Nejčastější hackerské útoky na webové stránky a jak se jim bránit

Stručné shrnutí: Malé weby jsou častým cílem útoků, protože většina pokusů běží automaticky. Útočníci nejčastěji zkouší prolomit přihlášení přes brute force, zahltit web pomocí DDoS, zneužít doménu k phishingu nebo vložit do WordPressu malware. Základní obrana stojí na aktualizacích, silných heslech, 2FA, zálohách, ochraně přihlášení a hostingu, který umí filtrovat podezřelý provoz a rychle pomoci při incidentu.

Hackerské útoky na weby dnes probíhají hlavně automaticky a velká část z nich cílí na běžné WordPress weby a menší e-shopy. Stačí nezabezpečené přihlášení, starý plugin nebo chybějící ochrana proti botům. V tomto článku si projdeme nejčastější útoky na webové stránky, brute force, DDoS, phishing i malware, a ukážeme si, jak probíhají, podle čeho je poznat a jak omezit jejich dopad.

Obsah článku

• Na které weby hackeři nejčastěji útočí
• Čtyři typy útoků, které web opravdu ohrozí
• Brute force útok: zkoušení hesel do administrace
• DDoS útok: zahlcení, které odstaví web
• Phishing: když se váš web stane součástí podvodu
• WordPress virus a malware: co dělat po napadení
• Co má za vás hlídat dobrý hosting
• Nejčastější dotazy o útocích na weby

Na které weby hackeři nejčastěji útočí?

Hackeři nejčastěji útočí na weby, kde jejich automatizovaný bot objeví známou slabinu: starý WordPress nebo plugin, slabé heslo nebo veřejné přihlášení bez ochrany.

Mnoho majitelů webů si pořád myslí, že malý firemní web nebo lokální e-shop nikoho nezajímá. Jenže většina útoků dnes nevzniká „ručně“. Probíhá automaticky.

Bot projde tisíce domén, porovná verze WordPressu, zkusí běžná hesla a hledá zranitelnosti. Když něco najde, okamžitě zaútočí.

U zranitelných webů se opakují stále tytéž slabiny:

• veřejně dostupné přihlášení wp-login.php,
• uživatelé se jménem admin,
• neaktualizované pluginy,
• chybějící ochrana proti opakovaným pokusům.

Pokud provozujete WordPress, e-shop nebo firemní web, nejde o otázku „jestli“ někdo útok zkusí. Spíš o to, jak dobře je web připravený první pokusy zastavit.

Čtyři typy útoků, které web opravdu ohrozí

U menších WordPress webů se opakují čtyři scénáře: brute force útok, DDoS, phishing a malware.

Typ útoku	Co dělá	Cíl útočníka	První obrana
Brute force	Zkouší hesla do administrace	Získat přístup do WordPressu	2FA, limit pokusů, silná hesla
DDoS	Zahlcuje server požadavky	Shodit nebo zpomalit web	WAF, cache, síťová ochrana
Phishing	Vytváří falešné stránky nebo e-maily	Ukrást údaje	Vyčištění webu, SPF/DKIM/DMARC
Malware / virus	Vkládá škodlivý kód do webu	Spam, přesměrování, zadní vrátka	Izolace webu a čistá záloha

Každý z těchto útoků funguje jinak a míří na jinou část webu – přihlášení, dostupnost, důvěru návštěvníků nebo samotné soubory WordPressu.

Brute force útok: hackeři zkouší hesla, dokud jedno nezabere

Brute force attack je automatizovaný útok na přihlášení do WordPressu. Bot opakovaně zkouší různé kombinace hesel přes wp-login.php nebo xmlrpc.php, dokud některá nezabere.

Obrana stojí hlavně na silných heslech, 2FA a omezení počtu pokusů o přihlášení.

Brute force patří mezi nejčastější útoky na WordPress vůbec. Bot může během krátké chvíle vyzkoušet tisíce kombinací hesel z různých IP adres, často i s údaji uniklými z jiných služeb.

Typické varianty brute force útoku

Typ útoku	Jak funguje
Čistý brute force	Zkouší velké množství kombinací hesel
Dictionary attack	Používá slovník běžných hesel
Credential stuffing	Zkouší uniklá hesla z jiných služeb

Největší problém credential stuffingu je jednoduchý: lidé používají stejné heslo na více místech. Pokud unikne z jiné služby, bot ho začne automaticky zkoušet i na WordPressu.

Jak se proti brute force bránit

Základní ochrana WordPressu by měla obsahovat minimálně:

1. Silné a unikátní heslo. Nepoužívejte hesla typu Admin123, Firma2025 nebo název domény.
2. Dvoufaktorové ověření (2FA). Druhý faktor zastaví útok i ve chvíli, kdy útočník heslo zná.
3. Omezení počtu pokusů o přihlášení. Po několika chybných pokusech má přijít blokace IP nebo prodleva.
4. Změnu uživatele admin. Útočník pak musí hádat nejen heslo, ale i uživatelské jméno.
5. Vypnutí XML-RPC, pokud ho nepotřebujete. Mnoho WordPress webů ho dnes vůbec nevyužívá, ale útoky na něj stále míří.

