fbpx

Tvoříme weby, díky kterým budete podnikat s úsměvem :) Více o nás a tvorbě webů →

Tvoříme weby, díky kterým budete podnikat s úsměvem :) Více o nás a tvorbě webů →

Zabezpečte svůj web

Zabezpečte svůj web

Komu už hacker napadl web, tak ví, že není žádná sranda řešit důsledky, nebo přijít o svůj web úplně. V tomto videu a článku vám dám tipy, jaké bezpečnostní zásady dodržovat u svého webu, aby bylo vše v pořádku.

HTTPS – zabezpečeno

Nejprve se na web podíváme z pohledu návštěvníka, protože ten jako první už u adresy webu vidí, jestli jsou stránky zabezpečeny nebo ne.

Záleží na tom, jaký používá prohlížeč. Ale většinou na něj svítí 🔒 zamknutý zámek, že je vše v pořádku nebo výrazná výstrana „Nezabezpečeno“, která moc důvěryhodně nevypadá a spíš ho vyděsí.


Úkolem každého profesionála je mít zabezpečený web. A v tomto případě to znamená, že web funguje na tzv. HTTPS a ne na nezabezpečeném HTTP.

Znamená to, že přenos dat z webu je šifrovaný. Například pokud návštěvník vyplní na webu kontaktní formulář nebo cokoliv jiného, tak se  vyplněná data při odeslání zašifrují.

Pokud váš web funguje na HTTP místo zabezpečeného HTTPS, tak je potřeba požádat svého poskytovatele webhostingu (tam kde máte web uložen) o aktivaci tzv. SSL certifikátu. U většiny webhostingů je tento certifikát zdarma.

Na co nezapomenout po změně na HTTPS

Pokud takto přepneme web na HTTPS, tak je potřeba vyzkoušet, jestli funguje přesměrování stránek z http na https. Když dáte do prohlížeče vaši adresu s http na začátku, jestli se při zobrazení webu přepíše v adrese na https. Kdyžtak je potřeba upravit nastavení webu a přesměrování nastavit.

My používáme redakční systém WordPress pro weby. Tady je potřeba v hlavním nastavení změnit adresy na https. Přesměrování lze jednoduše nastavit přes plugin Really Simple SSL nebo iThemes Security.

Nezapomeňte si také opravit adresy v Google Analytics a v Google Search Consoli, pokud máte tyto věci na webu nastaveny.

Bezpečné přihlášení do administrace webu

Teď se pojďme podívat více do pozadí webu, které návštěvníci sice nevidí, ale vidí ho hackeři. Je důležité si uvědomit, že většina útoků na weby není tím stylem, že si vás vytipuje hacker a snaží se do webu dostat. Většina útoků jsou roboti hackerů a ten útok je hromadný.

Robot je naprogramovaný tak, že buď zkouší prolomit přihlášení nebo se zaměřuje na určitou bezpečnostní chybu a prozkoumává weby, kde tato chyba je. Pokud ji na nějakém webu zjistí, tak se přes ni dostane dovnitř a web zaviruje, vloží vlastní obsah nebo web smaže. Nic z toho si nepřejete zažít.

Většina webů na světě běží na nějakém redakčním systému, který práci s webem usnadňuje. Majitel webu má své přihlašovací údaje a díky nim jednoduše web upraví. Právě přihlašovací údaje jsou tím prvním milníkem k bezpečnému webu.

Přihlašovací jméno do webu

Jako první je volba přihlašovacího jména do webu. V žádném případě by to nemělo být jméno, které je použito na mnoha webech, jako admin, administrator, webmaster, apod.

Zvolte své jméno, přezdívku nebo třeba e-mailovou adresu.

Heslo, heslo, heslo

„Kdo si má zase pamatovat další heslo.“ Slýchávám velmi často. Na heslu, ale fakt záleží. Mějte bezpečné heslo, ideálně různé znaky a písmena nedávající smysl. Kombinujte velká i malá písmena, číslice a znaky jako !@&($* apod.

