Proč jsou hesla pořád nejslabší článek
Většina kompromitací webů nezačíná sofistikovaným útokem na server, ale lidskou chybou. Útočníci využívají credential stuffing (zkoušení uniklých kombinací e-mail + heslo), brute force útoky na slabá hesla, phishing nebo prosté přihlášení přes starý účet, který nikdo nehlídá. Podle dlouhodobých bezpečnostních reportů patří kompromitované přihlašovací údaje mezi nejčastější počáteční vektory útoku napříč weby i SaaS nástroji.
Jinými slovy: pokud má administrátor heslo typu Firma123 nebo používá stejné heslo do WordPressu, e-mailu a hostingu, útočník nemusí nic lámat. Stačí mu data z minulého úniku, automatizovaný skript a pár minut času.
U webů je to navíc dražší než jen změna hesla. Napadený web často znamená přesměrování na spam, vložený malware, ztrátu pozic v Google, blacklist v prohlížečích i e-mailových službách a v krajním případě únik zákaznických dat. Náklady na obnovu pak běžně násobně převýší cenu prevence.
Jak útočníci skutečně postupují
Nejčastější scénář je překvapivě nudný. Útočník získá databázi uniklých přihlašovacích údajů z jiného webu, zkusí je na vašem administrátorském rozhraní a pokud má uživatel stejné heslo, je uvnitř. K tomu používá automatizaci, takže může během krátké chvíle testovat tisíce kombinací.
- Credential stuffing: útoky z uniklých databází hesel, často přes botnety a proxy.
- Brute force: systematické hádání hesel, účinné hlavně proti slabým nebo krátkým heslům.
- Phishing: falešná přihlašovací stránka nebo e-mail s odkazem na podvržený login.
- Session hijacking: krádež aktivní přihlášené relace, pokud je web špatně zabezpečen.
- Interní zneužití: bývalý zaměstnanec nebo agentura stále má přístup, který nikdo neodebral.
U WordPressu je riziko vyšší i proto, že je extrémně rozšířený. Útočníci skenují weby automaticky, hledají standardní adresy jako /wp-login.php nebo /wp-admin a zkouší kombinace přes boty. Nejde o teoretickou hrozbu — jde o každodenní provoz internetu.
Co nastavit hned: minimum, které dává smysl
Bezpečnost nezačíná antivirem, ale politikou přístupu. Pokud máte web, e-shop nebo firemní administraci, nastavte tato opatření jako základ:
- Silná a unikátní hesla pro každý systém. Minimálně 14 znaků, ideálně passphrase.
- Správce hesel pro tým: 1Password, Bitwarden, LastPass, Keeper nebo Dashlane.
- Dvoufaktorové ověření (2FA) pro administraci, hosting, e-mail i analytiku.
- Omezení pokusů o přihlášení a dočasné blokace po několika neúspěších.
- Oddělené role — nikdo nepotřebuje plný administrátorský přístup, pokud jen upravuje obsah.
- Okamžité odebrání přístupů po ukončení spolupráce.
Prakticky: pokud provozujete WordPress, zkontrolujte, zda máte minimálně administrátora, editora a případně samostatný účet pro vývojáře. Nepoužívejte sdílený účet admin. Každý člověk má mít vlastní login, aby šlo dohledat, kdo co udělal, a případně účet rychle deaktivovat.
U e-shopů a firemních webů je dobré oddělit přístupy do CMS, hostingu, DNS, Google účtu, Search Console, GA4 a e-mailu. Když útočník získá jen jednu vrstvu, neměl by automaticky ovládnout všechno.
WordPress, hosting a e-mail: tři místa, kde se chyby opakují
WordPress bezpečnost často padá na detailech. Nejčastější slabiny jsou zastaralé pluginy, nulová kontrola rolí, slabé heslo do hostingu a přístup přes e-mailový účet bez 2FA. Pokud útočník získá přístup do e-mailu, reset hesel je pro něj jen formalita.
Na technické úrovni doporučuji tyto kroky:
- Aktualizace jádra, pluginů a šablon bez odkladu, ideálně s stagingem před ostrým nasazením.
