5 nejčastějších bezpečnostních chyb eshopů
Stručná odpověď: největší rizika jsou zastaralá verze bez záplat, slabé přihlašování do administrace (krátká hesla, výchozí složka admina, chybějící 2FA), neaktualizované moduly třetích stran, chybějící a neotestované zálohy a neošetřené vstupy, přes která vedou SQL injection či krádež platebních údajů na pokladně. Většina útoků přitom zneužívá známé a již opravené slabiny — pravidelná údržba je z velké části eliminuje.
Eshop je lákavý cíl — spravuje osobní údaje zákazníků, přihlašovací hesla i platby. Napadený eshop přitom neznamená jen výpadek prodeje: znamená poškozenou reputaci, ukradené karty zákazníků a možné pokuty za únik osobních údajů. Dobrá zpráva je, že drtivá většina útoků zneužívá známé a snadno odstranitelné slabiny. V tomto článku srozumitelně projdeme pět nejčastějších chyb, ukážeme reálné útoky na PrestaShop z posledních let a poradíme, jak se jim vyhnout — od nejlevnějších opatření po ty náročnější.
Proč na bezpečnosti záleží (a proč právě teď)
Bezpečnost není abstraktní téma „pro IT". Dotýká se tří věcí, na kterých vám záleží nejvíce:
- Peníze a prodej. Napadený eshop může být hodiny až dny mimo provoz. Horší scénář nastane, když funguje navenek normálně, ale na pozadí krade platební údaje zákazníků — to poškozuje vás i je.
- Důvěra a reputace. Stačí jediné varování prohlížeče „tato stránka může být nebezpečná" nebo stížnost zákazníka na zneužitou kartu a důvěra je pryč. Buduje se roky, ztrácí za den.
- Právní odpovědnost. Eshop zpracovává osobní údaje. Při jejich úniku vám ze zákona vzniká povinnost nahlásit incident úřadu — a hrozí pokuta. K tomu se vrátíme níže.
A proč „právě teď"? Útoky na PrestaShop nejsou teorie z minulosti — probíhají aktivně. Jen v letech 2025 a 2026 PrestaShop vydal několik oficiálních bezpečnostních varování před vlnami útoků, které kradou platební údaje přímo na pokladně eshopů. Konkrétní příklady ukážeme v samostatné sekci.
Pět nejčastějších bezpečnostních chyb
1 · Zastaralá verze bez bezpečnostních záplat
Největší a nejčastější chyba. Staré verze platformy už nedostávají bezpečnostní aktualizace — každá nově objevená díra v nich zůstává navždy otevřená. PrestaShop 1.6 je oficiálně bez údržby od 30. června 2019; pokud na něm eshop stále běží, je to jako nechat otevřené dveře a doufat, že nikdo nevejde.
Jak to opravit: zjistěte svou verzi (Administrace → dolní patička) a naplánujte upgrade na podporovanou větev. Cílem je PrestaShop 9, případně aktuální 8.x s bezpečnostními záplatami. Migrujte vždy přes testovací kopii, ne naživo.
2 · Slabé přihlašování do administrace
Administrace je klíč od celého eshopu. Útočníci ji zkouší napadnout automaticky — zkoušením hesel i hledáním výchozí adresy složky admina. Tři nejčastější slabiny: krátká nebo opakovaná hesla, nezměněná adresa složky admina a chybějící dvoufaktorové ověření (2FA).
Jak to opravit: vynuťte silná a unikátní hesla, přejmenujte složku admina (PrestaShop to dělá automaticky, ale zkontrolujte to) a zapněte dvoufaktorové ověření (2FA). Pozor — PrestaShop ho v jádře (ve verzi 8 ani 9) zatím nemá zabudované, doplníte ho však spolehlivým modulem z PrestaShop Marketplace, který funguje s běžnou ověřovací aplikací v telefonu. 2FA znamená, že ani prozrazené heslo nestačí: útočník by potřeboval i kód z vašeho telefonu. Pokud si s výběrem nebo nastavením modulu nevíte rady, rádi vám 2FA nasadíme. Pomáhá i omezení počtu pokusů o přihlášení.
3 · Neaktualizované moduly třetích stran
Moduly jsou nejčastějším vstupním bodem do PrestaShop eshopu. Přidávají funkce, ale i kód, který může obsahovat zranitelnosti — a právě přes zastaralý modul prošly největší útočné vlny. PrestaShop přímo upozorňuje, že některé aktualizace modulů vznikají specificky na opravu bezpečnostních děr.
Jak to opravit: odinstalujte moduly, které nepoužíváte (každý je potenciální riziko). Ostatní udržujte aktuální a instalujte jen z PrestaShop Marketplace nebo od ověřených autorů — modul stažený z náhodného fóra může obsahovat zranitelnost, nebo být rovnou navržen jako backdoor. Při rozhodování pomůže náš článek o tom, kdy se vyplatí modul na míru.
