Jak ochránit doménu před krádeží

Proč na ochraně domény záleží

Vaše doména je digitální adresou vašeho podnikání. Pokud vám ji někdo ukradne, ztratíte přístup k webu, e-mailové komunikaci i celé své online prezentaci. Únos domény (domain hijacking) je reálná hrozba – útočníci využívají sociální inženýrství, phishing nebo kompromitované účty, aby doménu převzali. Její navrácení může trvat týdny i měsíce a v některých případech je nemožné.

Představte si svou doménu jako nemovitost v digitálním světě. Stejně jako byste dům zamkli, nainstalovali alarm a pojistili vlastnictví, musíte svou doménu chránit několika vrstvami zabezpečení.

Zámek domény (Registrar Lock)

Zámek domény je první a nejdůležitější linie obrany. Když je doména zamčená, nelze zahájit žádný převod k jinému registrátorovi bez výslovného odemčení.

Jak to funguje

Zámek domény nastaví na vaší doméně stavové kódy, které zabraňují změnám. Nejdůležitější jsou:

• clientTransferProhibited: Brání převodu domény k jinému registrátorovi. Tento standardní zámek by měla mít každá doména.
• clientDeleteProhibited: Brání smazání domény. Užitečné u kritických domén.
• clientUpdateProhibited: Brání změnám DNS záznamů a jmenných serverů. Nejpřísnější ochrana.
• serverTransferProhibited: Tuto ochranu nastavuje na straně serveru registr, který spravuje příslušnou TLD.

Jak ho zapnout

Přihlaste se do panelu svého registrátora (cPanel, klientský portál), najděte volbu „Domain Lock“ nebo „Transfer Lock“ a zapněte ji. U BeoHosting je zámek domény automaticky aktivní na všech doménách. Deaktivujte ho jen tehdy, když doménu skutečně chcete převést.

WHOIS privacy

WHOIS je veřejná databáze, která u každé domény zobrazuje informace o vlastníkovi – jméno, adresu, e-mail a telefon. Tato data jsou veřejně přístupná a lze je zneužít.

Rizika veřejného WHOIS

• Sociální inženýrství: Útočník může vaše údaje použít k tomu, aby se u registrátora vydával za vás.
• Phishingové útoky: Vaše e-mailová adresa z WHOIS může být cílem cíleného phishingu.
• Spam: Veřejné kontaktní údaje přitahují spamové e-maily a telefonáty.
• Krádež identity: Kombinace jména, adresy a e-mailu může ke krádeži identity stačit.

WHOIS Privacy Protection

WHOIS privacy nahradí vaše osobní údaje v databázi WHOIS údaji proxy služby. Místo vašeho jména a adresy se zobrazí data ochranné služby. E-maily zaslané na proxy adresu jsou přeposílány vám, ale vaše skutečná e-mailová adresa zůstává skrytá.

Pozn.: Některé registry mají u určitých TLD vlastní pravidla ohledně WHOIS dat. O možnostech ochrany soukromí pro vaši doménu se informujte u svého registrátora.

Dvoufaktorové ověření (2FA)

I to nejsilnější heslo lze kompromitovat. Dvoufaktorové ověření přidává druhou vrstvu ochrany, která kromě něčeho, co znáte (heslo), vyžaduje i něco, co máte (telefon).

Typy 2FA pro účet u registrátora

• Autentizační aplikace: Google Authenticator, Authy nebo Microsoft Authenticator generují časově omezené kódy (TOTP). Tohle je nejvíce doporučovaná metoda.
• SMS kódy: Kód vám přijde na telefon přes SMS. Méně bezpečné než aplikace, protože SMS lze zachytit (útok typu SIM swap).
• Hardwarový klíč: YubiKey nebo podobné USB zařízení. Nejbezpečnější varianta, ale vyžaduje fyzické zařízení.

Proč je 2FA u domén klíčové

Pokud útočník získá vaše heslo k registrátorovi (phishing, únik dat, keylogger), bez 2FA může okamžitě převzít kontrolu. S 2FA navíc potřebuje fyzický přístup k vašemu telefonu nebo hardwarovému klíči, což riziko dramaticky snižuje.

Bezpečnostní zásady pro e-mail u domény

E-mail propojený s vaším účtem u registrátora je kritickým bezpečnostním bodem. Pokud útočník tento e-mail kompromituje, může resetovat heslo a doménu převzít.

• Použijte oddělený e-mail: Pro účet u registrátora nepoužívejte veřejnou e-mailovou adresu. Ideálně použijte e-mail na jiné doméně, kterou ovládáte.
• Zapněte 2FA i u e-mailového účtu: Ochrana e-mailového účtu je stejně důležitá jako ochrana účtu u registrátora.
• Pravidelně kontrolujte: Procházejte e-maily od registrátora – zejména upozornění na změny domény nebo žádosti o převod.
• Neklikejte na podezřelé odkazy: Registrátoři nikdy nežádají hesla e-mailem. K účtu přistupujte vždy přímo přes oficiální webovou adresu.

Registry Lock (pro kritické domény)

Registry Lock je nejvyšší úroveň ochrany domény. Na rozdíl od běžného zámku domény, který se aktivuje na úrovni registrátora, se Registry Lock uplatňuje na úrovni registru (organizace, která spravuje danou TLD).

Jak to funguje

Při zapnutém Registry Lock vyžaduje jakákoliv změna domény (převod, změna jmenných serverů, smazání) ruční ověření ze strany registru. To obvykle zahrnuje telefonát a ověření totožnosti. Proces je pomalejší, ale prakticky vylučuje možnost neoprávněných změn.

Kdo by měl Registry Lock používat

Registry Lock je ideální pro banky, e-commerce platformy, mediální organizace a každou organizaci, jejíž doména má vysokou obchodní hodnotu. Cena bývá vyšší než u standardního zámku domény, ale ochrana je nesrovnatelně silnější.

Pravidelné kontroly a monitoring

Ochrana domény není jednorázová záležitost – je to nepřetržitý proces, který vyžaduje pravidelné kontroly.

• Sledujte datum expirace: Vypršelou doménu si může zaregistrovat kdokoliv. U všech svých domén zapněte automatické prodloužení.
• Monitorujte změny ve WHOIS: Služby jako DomainTools nebo nástroje pro monitoring WHOIS vás upozorní na jakoukoliv změnu u vaší domény.
• Bezpečně uchovávejte auth kód: Autorizační kód (EPP kód) je klíčem k převodu domény. Uchovávejte ho jako heslo – ve správci hesel.
• Kontrolujte DNS záznamy: Neoprávněná změna DNS může přesměrovat váš web na podvodnou stránku i bez převodu domény.

Závěr

Ochrana domény vyžaduje několik vrstev zabezpečení. Zapněte zámek domény, používejte WHOIS privacy, rozhodně aktivujte 2FA u účtu u registrátora a používejte silné, unikátní heslo. U byznysově cenných domén zvažte Registry Lock. Pravidelně kontrolujte datum expirace, DNS záznamy a bezpečnostní upozornění od registrátora. U BeoHosting je zámek domény automaticky aktivní a náš tým podpory je tu, aby vám pomohl s každým aspektem ochrany domény.