5 najčastejších bezpečnostných chýb eshopov
Krátka odpoveď: najväčšie riziká sú zastaraná verzia bez záplat, slabé prihlasovanie do administrácie (krátke heslá, predvolený admin priečinok, chýbajúce 2FA), neaktualizované moduly tretích strán, chýbajúce a neotestované zálohy a neošetrené vstupy, cez ktoré vedie SQL injection či krádež platobných údajov na pokladni. Väčšina útokov pritom zneužíva známe a už opravené slabiny — pravidelná údržba ich z veľkej časti eliminuje.
Eshop je lákavý cieľ — spravuje osobné údaje zákazníkov, prihlasovacie heslá aj platby. Napadnutý eshop pritom neznamená len výpadok predaja: znamená poškodenú reputáciu, ukradnuté karty zákazníkov a možné pokuty za únik osobných údajov. Dobrá správa je, že drvivá väčšina útokov zneužíva známe a ľahko odstrániteľné slabiny. V tomto článku zrozumiteľne prejdeme päť najčastejších chýb, ukážeme reálne útoky na PrestaShop z posledných rokov a poradíme, ako sa im vyhnúť — od najlacnejších opatrení po tie náročnejšie.
Prečo na bezpečnosti záleží (a prečo práve teraz)
Bezpečnosť nie je abstraktná téma „pre IT". Dotýka sa troch vecí, na ktorých vám záleží najviac:
- Peniaze a predaj. Napadnutý eshop môže byť hodiny až dni mimo prevádzky. Horší scenár je, keď funguje navonok normálne, ale na pozadí kradne platobné údaje zákazníkov — to poškodzuje aj vás, aj ich.
- Dôvera a reputácia. Stačí jediné varovanie prehliadača „táto stránka môže byť nebezpečná" alebo sťažnosť zákazníka na zneužitú kartu a dôvera je preč. Buduje sa roky, stráca za deň.
- Právna zodpovednosť. Eshop spracúva osobné údaje. Pri ich úniku vám zo zákona vzniká povinnosť nahlásiť incident úradu — a hrozí pokuta. K tomu sa vrátime nižšie.
A prečo „práve teraz"? Útoky na PrestaShop nie sú teória z minulosti — prebiehajú aktívne. Len v rokoch 2025 a 2026 PrestaShop vydal viacero oficiálnych bezpečnostných varovaní pred vlnami útokov, ktoré kradnú platobné údaje priamo na pokladni eshopov. Konkrétne príklady ukážeme v samostatnej sekcii.
Päť najčastejších bezpečnostných chýb
1 · Zastaraná verzia bez bezpečnostných záplat
Najväčšia a najčastejšia chyba. Staré verzie platformy už nedostávajú bezpečnostné aktualizácie — každá novoobjavená diera v nich ostáva navždy otvorená. PrestaShop 1.6 je oficiálne bez údržby od 30. júna 2019; ak na ňom eshop stále beží, je to ako nechať otvorené dvere a dúfať, že nikto nevojde.
Ako to opraviť: zistite svoju verziu (Administrácia → dolná pätička) a naplánujte upgrade na podporovanú vetvu. Cieľom je PrestaShop 9, prípadne aktuálna 8.x s bezpečnostnými záplatami. Migrujte vždy cez testovaciu kópiu, nie naživo.
2 · Slabé prihlasovanie do administrácie
Administrácia je kľúč od celého eshopu. Útočníci ju skúšajú napadnúť automaticky — skúšaním hesiel aj hľadaním predvolenej adresy admin priečinka. Tri najčastejšie slabiny: krátke alebo opakované heslá, nezmenená adresa admin priečinka a chýbajúce dvojfaktorové overenie (2FA).
Ako to opraviť: vynúťte silné a unikátne heslá, premenujte admin priečinok (PrestaShop to robí automaticky, ale skontrolujte to) a zapnite dvojfaktorové overenie (2FA). Pozor — PrestaShop ho v jadre (vo verzii 8 ani 9) zatiaľ nemá zabudované, doplníte ho však spoľahlivým modulom z PrestaShop Marketplace, ktorý funguje s bežnou overovacou aplikáciou v telefóne. 2FA znamená, že ani prezradené heslo nestačí: útočník by potreboval aj kód z vášho telefónu. Ak si s výberom alebo nastavením modulu neviete rady, radi vám 2FA nasadíme. Pomáha aj obmedzenie počtu pokusov o prihlásenie.
3 · Neaktualizované moduly tretích strán
Moduly sú najčastejším vstupným bodom do PrestaShop eshopu. Pridávajú funkcie, ale aj kód, ktorý môže obsahovať zraniteľnosti — a práve cez zastaraný modul prešli najväčšie útočné vlny. PrestaShop priamo upozorňuje, že niektoré aktualizácie modulov vznikajú špecificky na opravu bezpečnostných dier.
Ako to opraviť: odinštalujte moduly, ktoré nepoužívate (každý je potenciálne riziko). Ostatné držte aktuálne a inštalujte len z PrestaShop Marketplace alebo od overených autorov — modul stiahnutý z náhodného fóra môže obsahovať zraniteľnosť, alebo byť rovno navrhnutý ako backdoor. Pri rozhodovaní pomôže náš článok o tom, kedy sa oplatí modul na mieru.
