Domov / Tipy a rady / Web nefungoval, no nebol to výpadok: Ako sme zastavili kybernetický útok na slovenskú firmu
Bezpečnosť

Web nefungoval, no nebol to výpadok: Ako sme zastavili kybernetický útok na slovenskú firmu

Web nefungoval, no nebol to výpadok: Ako sme zastavili kybernetický útok na slovenskú firmu

Zavolala nám väčšia firma. Web bol od rána nedostupný. Mysleli si, že spadol server alebo sa pokazila aktualizácia. Zavolali nám potom, čo sa ani ich správca nevedel dostať k webu. „Nevieme sa dostať na vlastný web! Potrebujeme to vyriešiť hneď." Takýto prípad sme už videli. Hneď sme vedeli, o čo ide — a nebol to technický výpadok. Šlo o kybernetický útok.

Čo sa vlastne stalo

Firma má WordPress web, ktorý spravuje ich externý správca. Ráno web prestal reagovať, admin panel bol nedostupný, heslá neplatili. Klasický scenár, pri ktorom si väčšina ľudí myslí, že ide o technický problém. Prvý dojem: pád servera alebo zlá aktualizácia. Realita bola iná.

Kybernetický útok nevyzerá ako vo filmoch

Hackeri nie sú ľudia v kapucniach pred zelenými obrazovkami. Reálny útok je tichý. Čím dlhšie ste napadnutí a neviete o tom, tým viac sa dá z vášho webu vyťažiť — spam, podvody, krádež údajov, zneužitie vašej reputácie pre ďalšie útoky. Väčšina obetí zistí, že sú napadnuté, až keď je neskoro: web padne, Google ho označí ako nebezpečný, alebo zavolá banka.

Čo sme zistili pri audite

Pri kontrole WordPress inštalácie sme objavili dva škodlivé súbory, ktoré tam nepatrili a boli aktívne:

  • Plugin predstierajúci SEO nástroj — tváril sa ako bežné rozšírenie, v skutočnosti šlo o tzv. „hacked SEO" malware.
  • Druhý súbor predstierajúci WooCommerce úlohu — companion, ktorý zabezpečoval, aby sa prvý nedal ľahko odstrániť.

Ani jeden z nich tam správca webu nenainštaloval. Ani jeden tam nemal byť.

Prečo to bolo také vážne

  1. Prístup do admin panelu bez hesla. Útočník sa vedel kedykoľvek prihlásiť ako administrátor. Heslo nepotreboval. Stačilo mu navštíviť špeciálnu adresu.
  2. Spúšťanie cudzieho kódu na vašom serveri. Malware si sťahoval príkazy z cudzieho servera a vykonával ich. V praxi to znamená, že útočník mohol s vaším webom robiť čokoľvek — naživo, na diaľku, kedykoľvek.
  3. Falošné stránky a SEO spam. Na webe sa generovali skryté stránky, ktoré videl iba Google. Cieľ: zneužiť reputáciu domény na propagáciu pochybných služieb. Následok: sankcie od Googlu a strata pozícií vo vyhľadávaní.
  4. Neviditeľnosť. Malware sa sám odstraňoval zo zoznamu nainštalovaných pluginov. Keď sa správca pozrel do admin panelu, nevidel nič podozrivé.
  5. Riadenie cez blockchain. Adresu riadiaceho servera si kód načítaval cez verejný blockchain. Bežný firewall takú komunikáciu nezablokuje — tvári sa ako legitímny prenos.
  6. Manipulácia so SEO. Upravoval robots.txt a sitemapy, aby Google indexoval spam stránky.

Za takto navrhnutým kódom stojí niekto, kto dobre vie, čo robí. Cieľom nebolo spôsobiť okamžitú škodu — ale zostať na webe čo najdlhšie nepovšimnutý a ťažiť z neho.