4 · Chybějící a neotestované zálohy
Záloha není prevence útoku — je to vaše záchranná síť, když vše ostatní selže. Bez aktuální zálohy je každý incident desetkrát dražší a někdy znamená trvalou ztrátu dat. A pozor: záloha, kterou jste nikdy nezkoušeli obnovit, se nepočítá — mnoho eshopů zjistí až při incidentu, že jejich „zálohy" jsou nepoužitelné.
Jak to opravit: nastavte automatické zálohy databáze i souborů, ukládejte je mimo samotný server a pravidelně otestujte obnovení. Automatické a ověřené zálohy jsou součástí naší správy a údržby.
5 · Neošetřené vstupy a napadnutelná pokladna
Toto je techničtější, ale nejnebezpečnější kategorie. Pokud eshop důsledně nekontroluje, co do něj návštěvník posílá, otevírá dveře útokům jako SQL injection (útočník „propašuje" vlastní příkaz do databáze) nebo XSS (vložení škodlivého skriptu do stránky). Nejzáludnější je skimming na pokladně — vložený skript, který nenápadně krade platební údaje zákazníků v reálném čase.
Jak to opravit: udržujte jádro i moduly aktuální (většina těchto děr se opravuje záplatami), nasaďte HTTPS a bezpečnostní hlavičky, a při vlastních úpravách dbejte na ošetření vstupů. Pravidelný bezpečnostní audit odhalí slabé místo dřív, než ho najde útočník.
| Chyba | Riziko | Nejrychlejší náprava |
|---|---|---|
| 1 · Zastaralá verze | vysoké | upgrade na podporovanou verzi |
| 2 · Slabý admin | vysoké | silná hesla + zapnout 2FA |
| 3 · Staré moduly | kritické | aktualizovat, odstranit nepoužívané |
| 4 · Žádné zálohy | střední | automatické + otestované zálohy |
| 5 · Neošetřené vstupy | kritické | záplaty, HTTPS, audit |
Co se reálně děje: skutečné útoky na PrestaShop
Aby to nebyla jen teorie — toto jsou zdokumentované útoky na PrestaShop z posledních let. Všimněte si společného jmenovatele: zastaralá verze nebo zranitelný modul.
- Léto 2022 — vlna SQL injection. Útočníci zneužili zranitelný modul blockwishlist (verze 2.0.0 – 2.1.0, opraveno ve 2.1.1) a kritickou díru v jádře s řetězením SQL injection na spuštění cizího kódu (CVE-2022-31181, nejvyšší závažnost 9.8/10, opraveno ve verzi 1.7.8.7). Útok vytvořil na serveru škodlivý soubor
blm.phpa zneužíval funkci Smarty cache. Zasaženy byly verze od 1.6.0.10 výše; verze 1.7.8.2+ byly v bezpečí, pokud neběžely se zranitelným modulem. - Leden 2025 — krádež přes moduly. Další vlna SQL injection, tentokrát přes zranitelnosti v modulech třetích stran (ne v jádře). Útočníci vložili škodlivý kód do konfigurační položky
PS_SHOP_NAMEv databázi, kde fungoval jako „information stealer" — zachytával citlivé údaje zákazníků včetně toho, co vyplňovali do formulářů. - 2025 – 2026 — krádež karet na pokladně (Magecart). Aktuálně nejzávažnější kampaň. PrestaShop v únoru 2026 vydal oficiální bezpečnostní varování: útočníci vkládají do souboru šablony
_partials/head.tplskript, který na objednávkové stránce nahradí pravá platební tlačítka falešnými a přesměruje zákazníka na podvržený platební formulář, kde mu ukradne údaje karty. Skript je záměrně maskovaný, aby unikl detekci. Počet napadených eshopů rostl z přibližně 327 (únor 2026) na více než 1 000 (červen 2026) — mezi oběťmi byl i eshop velkého globálního maloobchodního řetězce.
Poučení je jednoznačné: neaktualizovaná verze a staré moduly nejsou drobnost — jsou to přesně ty dveře, přes která tyto útoky chodí.
Verze jako bezpečnost: od 1.6 po 9
Na které verzi eshop běží, není jen otázka funkcí — je to přímo bezpečnostní otázka. Rozhoduje totiž o tom, zda ještě dostáváte záplaty.
- PrestaShop 1.6 — konec údržby 30. 6. 2019. Žádné oficiální bezpečnostní opravy. Nejrizikovější stav.
- PrestaShop 1.7 — za zenitem; novější podverze (např. 1.7.8.7+) zachytily kritické opravy z roku 2022, ale větev již není cílem aktivního vývoje.
- PrestaShop 8.x — stále dostává bezpečnostní a kritické opravy (větev 8.2 je v režimu „extended support"). Pozor na detail: 8.x stojí na starším jádře Symfony 4.4, které samo již nedostává opravy od svých tvůrců — proto je to přechodná, ne cílová verze.