4 · Chýbajúce a neotestované zálohy
Záloha nie je prevencia útoku — je to vaša záchranná sieť, keď všetko ostatné zlyhá. Bez aktuálnej zálohy je každý incident desaťnásobne drahší a niekedy znamená trvalú stratu dát. A pozor: záloha, ktorú ste nikdy neskúšali obnoviť, sa nepočíta — veľa eshopov zistí až pri incidente, že ich „zálohy" sú nepoužiteľné.
Ako to opraviť: nastavte automatické zálohy databázy aj súborov, ukladajte ich mimo samotného servera a pravidelne otestujte obnovenie. Automatické a overené zálohy sú súčasťou našej správy a údržby.
5 · Neošetrené vstupy a napadnuteľná pokladňa
Toto je technickejšia, ale najnebezpečnejšia kategória. Ak eshop dôsledne nekontroluje, čo doň posiela návštevník, otvára dvere útokom ako SQL injection (útočník „prepašuje" vlastný príkaz do databázy) alebo XSS (vloženie škodlivého skriptu do stránky). Najzákernejší je skimming na pokladni — vložený skript, ktorý nenápadne kradne platobné údaje zákazníkov v reálnom čase.
Ako to opraviť: držte jadro aj moduly aktuálne (väčšina týchto dier sa opravuje záplatami), nasaďte HTTPS a bezpečnostné hlavičky, a pri vlastných úpravách dbajte na ošetrenie vstupov. Pravidelný bezpečnostný audit odhalí slabé miesto skôr, než ho nájde útočník.
| Chyba | Riziko | Najrýchlejšia náprava |
|---|---|---|
| 1 · Zastaraná verzia | vysoké | upgrade na podporovanú verziu |
| 2 · Slabý admin | vysoké | silné heslá + zapnúť 2FA |
| 3 · Staré moduly | kritické | aktualizovať, odstrániť nepoužívané |
| 4 · Žiadne zálohy | stredné | automatické + otestované zálohy |
| 5 · Neošetrené vstupy | kritické | záplaty, HTTPS, audit |
Čo sa reálne deje: skutočné útoky na PrestaShop
Aby to nebola len teória — toto sú zdokumentované útoky na PrestaShop z posledných rokov. Všimnite si spoločného menovateľa: zastaraná verzia alebo zraniteľný modul.
- Leto 2022 — vlna SQL injection. Útočníci zneužili zraniteľný modul blockwishlist (verzie 2.0.0 – 2.1.0, opravené v 2.1.1) a kritickú dieru v jadre s reťazením SQL injection na spustenie cudzieho kódu (CVE-2022-31181, najvyššia závažnosť 9.8/10, opravená vo verzii 1.7.8.7). Útok vytvoril na serveri škodlivý súbor
blm.phpa zneužíval funkciu Smarty cache. Zasiahnuté boli verzie od 1.6.0.10 vyššie; verzie 1.7.8.2+ boli v bezpečí, pokiaľ nebežali so zraniteľným modulom. - Január 2025 — krádež cez moduly. Ďalšia vlna SQL injection, tentoraz cez zraniteľnosti v moduloch tretích strán (nie v jadre). Útočníci vložili škodlivý kód do konfiguračnej položky
PS_SHOP_NAMEv databáze, kde fungoval ako „information stealer" — zachytával citlivé údaje zákazníkov vrátane toho, čo vypĺňali do formulárov. - 2025 – 2026 — krádež kariet na pokladni (Magecart). Aktuálne najvážnejšia kampaň. PrestaShop vo februári 2026 vydal oficiálne bezpečnostné varovanie: útočníci vkladajú do súboru šablóny
_partials/head.tplskript, ktorý na objednávkovej stránke nahradí pravé platobné tlačidlá falošnými a presmeruje zákazníka na podvrhnutý platobný formulár, kde mu ukradne údaje karty. Skript je zámerne maskovaný, aby unikol detekcii. Počet napadnutých eshopov rástol z približne 327 (február 2026) na vyše 1 000 (jún 2026) — medzi obeťami bol aj eshop veľkého globálneho maloobchodného reťazca.
Poučenie je jednoznačné: neaktualizovaná verzia a staré moduly nie sú drobnosť — sú to presne tie dvere, cez ktoré tieto útoky chodia.
Verzia ako bezpečnosť: od 1.6 po 9
Na ktorej verzii eshop beží, nie je len otázka funkcií — je to priamo bezpečnostná otázka. Rozhoduje totiž, či ešte dostávate záplaty.
- PrestaShop 1.6 — koniec údržby 30. 6. 2019. Žiadne oficiálne bezpečnostné opravy. Najrizikovejší stav.
- PrestaShop 1.7 — za zenitom; novšie podverzie (napr. 1.7.8.7+) zachytili kritické opravy z roku 2022, ale vetva už nie je cieľom aktívneho vývoja.
