Jak ochránit web před hackery v roce 2026

Podle statistik je po celém světě denně napadeno přes 30 000 webových stránek. Nejčastějším cílem jsou malé a střední weby, protože jejich majitelé je považují za „příliš malé, aby zajímaly hackery“. Pravda je opačná — malé weby se slabou ochranou jsou nejsnadnějším cílem. V tomto návodu vám ukážeme konkrétní kroky k ochraně vašeho webu v roce 2026.

1. Používejte silná a unikátní hesla

Brute force útoky zkoušejí tisíce kombinací hesel za sekundu. Slabé heslo jako „admin123“ lze prolomit za méně než sekundu. Používejte hesla o délce alespoň 12 znaků s kombinací velkých a malých písmen, číslic a speciálních znaků. K generování a ukládání silných hesel použijte správce hesel (Bitwarden, 1Password). Nikdy nepoužívejte stejné heslo pro více účtů.

2. Zapněte dvoufaktorové ověřování (2FA)

I když někdo zjistí vaše heslo, 2FA vyžaduje druhý ověřovací faktor — obvykle kód z vašeho mobilního telefonu. Pro WordPress použijte plugin Wordfence nebo Google Authenticator. Pro cPanel na BeoHostingu lze 2FA zapnout jediným kliknutím v nastavení zabezpečení. Jde o jedno z nejúčinnějších ochranných opatření.

3. Pravidelně aktualizujte CMS, motivy a pluginy

Přes 60 % napadení WordPressu se odehrává přes zastaralé pluginy a motivy. Každá aktualizace obsahuje opravy objevených bezpečnostních chyb. Zapněte automatické aktualizace jádra WordPressu a pluginů. Na WordPress hosting tarifech BeoHostingu jsou automatické aktualizace nastaveny ve výchozím stavu. Před aktualizací mějte vždy aktivní zálohu pro případ nekompatibility.

4. Nainstalujte Web Application Firewall (WAF)

WAF filtruje škodlivé požadavky dříve, než dosáhnou vašeho webu. BeoHosting používá Imunify360 — bezpečnostní systém řízený umělou inteligencí, který v reálném čase blokuje SQL injection, XSS, file inclusion a další útoky. Více o ochraně se dočtete v našem návodu na ochranu webu. Pro dodatečnou ochranu nabízí Cloudflare bezplatný WAF, který chrání před nejčastějšími útoky na úrovni CDN.

5. Chraňte administraci WordPressu

Standardní přihlašovací stránka WordPressu (/wp-admin nebo /wp-login.php) je prvním cílem hackerů. Použijte tato opatření:

• Změňte URL administrace – Pomocí pluginu WPS Hide Login změňte URL přihlašovací stránky na něco nestandardního
• Omezte počet pokusů o přihlášení – Plugin Wordfence nebo Limit Login Attempts zablokuje IP adresu po 3–5 neúspěšných pokusech
• Zakažte uživatelské jméno „admin“ – Vytvořte administrátorský účet s unikátním uživatelským jménem
• IP whitelist – Povolte přístup do administrace pouze z vašich IP adres

6. Používejte SSL certifikát (HTTPS)

SSL certifikát šifruje veškerou komunikaci mezi serverem a prohlížečem a brání odposlechu hesel a dat. BeoHosting zahrnuje bezplatný SSL Let's Encrypt ve všech tarifech. Bez SSL se hesla odesílají v čitelné podobě a lze je odposlechnout na veřejných Wi-Fi sítích.

7. Provádějte pravidelné zálohy

I s nejlepší ochranou je napadení vždy možné. Pravidelné zálohy jsou vaší poslední linií obrany. BeoHosting vytváří automatické denní zálohy s uchováním až 30 dní. Zjistěte, jak web zálohovat. Navíc použijte plugin UpdraftPlus pro zálohy WordPressu na Google Drive nebo Dropbox. Postup obnovy testujte alespoň jednou ročně — záloha, kterou nelze obnovit, je k ničemu.

8. Skenování malwaru

Mnoho hackerů web nezničí přímo — místo toho do něj vloží malware, který krade data nebo využívá váš server k rozesílání spamu. Imunify360 na BeoHostingu automaticky skenuje soubory na malware a infikované soubory umísťuje do karantény. Navíc plugin Wordfence Security pro WordPress provádí pravidelné kontroly a upozorňuje vás na podezřelé změny souborů.

9. Zabezpečte oprávnění souborů

Nesprávná oprávnění souborů mohou hackerům umožnit úpravu souborů vašeho webu. Správná oprávnění pro WordPress jsou:

• Složky: 755 (vlastník může číst/zapisovat/spouštět, ostatní jen číst/spouštět)
• Soubory: 644 (vlastník může číst/zapisovat, ostatní jen číst)
• wp-config.php: 600 (číst/zapisovat může jen vlastník)
• .htaccess: 644

Na BeoHostingu se tato oprávnění nastavují automaticky při instalaci WordPressu přes Softaculous.

10. Ochrana před útoky SQL Injection

SQL injection je technika, při níž útočník vkládá škodlivý SQL kód přes formuláře na webu (vyhledávání, přihlášení, kontaktní formulář), aby získal přístup k databázi. Ochranná opatření zahrnují: použití prepared statements v PHP kódu, validaci a sanitaci všech uživatelských vstupů, omezení oprávnění MySQL uživatele na minimum potřebné pro chod webu a aktivaci WAF, který blokuje známé vzory SQL injection.

11. Monitoring a logování

Nemůžete chránit to, co nemonitorujete. Zapněte podrobné logování přístupů na webu a analyzujte logy na podezřelou aktivitu. Věnujte pozornost: neočekávaným pokusům o přihlášení ze zahraničí, hromadným požadavkům na wp-login.php nebo xmlrpc.php, změnám souborů na webu, které jste neprovedli, a neobvyklému nárůstu využití CPU/RAM na serveru.

12. Vypněte nepotřebné služby

WordPress má některé funkce, které jsou užitečné pro vývojáře, ale pro produkční weby představují bezpečnostní riziko:

• XML-RPC – Použijte plugin Disable XML-RPC. XML-RPC se zneužívá k brute force útokům a zesílení DDoS.
• REST API – Omezte přístup k REST API pouze na ověřené uživatele
• Editace souborů – Přidejte do wp-config.php define('DISALLOW_FILE_EDIT', true)
• Výpis adresářů – Vypněte výpis adresářů pomocí Options -Indexes v .htaccess

Závěr

Zabezpečení webu je nepřetržitý proces, ne jednorázová akce. Kombinace kvalitního firemního hostingu s vestavěnou ochranou (jako BeoHosting s Imunify360), pravidelných aktualizací, silných hesel a základních bezpečnostních postupů výrazně snižuje riziko napadení. Použijte tyto tipy ještě dnes a chraňte svůj web i data svých uživatelů.