Ako sme útok zastavili

  1. Okamžitá zmena všetkých admin hesiel — útočník mal plný prístup, museli sme mu ho zobrať ako prvé.
  2. Odstránenie oboch škodlivých súborov — priamo zo súborového systému, nie cez WordPress admin (ten mohol byť upravený, aby to sabotoval).
  3. Kontrola používateľov — či si útočník nevytvoril záložné admin účty.
  4. Overenie Google Search Console — či neboli odoslané spamové sitemapy alebo neboli vygenerované spätné odkazy, ktoré by nám pokazili SEO.
  5. Čistá reinštalácia WordPressu z overených zdrojov — pretože po útoku tohto typu je jediná spoľahlivá cesta vymeniť celé jadro za overené súbory.

Web bol plne funkčný ešte v ten istý deň. Ale to bola len prvá polovica práce. Druhá bola zabezpečiť, aby sa to neopakovalo.

Kde bola chyba a ako sa útoku dalo predísť

  • Zastarané pluginy a šablóny — každý neaktualizovaný plugin je otvorené okno.
  • Slabé alebo opakovane používané admin heslá — zložené heslo z mena firmy a roka nie je heslo.
  • Chýbajúci monitoring zmien — nikto nekontroluje, či na webe nepribudli súbory, ktoré tam nemajú byť.
  • Žiadny pravidelný bezpečnostný audit — problém sa nájde, až keď spôsobí výpadok.

Pravidelný IT audit by takýto škodlivý kód odhalil oveľa skôr — v našom prípade potenciálne mesiace pred tým, ako spôsobil reálne škody.

Čo by vás ešte mohlo zaujímať

Ako zistím, že môj WordPress web bol napadnutý?

Typické príznaky: web je pomalý alebo nedostupný, v Google výsledkoch vidíte stránky, ktoré ste nikdy nevytvorili, návštevníci hlásia presmerovania na cudzie weby, Google Search Console zobrazuje upozornenia, alebo sa nemôžete prihlásiť do admin panelu. Problém je, že moderný malware je často neviditeľný — web vyzerá úplne normálne. Istotu dá len odborný bezpečnostný sken.

Stačí na ochranu bezpečnostný plugin ako Wordfence alebo Sucuri?

Pomáhajú, ale nie sú všeliek. Pokročilejšie útoky — napríklad tie, ktoré komunikujú cez blockchain alebo sa maskujú za legitímne pluginy — dokážu bežné sken nástroje obísť. Bezpečnostný plugin je vrstva ochrany, nie jediná ochrana. Kombinácia pravidelných aktualizácií, silných hesiel, monitoringu a odborného auditu funguje lepšie než akýkoľvek jednotlivý nástroj.

Koľko stojí obnova po útoku v porovnaní s prevenciou?

Obnova napadnutého webu typicky stojí niekoľkonásobne viac než ročná preventívna starostlivosť. Okrem priamych nákladov počítajte aj výpadok (dni bez webu = stratené objednávky), poškodenie SEO (návrat pozícií v Google trvá mesiace) a stratu dôvery zákazníkov. V našej praxi je prevencia vždy lacnejšia — aj keď sa zdá, že „nič nerobí".

Musíme hlásiť útok dotknutým osobám podľa GDPR?

Závisí od toho, či pri útoku došlo k úniku osobných údajov. Ak útočník mal admin prístup a na webe ste evidovali zákazníkov, je povinnosť situáciu vyhodnotiť a v odôvodnených prípadoch nahlásiť incident Úradu na ochranu osobných údajov do 72 hodín. Odporúčame to konzultovať s odborníkom — sankcie za nenahlásenie bývajú vyššie než za samotný incident.

Potrebujete pomôcť s IT vo vašej firme?

Kontaktujte nás pre nezáväznú konzultáciu.

+421 948 07 97 07 linka@itpomoc.sk
Zdieľaj:
15. Apríl 2026 Autor: Tím IT POMOC
📞 Zavolať nám