- PrestaShop 8.x — stále dostáva bezpečnostné a kritické opravy (vetva 8.2 je v režime „extended support"). Pozor na detail: 8.x stojí na staršom jadre Symfony 4.4, ktoré samo už nedostáva opravy od svojich tvorcov — preto je to prechodná, nie cieľová verzia.
- PrestaShop 9.x — odporúčaná voľba. Beží na modernom jadre Symfony 6.4 LTS s garantovanými bezpečnostnými aktualizáciami do novembra 2027, na novších verziách PHP, s prepracovanou bezpečnostnou architektúrou a moderným prihlasovaním. Niektoré zraniteľnosti, ktoré zasiahli 8.x (napr. diera v obnove hesla opravená v 8.2.3), sa deviatky vôbec netýkajú.
| Verzia | Bezpečnostné záplaty | Odporúčanie |
|---|---|---|
| 1.6 | žiadne (od 2019) | migrovať čo najskôr |
| 1.7 | už nie | plánovať migráciu |
| 8.x | áno (extended support) | prechodná verzia |
| 9.x | áno (Symfony 6.4 do 2027) | cieľová verzia ✓ |
Ak zvažujete prechod, viac sme rozpísali v článku PrestaShop 9.1 — je už stabilný a oplatí sa migrovať?.
Ako poznať, že je eshop napadnutý — a čo robiť
Mnohé útoky sú tiché: eshop navonok funguje, no na pozadí kradne dáta. Spozornite pri týchto príznakoch:
- neznáme presmerovania alebo cudzí obsah na stránke,
- náhle spomalenie alebo neznáme súbory na serveri (napr. PHP súbory, ktoré ste nevytvorili),
- sťažnosti zákazníkov na zneužité platobné karty po nákupe,
- varovanie od Googlu alebo prehliadača, že stránka môže byť nebezpečná,
- neočakávané zmeny v šablóne, najmä v hlavičke (
head.tpl) alebo na pokladni.
Ak máte podozrenie, postupujte podľa oficiálneho odporúčania PrestaShopu:
- Zmeňte všetky heslá — administrácia, databáza, FTP, SSH. Nezabudnite upraviť prístup k databáze aj v konfiguračnom súbore PrestaShopu.
- Skontrolujte logy, či neunikli údaje zákazníkov.
- Pri úniku podajte trestné oznámenie a kontaktujte Úrad na ochranu osobných údajov (pozri nižšie).
- Nechajte eshop vyčistiť bezpečnostným odborníkom — len profesionál vie zaručiť, že v ňom nezostal skrytý backdoor.
Právna stránka — pozor. Ak unikli osobné údaje, ide o porušenie ochrany osobných údajov a GDPR (článok 33) vám ukladá oznámiť ho dozornému úradu bez zbytočného odkladu, najneskôr do 72 hodín od zistenia — okrem prípadu, keď je nepravdepodobné, že incident ohrozí práva dotknutých osôb. Nečinnosť alebo zatajenie môže pokutu len zhoršiť. (Súvisí s tým aj korektné nastavenie cookies a súhlasov.)
Bezpečnostný checklist eshopu
Bezpečnosť nie je jednorazová úloha, ale rutina. Tento zoznam pokrýva drvivú väčšinu rizík — prejdite ho a doplňte, čo vám chýba:
- ✅ Aktuálna a podporovaná verzia PrestaShopu (ideálne 9.x).
- ✅ Bezpečnostné záplaty jadra aj modulov inštalované čo najskôr po vydaní.
- ✅ Silné, unikátne heslá a 2FA pre všetkých zamestnancov v administrácii.
- ✅ Premenovaný admin priečinok a obmedzený počet pokusov o prihlásenie.
- ✅ Moduly len z dôveryhodných zdrojov, nepoužívané odinštalované.
- ✅ Automatické zálohy databázy aj súborov — uložené mimo servera a otestované.
- ✅ HTTPS na celom webe a bezpečnostné hlavičky (napr. HSTS, CSP).
- ✅ Správne práva súborov a odstránené inštalačné/vývojárske súbory.
- ✅ Monitoring a skenovanie na zmeny súborov a malvér.
- ✅ Pravidelná kontrola pokladne a šablóny na neznáme skripty.
Časté omyly, ktoré držia eshop zraniteľný:
- „Sme malí, nás sa to netýka." Útoky sú automatizované — nehľadajú konkrétne meno, hľadajú zraniteľnú verziu.
- „Máme dobrý hosting, sme v pohode." Hosting nerieši zastaraný modul ani skript v šablóne.
- „Aktualizácia môže niečo pokaziť, radšej počkáme." Práve odklad aktualizácie je najčastejšia príčina napadnutia — riešením je testovacia kópia, nie čakanie.
Bezpečnosť eshopu nie je jeden veľký zásah, ale súhra niekoľkých návykov — a väčšina z nich je lacná v porovnaní s nákladmi napadnutia. Ak na to nemáte čas alebo si nie ste istí stavom eshopu, spravíme bezpečnostný audit a prevezmeme údržbu za vás: skontrolujeme verziu, moduly, zálohy aj pokladňu a odporučíme konkrétne kroky — skôr, než problém nájde niekto iný.