„My sme malá firma, nás sa to netýka." Najčastejší a najnebezpečnejší mýtus o bezpečnosti webu. Realita je opačná: väčšina útokov nie je cielená — boti automaticky skenujú celý internet a hľadajú weby so známymi zraniteľnosťami. Nezáleží, či ste banka alebo pekáreň; neudržiavaný web je ľahký cieľ. Tu je 8 základných opatrení, ktoré by mal mať každý firemný web.
1. HTTPS všade
Šifrované spojenie (HTTPS) je dnes baseline — chráni dáta medzi návštevníkom a serverom, Google ho vyžaduje a prehliadače bez neho zobrazujú varovanie „nezabezpečené". Certifikát je zadarmo (Let's Encrypt) a mal by pokrývať web aj s automatickým presmerovaním z HTTP a z non-www verzie.
2. Aktualizujte úplne všetko
Najdôležitejšie opatrenie vôbec. Väčšina úspešných útokov využíva známe zraniteľnosti v zastaraných komponentoch — CMS, pluginy, knižnice, PHP, serverový softvér — také, na ktoré už dávno existuje oprava. Bot ich nájde skôr než vy, ak nie sú zaplátané.
Preto je pravidelná údržba súčasť bezpečnosti, nie luxus (píšeme o nej v článku koľko stojí servis webu). Špeciálne pri starších WordPress inštaláciách máme samostatný hardening návod.
3. Silné heslá a 2FA na administráciu
Prihlasovacia stránka je najčastejší cieľ brute-force útokov. Minimum:
- Silné, unikátne heslá — dlhé, nikdy slovníkové, nikde inde nepoužité (ideálne správca hesiel)
- Dvojfaktorové overenie (2FA) na všetky admin účty — druhá vrstva, ktorá zastaví útok aj pri prezradenom hesle
- Obmedzenie pokusov o prihlásenie — blokovanie po niekoľkých neúspešných pokusoch
- Skrytie / presun prihlasovacej URL z default cesty, kde bot hľadá
4. Zálohy, ktoré naozaj fungujú
Záloha je posledná záchrana pri napadnutí či zlyhaní servera. Aby fungovala, keď ju potrebujete:
- Automaticky a pravidelne — databáza denne, súbory týždenne
- Mimo servera — na inom úložisku, aby útok nezničil web aj zálohu naraz
- Otestovaná obnova — raz za čas skúsiť reálne obnoviť. Záloha, ktorú nikto nikdy neobnovil, je len nádej.
5. Bezpečnostné HTTP hlavičky
Jednoduché nastavenia servera s veľkým prínosom — hovoria prehliadaču, ako sa má na webe bezpečne správať:
Strict-Transport-Security → vynúti HTTPS aj pri ďalších návštevách
X-Content-Type-Options → zabráni „uhádnutiu" typu súboru
X-Frame-Options → web sa nedá vložiť do cudzieho rámca (clickjacking)
Referrer-Policy → obmedzí, čo sa posiela pri odchode z webu
Content-Security-Policy → povolí obsah len z dôveryhodných zdrojov
Časť z nich sme spomínali aj v článku o technickom SEO — bezpečnosť a kvalita webu sa prekrývajú.
6. Ochrana formulárov pred botmi
Každý formulár na webe je pozvánka pre spam boty. Efektívna ochrana je vrstvená:
- CSRF token — bráni odoslaniu formulára z cudzej stránky
- Honeypot — skryté pole, ktoré bot vyplní a človek nevidí
- Time-trap — odoslanie do pár sekúnd od načítania = takmer isto bot
- CAPTCHA bez trenia — napr. Cloudflare Turnstile: reálny prehliadač prejde automaticky, priamy POST od bota bez tokenu sa ticho zahodí
Presne týmito štyrmi vrstvami chránime kontaktné formuláre, ktoré staviame — používateľ nič nezaznamená, bot neprejde.
7. Princíp najnižších oprávnení
Každá časť systému má mať len tie práva, ktoré nevyhnutne potrebuje. V praxi: správne práva súborov (žiadne 777), databázový používateľ len s potrebnými oprávneniami (nie root), zákaz editácie súborov cez admin rozhranie, oddelené účty pre rôzne role. Keď útočník prenikne do jednej časti, obmedzené práva mu zabránia prevziať celý systém.