Pokud si heslo nezapamatujete, tak využijte aplikace jako je LastPass na ukládání hesel. Dá se nainstalovat do vašeho internetového prohlížeče a jednoduše si do ní ukládáte hesla, předvyplněné fakturační údaje, platební karty, případně bezpečné poznámky. Aplikace vám na přihlašovací stránce nabídne uložené údaje.

Sdílení přístupových údajů

Správně byste neměli posílat hesla jen tak e-mailem či jiným způsobem. Díky zmíněné aplikaci LastPass budete moct i sdílet přihlašovací údaje s dalšími lidmi. Nemusíte jim dávat heslo. Místo toho ho jednoduše nasdílíte. Navíc lze nastavit, aby heslo neviděli a jen se mohli přes něj přihlásit.

Lepší variantou je, když to web nebo aplikace umožňuje, tak danému člověku vytvořit jeho vlastní přihlašovací údaje. Je pak i lépe dohledatelné, co daný člověk uvnitř dělal, než když jsou jedny přístupové údaje pro všechny.

Zvyšte zabezpečení přihlašování do webu

Dalším krokem je blokace robotů, kteří se snaží prolomit přihlášení do webu. Funguje to tak, že robot najde přihlašovací stránku do administrace webu a zkouší různé kombinace přihlášení a hesel.

Vy je můžete odhalit díky pluginům jako je Limit Attempts by BestWebSoft nebo iThemes Security, které když uvidí více neúspěšných pokusů o přihlášení z určitého místa, tak toto místo zablokují, aby se dále robot nepokoušel prolomit heslo.

Abyste to hackerským robotům ještě více znepříjemnili, tak schovejte přihlašovací stránku do administrace. Redakční systémy mají standardní přihlašovací adresy jako adresawebu.cz/wp-admin, /administrator a podobně. Ty adresy všichni roboti znají.

Když však adresu přepíšete na jinou, např. /prihlaseni nebo /spravawebu, tak máte zase o krok bezpečnější web. Přepsat tuto standardní přihlašovací adresu ve WordPressu umí plugin iThemes Security.

Dalším velmi dobrým prvkem zabezpečení je tzv. dvoufázové ověření. To znamená, že kromě přihlašovacího jména a hesla ještě máte jednorázový kód.

To nejspíše znáte ze svého bankovnictví, že vám přijde kód přes SMS nebo v aplikaci. U webu je to stejné, na e-mail vám přijde ověřovací kód, který přepíšete na web a jste uvnitř. Tuto funkci umí taky WordPressový plugin iThemes Security.

Dvoufázové ověření doporučuji aktivovat všude, kde se to dá. I na vašich sociálních sítích. Dokáže to dobře ochránit před zneužitím vašeho profilu.

Bezpečnost uvnitř webu

Nyní se dostáváme dovnitř webu. Zde už to není až tak složité, pokud používáte pro web běžný redakční systém jako je WordPress. Je potřeba si dát pozor na dvě věci.

Aktualizujte

Tou první jsou pravidelné aktualizace. Každý software se vyvíjí a u webu to není jiné. Navíc ve vývoji v nějaké verzi může být bezpečnostní chyba, kterou hackeři odhalí a snaží se přes ni do webů dostat.

Řešením je tedy systém a všechny jeho součásti pravidelně aktualizovat minimálně jednou měsíčně.

Stačí když se přihlásíte do administrace svého webu a většina redakčních systému viditelně ukazuje, že jsou nové verze systému či doplňků. Stačí je zakliknout a dát aktualizovat.

Pozor na to, co instalujete do webu

Za druhé je potřeba si dávat pozor, co do redakčního systému webu doinstalováváme. Jaké rozšíření (pluginy) přidáváme do webu.

S každým pluginem se rozšiřuje možnost bezpečnostních chyb. Instalujte pouze ty, u kterých vidíte dobré hodnocení a velký počet použití. Snažte se držet zásady používat jich co nejméně a ty nepoužívané z webu odinstalovat.

