Neaktualizovaná web stránka môže na prvý pohľad fungovať úplne normálne. Stránka sa načíta, formulár odosiela dopyty, kontakt funguje a majiteľ webu má pocit, že je všetko v poriadku. Pri WordPresse to však môže byť klamlivý pokoj. Napadnutý web totiž často nevyzerá hneď ako pokazená stránka. Avšak môže potichu šíriť škodlivý kód, spam alebo presmerovávať návštevníkov bez toho, aby si to majiteľ všimol. Ak je jadro systému, pluginy alebo téma zastaraná, útočník môže využiť už známu bezpečnostnú chybu a dostať sa dnu bez toho, aby musel hádať hesla. Ak je chyba v kóde, ktorá je zraniteľnosti, tak ju programátori opravia a zverejnia chybu, informácie o chybe sa často stanú verejne známymi. To znamená, že útočník vie, že táto stará verzia ma takúto zraniteľnosť. Teda čas je aktualizovať, ak ju neaktualizujete, zraniteľnosť môže neskôr napadnúť aj Váš web.
Nie je to malý technický detail. Podľa Patchstacku bolo v roku 2025 v ekosystéme WordPress nahlásených 11 334 nových zraniteľností, pričom 91 percent bolo v pluginoch a 9 percent v témach. Presne preto útočníci často cielia na nezabezpečené webové stránky s neudržiavanými rozšíreniami. Problém teda zvyčajne nie je v tom, že používate WordPress, ale v tom, že ho necháte bez priebežnej údržby.
Prečo je neaktualizovaná web stránka problém
Predstavte si web ako dom. WordPress je základ stavby, pluginy sú prístavby a téma je fasáda. Keď sa objaví chyba v zámku a výrobca vydá opravu, rozumný majiteľ ju urobí čo najskôr. Ak ju neurobí, necháva na dverách presne ten zámok, o ktorom už každý vie, ako sa dá prekonať. Takto funguje aj neaktualizovaná web stránka. Takáto stránka nie je riziková preto, že je „trochu stará“, ale preto, že používa verziu, pri ktorej už útočníci poznajú konkrétnu bezpečnostnú dieru.
Pri WordPresse sa navyše neoplatí sledovať iba jadro. Veľká časť rizika je v pluginoch a témach. Mnohé vážne chyby navyše umožňujú automatizované útoky vo veľkom rozsahu, takže útočník nemusí sedieť pri vašom webe osobne. Stačí, že jeho nástroje hľadajú weby s rovnakou slabinou a skúšajú ich jeden po druhom.
Ako sa môže útočník dostať do WordPressu
Najčastejšia cesta je známa chyba v plugine, téme alebo zastaranom WordPresse. Technicky to funguje tak, že útočník pošle webu špeciálne upravenú požiadavku, ktorá zneužije chybu v kóde. Keď stránku neopravíte, útočník môže následne vložiť škodlivý kód, vytvoriť cudzie administrátorské konto, nahrať nebezpečný súbor alebo upraviť existujúci obsah. Google medzi prejavy napadnutia uvádza code injection, page injection, content injection a redirects, čiže vloženie kódu, vytváranie spamových stránok, skrytých odkazov a presmerovaní.
Druhá veľká cesta sú heslá. Laicky povedané, slabé heslo je ako kľúč pod rohožkou. WordPress odporúča vyhnúť sa krátkym heslám, slovníkovým slovám a bežným menám či výrazom ako admin, administrator alebo password. Práve tie útočníci a automatizované nástroje skúšajú medzi prvými. WordPress zároveň výslovne odporúča nepoužívať bežné používateľské meno „admin“. NIST ide ešte ďalej a odporúča pri hesle staviť najmä na dĺžku, ideálne aspoň 15 znakov, prípadne passphrase, teda dlhú zapamätateľnú frázu.
Treťou cestou je ukradnuté alebo znovu použité heslo. NIST upozorňuje, že heslá nie sú odolné voči phishingu a jedným z najbežnejších spôsobov ich krádeže je falošná stránka, ktorá sa tvári ako dôveryhodný web. Ak používate rovnaké heslo aj inde a unikne napríklad z inej služby, rovnaký prístup môže ohroziť aj vašu WordPress administráciu. Preto dáva zmysel mať unikátne heslá, používať správcu hesiel a zapnúť 2FA, aby samotné heslo nestačilo. Rizikom sú aj pluginy a témy z neoverených zdrojov, vrátane nulled verzií bez licencie. WordPress odporúča inštalovať pluginy a témy z dôveryhodných zdrojov, pretože externé neoverené balíčky môžu priniesť vlastné problémy. V praxi to môže znamenať skrytý škodlivý kód, zadné vrátka alebo chýbajúce aktualizácie. Aj preto sa pri kompromitovaných weboch často riešia staré nepoužívané témy a rozšírenia, ktoré na webe dávno nemali zostať.
Prečo je firewall dôležitý a prečo nestačí sám o sebe
Keď sa pri webe povie firewall, najdôležitejší býva web application firewall, teda WAF. Predstavte si ho ako vrátnika pred budovou. Každý návštevník najprv prejde cez neho a až potom sa dostane k recepcii. WAF filtruje a monitoruje HTTP komunikáciu medzi internetom a webovou aplikáciou a vie odfiltrovať časť škodlivých požiadaviek ešte predtým, ako sa dostanú k WordPressu. WordPress vo svojom hardening návode popisuje aj riešenia fungujúce ako reverzné proxy, ktoré prijmú požiadavku, odfiltrujú škodlivé pokusy a až potom ju pustia ďalej na server.
