Hackli mi web – co mám dělat?

Zjistili jste, že váš web byl napaden. Možná vám Google zobrazil varování „Tento web může poškodit váš počítač", možná jsou návštěvníci přesměrováváni na podivnou stránku nebo jste si na serveru všimli neznámých souborů. Ať už jste na to přišli jakkoli, panika je pochopitelná – důležité je ale reagovat rychle a systematicky. Tento návod vás provede každým krokem od odhalení až po úplnou obnovu a prevenci budoucích útoků.

Jak poznat, že byl web napaden?

Existuje několik příznaků napadení. Varování Googlu ve vyhledávání („Tento web může být nebezpečný") je nejzřetelnějším znamením. Přesměrovávání návštěvníků na jiné weby (obvykle na hazardní nebo farmaceutické stránky) je častým důsledkem napadení. Neznámý obsah na webu – spamové stránky, odkazy na podezřelé weby nebo změněný vzhled. Výrazně pomalejší načítání webu může signalizovat těžbu kryptoměn (cryptojacking). Neznámí uživatelé v administraci WordPressu. Podezřelé soubory na serveru s podivnými názvy. E-mail od vašeho hostingového poskytovatele o podezřelé aktivitě. Pokles pozic v Googlu bez zjevné příčiny.

Krok 1: Nepanikařte, ale jednejte okamžitě

To nejdůležitější nejprve – nic nemažte a neměňte hesla na napadeném webu, dokud ho neizolujete. Hacker může mít stále přístup a vidět každou vaši akci. Místo toho si zapište vše, čeho jste si všimli – které stránky jsou zasažené, kdy jste si problému poprvé všimli, zda jste dostali nějaké upozornění. Tyto informace se vám budou hodit při analýze a čištění.

Krok 2: Přepněte web do režimu údržby

Odpojte web, abyste návštěvníky ochránili před malwarem a předešli dalším škodám. V cPanelu můžete přejmenovat složku public_html nebo nastavit stránku údržby. Pokud používáte WordPress, můžete v kořenové složce vytvořit soubor .maintenance. U BeoHostingu kontaktujte podporu a my vám pomůžeme web rychle izolovat bez ztráty dat. Je důležité, aby byl web nedostupný, dokud nebude vyčištěn – Google ho bude označovat za nebezpečný, dokud malware existuje.

Krok 3: Změňte všechna hesla z jiného zařízení

Z JINÉHO zařízení (ne z počítače, který jste použili pro přístup na web, protože může být kompromitován) změňte následující hesla: přístup do cPanelu, FTP účty, SSH klíče, databázi (uživatel MySQL), administrátorský účet WordPressu, e-mailové schránky na doméně a hostingový účet. Pro každý účet použijte silné, jedinečné heslo – alespoň 16 znaků s kombinací písmen, číslic a speciálních znaků. K ukládání hesel použijte správce hesel.

Krok 4: Zazálohujte napadený web

Před jakýmkoli čištěním si pořiďte kompletní zálohu napadeného webu – soubory I databázi. Zní to nelogicky, ale tato záloha slouží k forenzní analýze. Pomocí ní zjistíte, jak se hacker dostal dovnitř, které soubory upravil a zda nezanechal zadní vrátka (backdoor). BeoHosting automaticky uchovává denní zálohy až 120 dní zpětně, což znamená, že téměř jistě máte čistou verzi webu z doby před napadením.

Krok 5: Prohledejte web na malware

Použijte specializované nástroje pro skenování malwaru. Pro WordPress je vynikající volbou Wordfence (bezplatný plugin) – nainstalujte ho na čistou instalaci WordPressu a prohledejte všechny soubory. Sucuri SiteCheck (online nástroj) dokáže web prohledat zvenčí bez instalace. ImunifyAV na serveru (dostupný u BeoHostingu) skenuje všechny soubory na hostingovém účtu. Důležitá je i ruční kontrola – hledejte soubory s podivnými názvy, PHP kód zakódovaný v base64 a soubory upravené v době napadení.

Krok 6: Vyčistěte malware

Existují dva přístupy k čištění: ruční vyčištění a obnova ze zálohy. Obnova ze zálohy je rychlejší a spolehlivější. Najděte poslední zálohu před napadením (podle data úpravy podezřelých souborů určíte, kdy napadení začalo). U BeoHostingu můžete obnovit jakoukoli zálohu za posledních 120 dní přes cPanel nebo kontaktováním podpory.

Při ručním čištění: smažte všechny neznámé soubory, zejména PHP soubory ve složkách pro nahrávání, soubory s funkcemi base64_decode, eval nebo gzinflate a soubory s názvy jako „wp-config-sample.php.bak" nebo „about.php" na neobvyklých místech. Zkontrolujte soubor .htaccess kvůli neznámým pravidlům přesměrování. Zkontrolujte wp-config.php kvůli neznámému kódu na začátku nebo konci souboru. Prohlédněte databázi kvůli neznámým administrátorům a podezřelému obsahu v příspěvcích.