- Odstranění nepoužívaných pluginů, nejen jejich deaktivace.
- Bezešvé zálohy mimo hosting, například do S3, Google Drive nebo specializované služby.
- Web Application Firewall (WAF) jako Cloudflare, Sucuri nebo Wordfence.
- Bezpečné připojení k administraci přes HTTPS a omezení přístupu podle IP, pokud to dává smysl.
U hostingu sledujte, jestli poskytovatel nabízí oddělené účty, logy přístupů, možnost obnovy ze zálohy a podporu 2FA. Levný hosting bez bezpečnostních funkcí je často falešná úspora. Pokud se web napadne, rozhoduje rychlost reakce a kvalita zálohování.
Velmi častá chyba je také sdílený e-mail pro registrace na všech službách. Pokud máte stejnou adresu pro fakturaci, administraci webu i newsletter nástroje, útočník po prolomení e-mailu získá klíč ke všemu. Lepší je mít alespoň oddělené role: provozní e-mail, administrátorský e-mail a účet pro běžnou komunikaci.
Jak poznat, že je něco špatně
Napadení webu nemusí být na první pohled vidět. Někdy se projeví až poklesem návštěvnosti, varováním v Google Search Console nebo stížností zákazníka, že se po kliknutí dostal na jinou stránku. Proto má smysl sledovat indikátory, které odhalí problém dřív než škodu.
- Neznámé přihlášení v logu administrace nebo hostingu.
- Nové uživatelské účty, které nikdo nevytvářel.
- Nečekané změny obsahu, odkazů nebo šablon.
- Varování v prohlížečích typu „Tento web může být nebezpečný“.
- Pád výkonu kvůli škodlivým skriptům nebo spamovým požadavkům.
- Podivné e-maily o změně hesla, kterou nikdo neinicioval.
Pro monitoring se hodí kombinace nástrojů: Google Search Console pro bezpečnostní upozornění a indexaci, Cloudflare nebo jiný WAF pro logy útoků, Wordfence či Sucuri pro WordPress a serverové logy pro detailní analýzu. U větších webů dává smysl i centralizace logů do SIEM nebo alespoň do nástroje typu Datadog.
Praktický test: jednou měsíčně projděte seznam přístupů, administrátorů, pluginů, záloh a posledních přihlášení. Tato 15minutová kontrola často odhalí problém dřív než automatizovaný útok.
Bezpečnost jako proces, ne jednorázové nastavení
Největší chyba je myslet si, že bezpečnost vyřeší jeden plugin nebo jediné silné heslo. Reálně jde o kombinaci více vrstev: přístupy, aktualizace, zálohy, monitoring, školení lidí a rychlá reakce. Když jedna vrstva selže, další by měla útok zpomalit nebo zastavit.
Pro malé weby doporučuji jednoduchý provozní model:
- 2FA všude, kde to jde.
- Správce hesel pro celý tým.
- Týdenní aktualizace a kontrola pluginů.
- Automatické zálohy denně, uchovávat alespoň 14 až 30 dní.
- Pravidelný audit uživatelů a rolí jednou za měsíc.
- Logování a alerty na neobvyklé přihlášení nebo změny souborů.
U firem s více lidmi je dobré zavést i jednoduchou interní politiku: žádné sdílené účty, žádné heslo posílané do chatu, žádné přístupy bez 2FA a žádné „dočasně to necháme otevřené“. Právě dočasná řešení bývají nejtrvalejší slabina.
Když chcete jít ještě dál, zvažte passkeys a bezheslové přihlašování tam, kde je to podporované. V kombinaci s 2FA a správou rolí jde o výrazný posun proti klasickému heslovému modelu. A i když ne všechno dnes podporuje passkeys, trend je jasný: méně hesel, více ověřování identity přes zařízení a biometriku.
Jedno slabé heslo opravdu stačí. Ne proto, že by moderní weby byly bezbranné, ale protože většina útoků míří na nejslabší místo v řetězci — člověka a jeho návyky. Kdo to pochopí včas, ušetří si výpadky, stres i náklady na obnovu.