- PrestaShop 9.x — doporučená volba. Běží na moderním jádře Symfony 6.4 LTS s garantovanými bezpečnostními aktualizacemi do listopadu 2027, na novějších verzích PHP, s přepracovanou bezpečnostní architekturou a moderním přihlašováním. Některé zranitelnosti, které zasáhly 8.x (např. díra v obnově hesla opravená v 8.2.3), se devítky vůbec netýkají.
| Verze | Bezpečnostní záplaty | Doporučení |
|---|---|---|
| 1.6 | žádné (od 2019) | migrovat co nejdříve |
| 1.7 | už ne | plánovat migraci |
| 8.x | ano (extended support) | přechodná verze |
| 9.x | ano (Symfony 6.4 do 2027) | cílová verze ✓ |
Pokud zvažujete přechod, více jsme rozepsali v článku PrestaShop 9.1 — je již stabilní a vyplatí se migrovat?.
Jak poznat, že je eshop napadený — a co dělat
Mnoho útoků je tichých: eshop navenek funguje, ale na pozadí krade data. Zpozorněte při těchto příznacích:
- neznámá přesměrování nebo cizí obsah na stránce,
- náhlé zpomalení nebo neznámé soubory na serveru (např. PHP soubory, které jste nevytvořili),
- stížnosti zákazníků na zneužité platební karty po nákupu,
- varování od Googlu nebo prohlížeče, že stránka může být nebezpečná,
- neočekávané změny v šabloně, zejména v hlavičce (
head.tpl) nebo na pokladně.
Pokud máte podezření, postupujte podle oficiálního doporučení PrestaShopu:
- Změňte všechna hesla — administrace, databáze, FTP, SSH. Nezapomeňte upravit přístup k databázi i v konfiguračním souboru PrestaShopu.
- Zkontrolujte logy, zda neunikla data zákazníků.
- Při úniku podejte trestní oznámení a kontaktujte dozorný úřad pro ochranu osobních údajů (viz níže).
- Nechte eshop vyčistit bezpečnostním odborníkem — jen profesionál může zaručit, že v něm nezůstal skrytý backdoor.
Právní stránka — pozor. Pokud unikla osobní data, jde o porušení ochrany osobních údajů a GDPR (článek 33) vám ukládá oznámit ho dozornému úřadu bez zbytečného odkladu, nejpozději do 72 hodin od zjištění — kromě případu, kdy je nepravděpodobné, že incident ohrozí práva dotčených osob. Nečinnost nebo zatajení může pokutu jen zhoršit. Jako slovenská právnická entita oznamujeme incidenty slovenskému Úradu na ochranu osobných údajov (ÚOOÚ SR); čeští zákazníci se mohou obrátit také na český Úřad pro ochranu osobních údajů (ÚOOÚ ČR). (Souvisí s tím i správné nastavení cookies a souhlasů.)
Bezpečnostní checklist eshopu
Bezpečnost není jednorázový úkol, ale rutina. Tento seznam pokrývá drtivou většinu rizik — projděte ho a doplňte, co vám chybí:
- ✅ Aktuální a podporovaná verze PrestaShopu (ideálně 9.x).
- ✅ Bezpečnostní záplaty jádra i modulů instalované co nejdříve po vydání.
- ✅ Silná, unikátní hesla a 2FA pro všechny zaměstnance v administraci.
- ✅ Přejmenovaná složka admina a omezený počet pokusů o přihlášení.
- ✅ Moduly jen z důvěryhodných zdrojů, nepoužívané odinstalované.
- ✅ Automatické zálohy databáze i souborů — uložené mimo server a otestované.
- ✅ HTTPS na celém webu a bezpečnostní hlavičky (např. HSTS, CSP).
- ✅ Správná práva souborů a odstraněné instalační/vývojářské soubory.
- ✅ Monitoring a skenování na změny souborů a malware.
- ✅ Pravidelná kontrola pokladny a šablony na neznámé skripty.
Časté omyly, které drží eshop zranitelný:
- „Jsme malí, nás se to netýká." Útoky jsou automatizované — nehledají konkrétní jméno, hledají zranitelnou verzi.
- „Máme dobrý hosting, jsme v pohodě." Hosting neřeší zastaralý modul ani skript v šabloně.
- „Aktualizace může něco rozbít, raději počkáme." Právě odkládání aktualizace je nejčastější příčinou napadení — řešením je testovací kopie, ne čekání.
Bezpečnost eshopu není jeden velký zásah, ale souhra několika návyků — a většina z nich je levná v porovnání s náklady napadení. Pokud na to nemáte čas nebo si nejste jisti stavem eshopu, uděláme bezpečnostní audit a převezmeme údržbu za vás: zkontrolujeme verzi, moduly, zálohy i pokladnu a doporučíme konkrétní kroky — dříve, než problém najde někdo jiný.