Krok 7: Aktualizujte úplně všechno

Po vyčištění aktualizujte naprosto vše: jádro WordPressu na nejnovější verzi, všechny pluginy (ty, které nepoužíváte, smažte), šablonu (smažte neaktivní šablony), verzi PHP na nejnovější stabilní (8.3 nebo 8.4). Zastaralý software je příčinou číslo jedna napadení WordPress webů. Více než 50 % napadených webů používalo zastaralé pluginy se známými zranitelnostmi.

Krok 8: Posilte zabezpečení

Pro prevenci budoucích útoků zaveďte následující opatření. Nainstalujte bezpečnostní plugin (Wordfence nebo Sucuri). Zapněte dvoufaktorové ověření (2FA) pro všechny administrátorské účty. Změňte výchozí prefix databáze WordPressu, pokud se používá výchozí „wp_". Zakažte spouštění PHP ve složce wp-content/uploads. Omezte počet pokusů o přihlášení. Skryjte přihlašovací stránku wp-admin. Nastavte správná oprávnění souborů (644 pro soubory, 755 pro složky, 600 pro wp-config.php). Aktivujte SSL certifikát, pokud ještě není aktivní.

Krok 9: Požádejte Google o přezkoumání

Pokud Google označil váš web za nebezpečný, musíte po vyčištění požádat o přezkoumání. Přihlaste se do Google Search Console, přejděte do sekce „Bezpečnostní problémy" a klikněte na „Požádat o přezkoumání". Popište, co jste udělali pro vyčištění webu a jaká opatření jste přijali k prevenci budoucích útoků. Google žádost obvykle vyřídí do 72 hodin. Dokud přezkoumání probíhá, bude váš web ve vyhledávání stále označen jako nebezpečný.

Krok 10: Monitoring a prevence

Po obnově nastavte monitorovací systém. Nakonfigurujte upozornění na změny souborů na serveru (file integrity monitoring). Pravidelně prohledávejte web na malware (týdně). Sledujte přístupové logy kvůli podezřelé aktivitě. Nastavte automatické zálohy (BeoHosting provádí denní zálohy). Sledujte Google Search Console kvůli bezpečnostním varováním. Pravidelně aktualizujte všechny komponenty webu. Pro dodatečnou ochranu zvažte použití WAF (Web Application Firewall).

Nejčastější způsoby napadení webů

Pochopení toho, jak se hackeři dostávají dovnitř, pomáhá s prevencí. Zastaralé pluginy se známými zranitelnostmi jsou příčinou ve více než 50 % případů. Slabá hesla (útoky hrubou silou) jsou druhou nejčastější příčinou. Zastaralé šablony se zranitelnostmi v kódu. Nezabezpečený FTP přístup bez šifrování. Cross-site scripting (XSS) přes formuláře a komentáře. SQL injection přes nezabezpečené pluginy. Phishingové útoky na administrátory webu, kteří prozradí svá hesla. Zranitelnosti typu file inclusion ve špatném PHP kódu.

Prevence: Bezpečnostní checklist

Tento seznam používejte jako měsíční kontrolu zabezpečení svého webu. Jsou všechny pluginy aktualizované na nejnovější verze? Je jádro WordPressu aktualizované? Jsou všechna hesla silná a jedinečná? Je u administrátorských účtů zapnuté 2FA? Funguje bezpečnostní plugin a skenuje pravidelně? Fungují zálohy (zkuste obnovu alespoň jednou za čtvrtletí)? Jsou nepoužívané pluginy a šablony smazané? Je verze PHP aktuální? Jsou oprávnění souborů správná? Je SSL certifikát platný?

Kdy zavolat odborníka?

Pokud je napadení vážné (ransomware, kompromitovaná databáze, zasaženo více webů na stejném účtu), doporučujeme najmout bezpečnostního odborníka. BeoHosting nabízí klientům na firemních tarifech bezplatnou pomoc s čištěním, včetně forenzní analýzy, ručního čištění malwaru a zavedení bezpečnostních opatření. U menších tarifů vám náš tým podpory pomůže se základními kroky obnovy.

Závěr

Napadení webu je stresující zážitek, ale se správným přístupem ho lze vyřešit během několika hodin. Klíčem je jednat rychle, systematicky dodržovat jednotlivé kroky a po obnově zavést preventivní opatření, aby se to neopakovalo. U BeoHostingu poskytuje kombinace denních záloh (120 dní), skenování ImunifyAV, WAF ModSecurity a našeho týmu podpory vícevrstvou ochranu vašeho webu. Přečtěte si náš kompletní návod na zabezpečení webu. Pokud máte podezření, že byl váš web napaden, okamžitě kontaktujte naši podporu – rychlá reakce je zásadní.