778 006 881
Všechny příspěvky

Bezpečnost WordPressu v roce 2026: Proč vám „zámeček“ u adresy nestačí

Když se zeptám nových klientů na bezpečnost jejich webu, často slyším: „Ano, jsme v bezpečí, máme tam ten zámeček (HTTPS).“ Musím je zklamat. Zelený zámeček v prohlížeči v roce 2026 neznamená, že je váš web nedobytný. Znamená jen to, že data na cestě k webu jsou šifrovaná. Ale pokud máte „otevřené dveře“ do administrace, zámeček vám nepomůže.

Představte si to jako převoz peněz. HTTPS (SSL certifikát) je obrněná dodávka, která peníze veze. Nikdo je po cestě neukradne. Ale pokud řidič té dodávky (vy) nechá klíče v zapalování a odejde na kávu (slabé heslo, neaktualizovaný systém), zloděj s autem prostě odjede. Obrněný vůz mu v tom nezabrání.

3 nejčastější mýty o bezpečnosti webu

Mýtus 1: „Mám malý web, hackerům nestojím za to“

To je největší omyl. Hackeři dnes nesedí u počítače a nevybírají si cíle ručně. Používají automatizované roboty (boty), kteří skenují internet a hledají jakýkoliv web se známou bezpečnostní dírou. Je jim jedno, jestli jste nadnárodní korporace nebo živnostník z Dolního Újezdu.

Výsledkem útoku často není jen nefunkční web, ale i zablokované firemní e-maily (blacklist), spam rozesílaný z vaší domény nebo červené varování od Googlu, které vyděsí každého návštěvníka.

Mýtus 2: „WordPress je děravý“

Není. Jádro WordPressu je velmi bezpečné, protože ho hlídají tisíce vývojářů. „Děravé“ jsou obvykle:

  • Staré verze pluginů (více v mém článku o rizikových pluginech).
  • Šablony stažené z pochybných zdrojů zdarma.
  • Slabá hesla uživatelů (např. „firma123“).

Mýtus 3: „Hosting se o to postará“

Hosting zajišťuje bezpečnost serveru, ale ne vaší aplikace. Pokud si do WordPressu nainstalujete zavirovaný plugin, je to stejné, jako byste si do čistého bytu přinesli nemocného křečka. Hosting za to nemůže.

Jak své klienty chráním já? (Bezpečnostní standard 2026)

Nejde o jeden „zázračný“ plugin. Skutečná bezpečnost je kombinace nastavení, disciplíny a pravidelné správy. Když tvořím web, automaticky nasazuji tato opatření:

1. Dvoufaktorové ověření (2FA)

Znáte to z bankovnictví. K přihlášení nestačí jen heslo, musíte zadat i kód z mobilu. I kdyby hacker uhodl vaše heslo, bez vašeho telefonu se do administrace nedostane. V roce 2026 je to nutnost. A nebojte se – záložní kódy bezpečně uložíme, takže o přístup nepřijdete ani při ztrátě telefonu.

2. Omezení počtu pokusů o přihlášení

Roboti zkoušejí tisíce hesel za minutu (tzv. Brute Force útok). Nastavuji web tak, aby po 5 neúspěšných pokusech útočníka okamžitě zablokoval.

3. Skrytí verze WordPressu a technických detailů

Není důvod, aby každý návštěvník věděl, na jaké verzi systému běžíte. Čím méně informací útočník má, tím složitější je útok.

4. Pravidelné zálohy „mimo dům“

Žádná ochrana není 100%. Proto držím zálohy webů svých klientů na externím cloudovém úložišti. Pokud by se cokoliv stalo, dokážu web obnovit do hodiny.

Co můžete pro bezpečnost udělat hned teď?

Nemusíte být IT expert. Stačí dodržovat tato dvě pravidla:

  1. Nepoužívejte uživatelské jméno „admin“. Je to první jméno, které roboti zkoušejí. Vytvořte si uživatele se svým jménem nebo e-mailem.
  2. Aktualizujte. Když na vás svítí červená jednička v administraci, klikněte na ni. Nebo svěřte správu mně a mějte klid.
⚠️ Varování: Máte web zcela bez SSL certifikátu (prohlížeč píše „Nezabezpečeno“)?
Okamžitě to řešte. Google takové weby penalizuje ve vyhledávání a odrazuje zákazníky od vstupu.

Máte podezření, že váš web není bezpečný?

Máte na webu jen zámeček, nebo skutečný bezpečnostní systém? Zabezpečení úzce souvisí s výběrem pluginů a pravidelnou údržbou. Bez těchto základů je i ten nejlepší certifikát k ničemu.

Rád se na váš web podívám, zkontroluji nastavení a nasadím ochranu.

Zjistit, zda je můj web bezpečný

Chci bezpečnostní audit

 

Často kladené otázky (FAQ)

Musím za SSL certifikát platit?

Ve většině případů ne. Pro běžné firemní weby stačí certifikát Let’s Encrypt, který je zdarma a který vám u dobrého hostingu nastavím automaticky. Placené certifikáty (EV) mají smysl jen pro velké e-shopy a banky.

Jak poznám, že je můj web zavirovaný?

Web může být extrémně pomalý, mohou se na něm objevovat cizí reklamy (často na léky nebo kasina) nebo vás na to upozorní Google červenou obrazovkou. Pokud to vidíte, okamžitě mě kontaktujte.