,000 Kč/rok
Penetrační testování: 80,000 Kč/rok
Pojištění: 20,000 Kč/rok
Čas zaměstnanců: 20 hodin/měsíc
Celkem: 300-400k Kč/rok
Security breach náklady
Malý web hacknutí:
Úklid: 20-50k Kč
Ztracené příjmy (1 týden dole): 10-50k Kč
Obnova SEO škod: 20-100k Kč
Škody na reputaci: Nemožné kvantifikovat
Celkové přímé: 50-200k Kč
+ Škody na reputaci
Napadení e-shopu:
Okamžité:
- Úklid: 50-150k Kč
- Forenzika: 100-300k Kč
- Oznámení zákazníkům: 50-100k Kč
- PR/krizové řízení: 100-500k Kč
Ztracený byznys:
- Výpadek: 50-500k Kč
- Důvěra zákazníků: 500k-5M Kč (dlouhodobě)
Právní:
- GDPR pokuta: 50k-20M EUR
- Žaloby zákazníků: Variabilní
- Právní poplatky: 200-2M Kč
Celkem: 1-50M+ Kč potenciálně
+ Škody na značce
+ Odliv zákazníků
+ Čas obnovy (měsíce až roky)
Výpočet ROI
Investice do bezpečnosti: 50k Kč/rok
Pravděpodobnost úniku bez bezpečnosti: 20%/rok
Pravděpodobnost úniku s bezpečností: 2%/rok
Průměrné náklady úniku: 500k Kč
Bez bezpečnosti:
Očekávané náklady: 500k × 20% = 100k Kč/rok
S bezpečností:
Investice: 50k Kč
Očekávané náklady úniku: 500k × 2% = 10k Kč
Celkem: 60k Kč/rok
Úspora: 40k Kč/rok
ROI: 67%
Plus:
- Duševní klid
- Shoda
- Důvěra zákazníků
- Kontinuita podnikání
Bezpečnost není náklad - je to investice.
Závěr: Bezpečnost Je Průběžný Proces
Klíčové Poznatky
1. Bezpečnost Je Nutnost, Ne Volba
43% malých firem napadeno
60% končí do 6 měsíců po úniku
Průměrné náklady: €2.2M pro malé a střední firmy
GDPR pokuty: až €20M nebo 4% obratu
2. Většina Hacků Je Předejitelná
90% WordPress hacků: Zastaralý software
98% útoků: Základní bezpečnost by zabránila
Prevence 10× levnější než obnova
3. Lidský Faktor Je Největší Riziko
74% úniků zahrnuje lidský prvek
Slabá hesla
Phishing
Žádné aktualizace
Chybná konfigurace
= Školení a procesy kritické
4. Bezpečnost Je Kontinuální
Ne jednorázové nastavení
Průběžné monitorování
Pravidelné aktualizace
Nepřetržité zlepšování
Připravená reakce na incident
5. Zálohy Jsou Pojištění
Pravidlo 3-2-1
Testujte čtvrtletně
Úložiště mimo web
Automatizované
= Poslední linie obrany
Váš Akční Plán
Tento Týden:
1. Změnit všechna hesla (16+ znaků)
2. Povolit 2FA všude
3. Aktualizovat WordPress + pluginy
4. Nastavit zálohy
5. Instalovat Wordfence
Tento Měsíc:
6. Bezpečnostní audit (sami nebo profesionál)
7. Kontrola SSL (cíl hodnocení A+)
8. Smazat nepoužívané pluginy/témata
9. Zkontrolovat bezpečnost hostingu
10. Zdokumentovat plán reakce na incident
Toto Čtvrtletí:
11. Otestovat obnovu zálohy
12. Profesionální bezpečnostní audit (zvážit)
13. Školení týmu (pokud relevantní)
14. Zkontrolovat kontroly přístupu
15. Aktualizovat bezpečnostní rozpočet
Ročně:
16. Komplexní bezpečnostní přehled
17. Penetrační testování (vysoká hodnota webů)
18. Přehled pojištění
19. Audit shody
20. Plánování obnovy technologie
Potřebujete Pomoc?
DIY není pro každého.
Pokud:
→ E-commerce web (zákaznická data)
→ Byli jste předtím hacknutí
→ Vysoká hodnota webu
→ Požadavky shody
→ Chcete duševní klid
Nabízíme:
Bezpečnostní Audit (20,000-50,000 Kč jednorázově):
✓ Skenování zranitelností
✓ Penetrační testování
✓ Přehled konfigurace
✓ Podrobná zpráva
✓ Plán nápravy
✓ Podpora implementace (volitelné)
Spravovaná Bezpečnost (5,000-15,000 Kč/měsíc):
✓ Monitorování 24/7
✓ Reakce na incidenty
✓ Pravidelné aktualizace
✓ Správa záloh
✓ Čtvrtletní audity
✓ Podpora shody
📞 Bezplatná konzultace (30 minut):
✓ Posoudit současnou bezpečnost
✓ Identifikovat rizika
✓ Doporučit řešení
✓ Odhad ceny
✓ Bez závazku
→ [Objednat](https://calendly.com/appitect/30min)
Nebo email: hello@appitect.eu
Další Čtení
Související články:
Základ:
Infrastruktura:
Technologie:
Shoda:
Plánování:
- Redesign webu - upgrade bezpečnosti
- Jak vybrat vývojářskou firmu - bezpečnostní otázky
- Kolik stojí web - investice do bezpečnosti
Portfolio:
Chraňte svůj web. Bezpečnost není volitelná. 🔒
Adam Bardzák
Founder, Appitect
📧 hello@appitect.eu
🌐 www.appitect.eu
Appitect | Vývoj Webů & Aplikací | Plzeň, ČR
Naposledy aktualizováno: Listopad 2025
Zdroje a Reference
Všechny statistiky a fakta v článku pocházejí z:
- Verizon Data Breach Investigations Report 2024
- IBM Cost of Data Breach Report 2024
- OWASP Top 10 Web Application Security Risks 2024
- Sucuri Website Hacked Report 2023
- Wordfence WordPress Threat Intelligence
- Google Transparency Report
- EU GDPR Enforcement Tracker
- CVE (Common Vulnerabilities and Exposures) Database