Kinsta i WPBeginner doporučují stejný základ: pravidelné aktualizace, silná hesla, 2FA a bezpečnostní plugin jako doplňkovou vrstvu, ne jako jediné řešení.

Zde najdete podrobný návod na zabezpečení WordPressu.

DDoS útok: zahlcení, které web položí na kolena

DDoS útok nezískává hesla ani data. Jeho cílem je zahltit web takovým množstvím požadavků, že server přestane stíhat odpovídat a web se zpomalí nebo úplně přestane fungovat.

Na první pohled může DDoS vypadat jako běžná návštěvnická špička. Rozdíl je v tom, že provoz negenerují reální lidé, ale tisíce zařízení nebo botů posílajících požadavky najednou.

Tomuto tématu se podrobněji věnujeme v článku 20% nárůst DDoS útoků.

U WordPressu bývá největší problém v aplikační vrstvě. Útok často nemíří jen na homepage, ale hlavně na:

• přihlášení,
• vyhledávání,
• košík,
• objednávkový proces,
• nebo jiné dynamické stránky bez cache.

Právě ty jsou pro server nejdražší.

Ve Webglobe jsme v roce 2026 řešili útok na menší WooCommerce e-shop, během kterého přišlo přes 3 miliony HTTP požadavků za necelých 20 minut. Problém byl v tom, že většina provozu mířila na dynamické URL obcházející cache, takže WordPress musel každý požadavek zpracovat zvlášť.

Tři vrstvy DDoS útoku

Vrstva útoku	Jak vypadá	Co pomáhá
Síťová	Zahlcení linky velkým objemem dat	Filtrace provozu u poskytovatele
Transportní	Útok na TCP/UDP spojení	Firewall, rate limiting
Aplikační	Přetížení WordPressu a dynamických URL	WAF, cache, ochrana endpointů

Cloudflare dlouhodobě upozorňuje hlavně na růst aplikačních HTTP útoků, které cílí přímo na webové aplikace a WordPress.

Jak dopad DDoS útoku omezit

U menších webů většinou nejde o „vojenskou“ ochranu, ale o kombinaci několika základních vrstev:

• používat cache pro veřejné stránky,
• chránit přihlášení a administraci,
• omezit požadavky na vyhledávání a formuláře,
• mít WAF nebo CDN,
• a hlavně hosting, který umí podezřelý provoz filtrovat ještě před WordPressem.

Nejlepší ochrana proti DDoS začíná už na úrovni infrastruktury. Důležitý je hosting, který umí filtrovat podezřelý provoz ještě před WordPressem a má DDoS ochranu přímo na síti a serverech. Právě to často rozhoduje, jestli web útok jen zpomalí, nebo úplně odstaví. Ve Webglobe proto chráníme WordPress hosting síťovou DDoS ochranou ještě předtím, než se provoz dostane k samotné aplikaci.

Phishing a váš web: nejste jen oběť, můžete být i nástroj útoku

Většina lidí si pod phishingem představí podvodný e-mail od banky nebo dopravce. U webů ale existuje ještě druhý scénář: útočník se dostane do WordPressu a nahraje na něj falešné stránky, které vypadají důvěryhodně.

Typicky jde o adresáře jako:

• /login/,
• /secure/,
• /payment/,
• nebo kopie přihlašovacích formulářů bank a platebních bran.

Odkaz pak vede na reálnou doménu existující firmy, takže působí důvěryhodněji než náhodný podvodný web.

Phishing se nesnaží napadnout server silou. Útočník spoléhá na to, že někdo uvěří falešnému e-mailu nebo přihlašovací stránce a dobrovolně zadá své údaje. Napadený WordPress se přitom může stát místem, odkud se phishing dál šíří.

NÚKIB dlouhodobě upozorňuje, že phishing patří mezi nejčastější kybernetické hrozby a útočníci stále častěji zneužívají kompromitované weby reálných firem. Velice často se s ním setkáváme i ve Webglobe.

Jak poznat, že váš web někdo zneužívá

Varovné signály bývají často nenápadné:

• v souborech webu se objeví nové složky nebo HTML stránky,
• Google Search Console hlásí bezpečnostní problém („deceptive pages“),
• zákazníci upozorňují na podezřelé odkazy z vaší domény,
• firemní e-maily začnou padat do spamu,
• nebo se doména objeví na blacklistu.

Problém phishingu není jen technický. Jakmile se doména dostane na blacklist, dopadá to i na důvěru zákazníků, doručitelnost e-mailů a reputaci značky.

Co v případě phishingu udělat jako první

Pokud máte podezření, že někdo váš web zneužívá k phishingu:

1. smažte podezřelé soubory a stránky,
2. změňte hesla do WordPressu, hostingu i FTP/SFTP,
3. zkontrolujte administrátorské účty,
4. projděte .htaccess a aktivní pluginy,
5. ověřte SPF, DKIM a DMARC u domény.

Přečtěte si návod, jak si lépe zabezpečit svůj hostingový účet.

