Zabezpečení webu nemusí být složité. Existuje pár základních opatření, která pokryjí naprostou většinu běžných hrozeb. Pojďme se podívat na tři vrstvy, které by neměly chybět u žádného projektu — a které z velké části dostanete od dobrého hostingu zadarmo.
SSL certifikát jako samozřejmost
Šifrované spojení přes HTTPS je dnes standard, ne nadstandard. Kvalitní hosting nabízí Let's Encrypt certifikát zdarma s automatickou obnovou. Bez SSL vás prohlížeče i vyhledávače penalizují a návštěvníci ztrácejí důvěru. Připlácet za certifikát zpravidla nemusíte — placený dává smysl jen ve specifických případech, třeba u velkých firem s prémiovou zárukou.
Automatické zálohy
Záloha, kterou musíte spouštět ručně, dříve nebo později chybí. Hledejte hosting s denními automatickými zálohami a hlavně s možností rychlé obnovy jedním kliknutím. Otestujte si obnovu dřív, než ji budete potřebovat naostro — záloha, ze které jste nikdy neobnovili, není záloha. Jak často zálohovat podle typu webu a jak obnovu ověřit, rozebíráme v článku Jak často zálohovat web.
Pravidlo 3-2-1
U důležitých projektů držte tři kopie dat na dvou různých médiích a jednu mimo hosting. I když poskytovatel zálohuje, vlastní kopie vás ochrání před výpadkem na jeho straně. Bezpečnější je navíc úložiště, ke kterému se útočník nedostane stejnými údaji jako k webu — jinak by mohl smazat web i zálohu zároveň.
Dvoufaktorové ověření
Heslo samo o sobě nestačí. Zapněte dvoufaktorové ověření (2FA) všude, kde to jde — v administraci hostingu, ve WordPressu i u domén. Je to nejúčinnější obrana proti zneužití uniklého hesla a zabere to pár minut. Spolu se silným, unikátním heslem (ideálně ze správce hesel) tím zavřete dveře drtivé většině automatických útoků, které se spoléhají právě na slabá a opakovaná hesla.
Firewall a ochrana proti útokům
Nad rámec tří základních vrstev se hodí vědět, co dělá hosting na své straně. Kvalitní poskytovatel provozuje firewall, který odfiltruje běžné škodlivé požadavky, a často i ochranu proti útokům DDoS, jež se snaží web zahltit provozem. U WordPressu pomáhá i bezpečnostní plugin, který hlídá přihlašování a blokuje opakované pokusy o uhodnutí hesla. Žádné z těchto opatření není složité nasadit, a dohromady udělají z webu výrazně tvrdší cíl.
Aktualizace jsou půlka bezpečnosti
Většina úspěšných útoků nezneužívá geniální trik, ale starou známou díru v neaktualizovaném systému, šabloně nebo pluginu. Pravidelné aktualizace jsou proto nenápadná, ale možná nejúčinnější vrstva ochrany. To platí dvojnásob, pokud provozujete vlastní server: u sdíleného hostingu řeší zabezpečení serveru poskytovatel a vy se staráte hlavně o samotný web, kdežto u neřízeného VPS máte aktualizace i firewall plně na sobě, jak rozebíráme v článku Managed vs. neřízený VPS.
Osobní údaje a GDPR
Pokud web sbírá jakákoli data od návštěvníků — registrace, objednávky, kontaktní formulář — pracujete s osobními údaji a vztahují se na vás pravidla GDPR. V praxi to znamená nejen šifrované spojení a zabezpečené úložiště, ale i přehled o tom, kde data fyzicky leží. Část poskytovatelů drží servery v rámci EU nebo přímo v Česku, což administrativu kolem ochrany údajů zjednoduší. Nezapomeňte, že stejná pravidla platí i pro zálohy — i ony jsou kopií osobních dat a patří na zabezpečené úložiště.
Konkrétní postupy kolem zálohování, včetně toho, jak často zálohovat a jak ověřit obnovu, rozebíráme v samostatném článku Jak často zálohovat web. Bezpečnost a zálohy spolu úzce souvisí — dobrá záloha je totiž poslední záchranná síť, když všechno ostatní selže. Žádná ochrana není stoprocentní, a právě proto je schopnost rychle obnovit web ze zálohy tím, co rozhoduje, jestli z incidentu bude jen krátká nepříjemnost, nebo dny ztracené práce. Když si tyhle tři vrstvy — SSL, zálohy a 2FA — jednou pořádně nastavíte, máte pokryté to podstatné a o zbytek se z velké části postará dobrý hosting.
