Web označený Googlem jako nebezpečný

Nedávno se mi v krátkém časovém rozmezí ozvali dva různí klienti se stejným problémem. Jejich weby najednou přestaly plnit svou základní funkci – místo obsahu se návštěvníkům zobrazila výrazná červená obrazovka s varováním od Googlu, že web může být nebezpečný.

V obou případech šlo o běžné firemní weby postavené na WordPressu. Žádné pochybné projekty, žádné experimenty. A v obou případech byli majitelé upřímně překvapení. Web fungoval, objednávky chodily, nic nenasvědčovalo tomu, že by se dělo něco špatného. Jenže pod povrchem už někdo cizí web zneužíval.

Google dnes weby aktivně kontroluje a jakmile narazí na malware, phishing nebo škodlivý kód, reaguje okamžitě. Varování se zobrazí přímo ve vyhledávání i v prohlížeči a drtivá většina lidí se v tu chvíli otočí a odejde. Důvěra je pryč během jedné vteřiny a s ní i potenciální byznys.

Tohle samo o sobě není příjemné. Jenže u WordPress webů, které běží na WooCommerce, může být realita ještě o dost horší.

Ve chvíli, kdy má útočník přístup k webu, nejde jen o to, že někam vloží škodlivý skript. V nejhorším případě se může dostat i k databázi. A v té už nejsou jen technická data, ale jména zákazníků, e-maily, fakturační údaje, objednávky, někdy i adresy nebo telefonní čísla. Jinými slovy – osobní údaje, za které nesete odpovědnost vy.

Tady už nejde jen o nepříjemné varování od Googlu. Tady se dostáváme k únikům dat, povinnosti informovat zákazníky, a potenciálně i k problémům s legislativou, ať už mluvíme o GDPR nebo o důvěře, kterou jste si u klientů budovali roky. Jeden bezpečnostní incident může během pár hodin zničit reputaci, kterou jste pracně stavěli dlouhou dobu.

A co je na tom nejhorší? Ve většině případů to nezačíná žádným sofistikovaným útokem. U obou zmíněných webů šlo o zastaralý plugin, respektive šablonu s bezpečnostní chybou. Automatizované skripty dnes projíždějí tisíce WordPress instalací denně a hledají přesně taková místa. Jakmile je najdou, zbytek už je otázka minut.

Dobrá zpráva je, že pokud se zasáhne včas a ví se, co se dělá, dá se situace řešit. Oba weby jsem kompletně vyčistil, zabezpečil problematická místa a přes Google Search Console požádal o přehodnocení. V obou případech byl web z blacklistu pryč do 24 hodin a fungoval znovu bez omezení.

Jenže skutečná otázka nezní, jestli se to dá opravit. Otázka zní, proč to vůbec dopustit.

U WordPressu – a dvojnásob u WooCommerce – bezpečnost není něco, co se „nějak řeší později“. Web, který je online a vydělává peníze, musí být pravidelně udržovaný, aktualizovaný a monitorovaný. Jinak je to jen otázka času, kdy si ho najde někdo jiný než vaši zákazníci.

Pokud podnikáte, prodáváte online a WordPress je základem vašeho byznysu, pak bezpečnost není náklad navíc. Je to pojistka proti průšvihu, který může bolet víc než jakákoli investice do prevence.

Jestli chcete mít jistotu, že váš WordPress nebo WooCommerce web je skutečně v bezpečí, ozvěte se. Rád se na něj podívám dřív, než vám Google – nebo hůř, vaši zákazníci – ukážou červenou.