Právě e-mailové zabezpečení často rozhoduje o tom, jestli se phishing začne šířit dál přes vaši doménu.

WordPress virus a malware: co se děje po průniku

WordPress virus nebo malware znamená, že útočník dostal do webu škodlivý kód. Nejčastěji slouží k přesměrování návštěvníků, rozesílání spamu, phishingu nebo vytvoření zadních vrátek pro další přístup.

Na rozdíl od brute force nebo DDoS útoku tady problém nekončí jedním pokusem. Pokud se útočník do WordPressu dostane, většinou se snaží v systému zůstat co nejdéle.

Typickým scénářem je:

• škodlivý plugin nebo šablona,
• stará zranitelnost WordPressu,
• uniklé FTP heslo,
• nebo malware nahraný přes napadený administrátorský účet.

Jak poznat napadený WordPress

Příznaky bývají často nenápadné:

• web přesměrovává návštěvníky jinam,
• Google zobrazuje bezpečnostní varování,
• hosting hlásí spam nebo podezřelý provoz,
• v administraci přibyl neznámý uživatel,
• nebo se v souborech objevují funkce jako eval či base64_decode.

Časté je i to, že malware útočí jen na část návštěvníků, například pouze na mobily nebo návštěvy z Googlu. Majitel webu si proto problému dlouho nemusí všimnout.

Co dělat po napadení malwarem

Nejdůležitější je neřešit incident chaoticky. Mazání náhodných souborů většinou problém jen schová, ale neodstraní.

Doporučený postup:

1. Omezte provoz webu, aby malware dál neohrožoval návštěvníky.
2. Vytvořte kopii aktuálního stavu pro pozdější analýzu.
3. Obnovte čistou zálohu z období před napadením.
4. Aktualizujte WordPress, pluginy i šablony.
5. Změňte všechna hesla: WordPress, FTP/SFTP, databáze i hosting.
6. Zkontrolujte administrátorské účty a cron úlohy.
7. Požádejte v Google Search Consoli o novou kontrolu webu, až když je web opravdu čistý.

Sucuri doporučuje při napadení stejný postup: nejdřív izolovat infekci, odstranit vstupní bod a teprve potom obnovovat důvěru webu.

Pět věcí, které za vás udělá dobrý hosting

Bezpečnost webu není jen o pluginu ve WordPressu. Velkou část ochrany řeší už samotná infrastruktura hostingu: zálohy, filtrace provozu, monitoring nebo izolace jednotlivých webů.

Právě proto dává smysl vybírat hosting i podle bezpečnosti, ne jen podle ceny nebo velikosti prostoru.

Jak poznat bezpečný webhosting

Kvalitní hosting by měl řešit hlavně těchto pět oblastí:

1. Pravidelné zálohy a rychlou obnovu. Možnost okamžitě obnovit čistou verzi webu i databáze.
2. Filtrování podezřelého provozu. Část brute force nebo DDoS útoků lze zastavit ještě před WordPressem.
3. Oddělení jednotlivých hostingů a aktuální PHP. Izolace webů snižuje riziko šíření problémů.
4. Monitoring a rychlou reakci na incident. Hosting by měl umět rozpoznat výpadek nebo neobvyklou zátěž.
5. Dostupnou technickou podporu. Při incidentu rozhodují minuty.

Ve Webglobe při migracích WordPressu dlouhodobě narážíme na stejné problémy: zastaralé pluginy, sdílená hesla a chybějící přístupy do Google Search Console. Hosting sice nevyřeší špatnou správu webu, ale dokáže výrazně omezit dopady útoku.

Podrobněji se bezpečnosti hostingu věnujeme v článku Webhosting jako první linie obrany. Přečtěte si také tipy pro lepší zabezpečení webových stránek.

Nejčastější dotazy o hackerských útocích na weby

Jak poznám, že je můj WordPress napadený?

Typické příznaky jsou neobvyklé zpomalení webu, přesměrování na cizí stránky, nové administrátorské účty, podezřelé soubory nebo varování v Google Search Console.

Stačí na zabezpečení WordPressu bezpečnostní plugin?

Ne. Bezpečnostní plugin je jen jedna vrstva ochrany. Důležitá je kombinace aktualizací, 2FA, záloh, ochrany přihlášení a zabezpečené infrastruktury.

Co mám udělat jako první po napadení webu?

Nejdřív omezte provoz webu a vytvořte kopii aktuálního stavu. Potom obnovte čistou zálohu, změňte všechna hesla a zkontrolujte administrátorské účty.

Jaký je rozdíl mezi brute force a DDoS útokem?

Brute force se snaží získat přístup do administrace zkoušením hesel. DDoS útok web zahlcuje provozem a míří na jeho dostupnost.

Jsou malé weby pro hackery zajímavé?

Ano. Většina útoků dnes probíhá automaticky. Boty hledají weby se slabým heslem, starým WordPressem nebo nezabezpečeným pluginem.

Pomůže proti útokům kvalitní hosting?

Ano, hlavně proti části automatických útoků a DDoS provozu. Bezpečnost WordPressu ale vždy závisí i na správě samotného webu.