8. Monitoring a plán pre incident
Bez monitoringu o útoku alebo výpadku zistíte, až keď zavolá zákazník. Minimum:
- Monitoring dostupnosti — upozornenie pri výpadku (aj mimo pracovných hodín)
- Kontrola integrity — pravidelný scan na zmenené/podozrivé súbory
- Google Search Console — Google upozorní, ak sa web dostane na blacklist alebo je napadnutý
- Plán obnovy — vopred vedieť, kto a ako web obnoví, keď sa niečo stane
Bezpečnostný checklist
- ☐ HTTPS na celom webe + presmerovanie z HTTP a non-www
- ☐ CMS, pluginy, knižnice a PHP pravidelne aktualizované
- ☐ Silné heslá + 2FA na admin, limit prihlásení
- ☐ Automatické zálohy mimo servera + otestovaná obnova
- ☐ Bezpečnostné HTTP hlavičky nastavené
- ☐ Formuláre chránené (CSRF + honeypot + time-trap, prípadne Turnstile)
- ☐ Správne práva súborov a DB používateľa (least privilege)
- ☐ Monitoring dostupnosti a integrity + plán obnovy
Časté otázky
- Je aj malý firemný web terčom útokov?
- Áno. Väčšina útokov nie je cielená — boti automaticky skenujú celý internet a hľadajú weby so známymi zraniteľnosťami, bez ohľadu na veľkosť firmy. Malý neudržiavaný web je často ľahší cieľ než veľký s dedikovanou bezpečnosťou. Každý web pripojený na internet potrebuje aspoň základnú ochranu.
- Aké je najdôležitejšie bezpečnostné opatrenie pre web?
- Pravidelné aktualizácie. Väčšina úspešných útokov využíva známe zraniteľnosti v zastaraných CMS, pluginoch, knižniciach alebo PHP — také, na ktoré už dávno existuje oprava. Udržiavaný web zavrie tieto dvere skôr, než ich bot nájde. Hneď za tým sú HTTPS, zálohy a silná autentifikácia.
- Potrebuje web dvojfaktorové overenie (2FA)?
- Do administrácie rozhodne áno. Prihlasovacie stránky sú najčastejší cieľ brute-force útokov a samotné heslo (aj silné) môže uniknúť. 2FA (napr. cez aplikáciu Google Authenticator) pridá druhú vrstvu, ktorá útok zastaví aj pri prezradenom hesle. Pre bežných návštevníkov 2FA netreba, pre adminov je nutnosť.
- Ako ochránim kontaktný formulár pred spamom?
- Kombináciou vrstiev: CSRF token, honeypot (skryté pole, ktoré bot vyplní a človek nie), time-trap (odoslanie do pár sekúnd = bot) a v prípade potreby CAPTCHA bez trenia ako Cloudflare Turnstile. Reálny prehliadač prejde automaticky, priamy POST od bota bez tokenu sa ticho zahodí. Práve takto chránime formuláre my.
- Čo sú security headers a prečo ich potrebujem?
- Bezpečnostné HTTP hlavičky (HSTS, X-Content-Type-Options, X-Frame-Options, Content-Security-Policy, Referrer-Policy) hovoria prehliadaču, ako sa má na webe bezpečne správať — vynútia HTTPS, zabránia vloženiu webu do cudzieho rámca, obmedzia z akých zdrojov sa načítava obsah. Sú to jednoduché nastavenia servera s veľkým bezpečnostným prínosom.
- Ako často mám zálohovať web?
- Databázu a obsah denne, kompletné súbory aspoň týždenne, s archívom držaným niekoľko mesiacov. Kľúčové však je zálohy ukladať mimo servera (iné úložisko) a raz za čas otestovať obnovu — záloha, ktorú nikto nikdy neobnovil, je len nádej. Pri napadnutí alebo zlyhaní servera je funkčná záloha rozdiel medzi hodinou a týždňami výpadku.
Záver
Bezpečnosť webu nie je jednorazová úloha ani výsada veľkých firiem — je to súbor základných opatrení, ktoré má mať každý web, a hlavne priebežná starostlivosť. Väčšina incidentov sa dá predísť aktualizáciami, zálohami a rozumnou konfiguráciou. Ak si nie ste istí, na čom je bezpečnosť vášho webu, ponúkame bezpečnostný audit a hardening — napíšte nám a povieme vám konkrétne, čo doplniť.