Do WordPressu vám doporučuji pro zabezpečení využít tyto dva:

  • Antispam Bee – stačí nainstalovat a aktivovat. Tento plugin hlídá nežádoucí komentáře na stránkách, které s oblibou také rádi roboti vkládají s reklamními odkazy.
  • iThemes Security Pro – univerzální bezpečnostní plugin, který pomůže se všemi tady zmiňovanými bezpečnostními prvky. Přesměruje HTTP na HTTPS, zkontroluje přihlašovací jména, hlídá používání bezpečných hesel, zablokuje neúspěšné opakované přihlášení, skryje přihlašovací stránku do administrace, umí zapnout dvoufázové ověření při přihlášení, kontroluje kvalitu a bezpečnost dalších pluginů. Doporučuji i jeho placenou verzi, kde jsou všechny funkce. Ve videu výše ukazuji, jak si ho nastavit.

Kvalitní webhosting taky pomůže

V neposlední řadě bezpečnost webu záleží i na kvalitním webhostingu. Tam, kde máte své webové stránky uloženy a odkud se návštěvníkům spouští.

Pokud využíváte kvalitní webhosting, jako např. Onebit, tak sám webhosting skenuje weby, jestli v nich není nějaký škodlivý kód a případně vás na to upozorní a pomůže situaci řešit.

Hlídejte verzi PHP na webhostingu

U webhostingu je potřeba hlídat si verzi PHP. Ta musí být v souladu s redakčním systémem vašeho webu.

Verze PHP na webhostingu nesmí být vyšší než váš systém webu podporuje, ale taky nesmí být zastaralá, protože by mohla obsahovat bezpečnostní chyby a navíc redakční systém by nešel aktualizovat. Tím pádem by na webu běžela jeho stará verze a to jsme si už říkali, že není v pořádku.

Většinou vás redakční systém sám v administraci upozorní na starou verzi PHP. Pak je potřeba ji v nastavení webhostingu zvýšit.

Zálohování webu

No a když se pokazí vše, co se dá, tak pak je potřeba mít web zálohovaný a mít možnost vrátit se k jeho záloze. To vám kvalitní webhosting taky zajistí.

Dneska to bylo docela dost technické téma a možná z toho všeho máte hlavu k prasknutí. Každopádně jsem vám dal dostatek praktických bodů, jak na to.

Pokud se však nechcete těmito věcmi zabývat, tak to vše můžeme zajistit a hlídat za vás na vašem webu, pokud ho máte ve WordPressu, Miowebu či Elementoru. A vy budete moct klidně spát. Stačí nám napsat svůj zájem zde a my vám pošleme veškeré informace a cenu, kolik by vás to stálo. Cena je skoro stejná, jako když byste si zaplatili sami bezpečnostní plugin, který u nás máte v rámci správy webu taky.

Ohodnoťte palcem nahoru a nasdílejte toto video a článek, aby pomohl zabezpečit weby ostatním. Mějte se krásně a s úsměvem.

Audio verze ke stažení:

Daniel Križák
Jsem webmaster a tvůrce webů s úsměvem :)
Tvorba internetových stránek mne fascinuje od chvíle, kdy jsem na internet nahrál svůj první web. Každý web je pro mne umělecké dílo, které může vidět celý svět. Daleko důležitější je však jaký přinese užitek. Nesmírně mne na tom baví hledání jednoduchých řešení a možností propojení podnikání a online světa internetu.
Proto s týmem skvělých webmasterů vytváříme osobní, podnikatelské a firemní webové stránky s jednoduchou editací. Takové, které kvalitně prezentují služby, projekty a produkty všeho druhu.
Navíc jsem nadšený do online vzdělávání. Rád předávám své zkušenosti na blogu, videích a návodech nebo seminářích.

21 nejčastějších chyb na webu
kvůli kterým působíte neprofesionálně

Objevte nejčastější chyby na webech, které vám zbytečně ubírají na profesionalitě. V PDF ebooku se také dozvíte možnosti a řešení, jak chyby na svém webu napravit.

Komentáře

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Osobní údaje zpracováváme podle těchto zásad.