Treba si však povedať aj druhú polovicu pravdy. Firewall nie je náhrada za aktualizácie. WordPress opisuje bezpečnosť ako znižovanie rizika, nie jeho úplné odstránenie. Firewall je ďalšia vrstva obrany, nie ospravedlnenie pre neaktualizovanú web stránku. Správny postup je preto jasný, pravidelne aktualizovať WordPress, odstraňovať nepoužívané rozšírenia a zároveň používať firewall, ktorý pomáha odfiltrovať útoky ešte predtým, než sa dostanú k webu.
Čo sa stane po napadnutí
Veľa ľudí si myslí, že napadnutý web musí okamžite prestať fungovať. Často je to naopak. Útočník nechá web bežať a potichu doň vloží škodlivý kód, spamové podstránky, skryté odkazy, presmerovania alebo phishingový obsah. Google hacked content definuje ako obsah vložený bez povolenia, ktorý zhoršuje výsledky vyhľadávania a môže škodiť používateľom. Ak sa na webe objaví klamlivý alebo phishingový obsah, Chrome môže zobraziť varovanie pri stránkach „Deceptive site ahead“ a Search Console upozorní na bezpečnostné problémy.
V praxi to môže vyzerať veľmi nenápadne. Niekedy si všimnete iba to, že sa stránka občas presmeruje na cudzie stránky, pribudnú zvláštne URL adresy v indexe Google, web je zrazu pomalý, hosting hlási vysokú záťaž alebo poskytovateľ hosting dočasne vypne. Google odporúča kontrolovať aj výsledky cez operátor site a sledovať Security Issues report, pretože tam sa často odhalia cudzie stránky alebo znaky kompromitácie skôr, než si problém všimnú návštevníci. Pri zavírených stránkach sa často objavuje aj hlásenie od Googlu, preťaženie webu, nefunkčnosť alebo vypnutie hostingu.
Treba si uvedomiť ešte jednu vec. WordPress výslovne upozorňuje, že ak útočník získa administrátorský prístup, môže nahrávať alebo upravovať škodlivé skripty a tým potenciálne ohroziť celý server. Napadnutý web teda nie je len marketingový problém, ale aj bezpečnostný a prevádzkový problém.
Prečo je odvírenie web stránky urgentné
Keď už je stránka kompromitovaná, odvírenie web stránky netreba odkladať. WordPress vo svojom návode k napadnutému webu upozorňuje, že čistenie býva najnáročnejšia časť celého procesu. Nestačí zmazať jeden podozrivý súbor. Treba zmeniť všetky prístupové body, teda WordPress administráciu, FTP alebo SFTP, hostingový panel aj databázu, odhlásiť aktívne sessions, vytvoriť zálohu alebo aspoň snímku stavu, nájsť škodlivý kód a až po vyčistení systém znovu doaktualizovať. WordPress zároveň odporúča zmeniť heslá znovu aj po vyčistení.
Ak už vidíte príznaky kompromitácie, riešením má byť čo najrýchlejšie odvírenie WordPress stránky. Profesionálne odvírenie by malo zahŕňať kompletné vyčistenie malwaru, kontrolu a odstránenie bezpečnostných rizík, obnovu napadnutého webu, zabezpečenie proti ďalším útokom, komplexnú aktualizáciu WordPressu, šablón a pluginov a aj výsledkový report. Presne to dáva zmysel, pretože po napadnutí treba odstrániť nielen následok, ale aj pôvodnú slabinu, cez ktorú sa útočník dostal dnu.
Ako ochrániť WordPress do budúcna
Základná prevencia nie je zložitá, ale musí byť pravidelná. Patrí sem aktualizácia WordPressu, pluginov a tém, záloha pred zásahom, odstránenie nepoužívaných pluginov, používanie iba dôveryhodných zdrojov, silné a unikátne heslá, 2FA, správca hesiel, SFTP a firewall. WordPress umožňuje zapnúť automatické aktualizácie pluginov a tém a pri zapnutých auto-updates ich štandardne spúšťa dvakrát denne. Zároveň však upozorňuje, že pred aktualizáciou je rozumné mať zálohu, pretože update zasahuje do súborov WordPressu.
Ak chcete riziko výrazne znížiť ešte pred problémom, zvoľte aktualizáciu WordPress stránky od experta na webové stránky. Bezpečná aktualizácia nemá vyzerať ako náhodné kliknutie na tlačidlo raz za niekoľko mesiacov, ale ako riadený proces, ktorý zahŕňa zálohu, aktualizáciu jadra, pluginov a tém, podľa potreby aj aktualizáciu prémiových pluginov a kontrolu zabezpečenia WordPressu, FTP a databázy. Takáto prevencia je spravidla podstatne lacnejšia aj pokojnejšia než riešenie hotového incidentu, keď už máte napadnutý web a musíte robiť odvírenie web stránky pod časovým tlakom.
Jednoducho povedané, neaktualizovaná web stránka je ako dom so starým zámkom a bez vrátnika. Možno bude dlho ticho, ale keď sa objaví niekto, kto pozná slabé miesto, škody bývajú drahšie než pravidelná ochrana. Ak nechcete riešiť napadnutý web, presmerovania, stratu dôvery a poškodené SEO, riešte aktualizácie a zabezpečenie včas, nie až po útoku.
