Bezpečnost eshopů v 2026: Nejčastější zranitelnosti WooCommerce a jak chránit data svých zákazníků

Prevádzkujete WooCommerce eshop? Potom spravujete databázi plnou jmen, emailů, adres, telefonních čísiel a platebních údajů svojich zákazníků. Pro kybernetické útočníky je to zlato. A pokud si myslíte, že se to netýká vás, protože jsme "jen malý eshop", čísla mluví jinak.

Průměrné náklady na únik dat v retailovém sektoru dosáhly v roce 2025 částky 3,54 milionu dolarů. Asimily Pro malé a střední ecommerce firmy se tento náklad pohybuje kolem 3,3 milionu dolarů, a to bez započítání škod na důvěře zákazníků a reputaci značky. WPExperts Nemusíte být The North Face nebo Cartier, aby vás útok zasáhl. Automatizované boty skenují tisíce webů denně a hledají známé zranitelnosti. Pokud je najdou na vašem webu, nezajímá je, jak velký je váš obrat.

WordPress je bezpečný. Problém jsou pluginy.

Toto je klíčový fakt, který mnoho majitelů eshopů nechápe. Samotné jádro WordPressu a WooCommerce je aktivně udržováno a bezpečné. Zranitelnosti pocházejí z ekosystému okolo nich.

Data shromážděná z tisíců WordPress instalací za čtvrtý kvartál 2025 ukazují, že 92 % všech úspěšných prieniků do WordPress stránek pocházelo z pluginů a tém, ne z jádra systému. DeveloPress V listopadu 2025 bylo nahlášeno 108 nových zranitelností v WordPress ekosystému. Z nich 77 mělo dostupnou opravu, ale 31 zůstávalo neopravených. DeveloPress

Průměrný WooCommerce eshop má nainstalováno 15 až 20 pluginů. Každý z nich je potenciální vstupní bod pro útočníka. WooCommerce jádro je velmi bezpečné, pokud je správně aktualizováno. Většina zranitelností pochází z neaktualizovaných nebo špatně naprogramovaných pluginů třetích stran. PluginHive

Nejčastější typy útoků na WooCommerce eshopy

Nahrávání škodlivých souborů

Zranitelnosti umožňující nahrávání souborů bez ověření identity (arbitrary file upload) se staly nejčastějším a nejškodlivějším vektorem útoku na WooCommerce v roce 2025. Pluginy, které zákazníkům umožňovaly nahrávat soubory k objednávkám nebo do formulářů, často nedostatečně ověřovaly typy souborů, což útočníkům umožňovalo nahrát napřímo na server škodlivé PHP soubory. Quttera

SQL injection

SQL injection patří mezi najnebezpečnější webové zranitelnosti, protože umožňuje číst a manipulovat citlivé údaje v databázi. V roce 2025 se těchto chyb objevilo v několika WooCommerce pluginech a umožňovaly útočníkům získat přístup ke zákaznickým údajům v pozadí. PluginHive

Brute force útoky na přihlášení

Automatizované pokusy o přihlášení se od ledna 2025 takřka zdvojnásobily, s 45% meziročně ní, přičemž ve velké části byly podmíněny botnety využívající umělou inteligenci. DeveloPress

Obcházení platebních brán

Pluginy platebních brán zpracovávají změny stavů objednávek a komunikaci s procesory plateb. Když sou tyto kontroly slabé, útočníci dokáží obejít celý platební proces. Zranitelnost v plugine Campay WooCommerce Payment Gateway například umožňovala označovat objednávky jako "zaplacené" bez skutečné platby. PluginHive

Reálné incidenty z roku 2025

V prosinci 2025 WooCommerce opravil kritickou zranitelnost (GHSL-2025-129) v Store API, která mohla po zneužití odhaliť informace o objednávkách zákazníků včetně jmen, emailových adres, telefonních čísel, dodacích a fakturačních adres a typů platebních metod. WooCommerce Developer Inženýrský tým musel vyvinout záplaty pro 23 postihnutých verzí WooCommerce.

Britský módní gigant Marks & Spencer utržil v roce 2025 masivní kybernetický útok skupiny Scattered Spider, která zašifrovala systémy a ukradla zákaznická data. Odhadované ztráty dosáhly 300 milionů liber (přibližně 400 milionů dolarů) v důsledku narušení prodeje. DeepStrike

FBI zaznamenala v roce 2024 kybernetické ztráty ve výši 16 miliard dolarů, což je 33% nárůst oproti 12,5 miliardy v roce 2023. Shopify Trend se nezpomaľuje.

Proč klasické zabezpečení není dostatečné

Mnoho majitelů eshopů si myslí, že mají bezpečnost vyřešenou, protože mají nainstalovaný bezpečnostní plugin a SSL certifikát. Realita je komplexnější.

Mnoho napadených WooCommerce eshopů v roce 2025 mělo nasazeny základní bezpečnostní opatření. Firewally byly aktivní, ochrana přihlášení byla konfigurovaná a WordPress jádro bylo plně aktualizované. Přesto útoky uspěly, protože zneužívaly legitimní funkce pluginů, ne očividné slabiny jako slabá hesla. Quttera

Útočníci v roce 2025 nepotřebovali hádat hesla. Nalezené pluginy důvěřovaly přicházejícím požadavkům bez náležitého ověření autorizace, a jednoduše je využili. Automatizované skenery identifikovaly zranitelné WooCommerce stránky ve velkém měřítku a exploitovaly je během minut od odhalení. Quttera

Jak správně zabezpečit WooCommerce eshop

1. Aktualizujte všechno, neodkladně

Nejúčinnější obrana je nejjednodušší: pravidelné aktualizace. WordPress jádro, WooCommerce, všechny pluginy a témata. Více než 70 % zranitelností má v době nahlášení už dostupnou opravu, ale mnohé weby zůstávají neaktualizované. DeveloPress Zapněte automatické aktualizace pro důvěryhodné pluginy a před většími aktualizacemi vždy zálohujte.

2. Vyčistěte nepoužívané pluginy

Každý deaktivovaný, ale stále nainstalovaný plugin na vašem serveru je bezpečnostní riziko. Jen v prosinci 2025 bylo z oficiálního WordPress repozitáře odstraněno více než 150 pluginů kvůli neopraveným bezpečnostním problémům nebo neaktivitě vývojářů. DeveloPress Tyto "zombie pluginy" nikdy nedostanou záplatu. Projděte si seznam a bezodkladně vymažte všechno, co aktivně nepoužíváte.

3. Zabezpečte přihlášení

Vynucujte silná hesla pro všechny uživatele s přístupem do administrace. Nasazujte dvoufaktorovou autentifikaci (2FA). Omezte počet pokusů o přihlášení. Změňte předvolenou URL adresu přihlášení (/wp-admin). Pravidelně kontrolujte seznam administrátorských účtů a odstraňte neaktivní.

4. Nasazujte Web Application Firewall (WAF)

WAF filtruje škodlivé požadavky ešte předtím, než dorazí na váš web. Řešení jako Cloudflare, Sucuri nebo Wordfence dokážou blokovat běžné útoky (SQL injection, XSS, brute force) na úrovni síťe.

5. Zálohujte automaticky a pravidelně

Záloha není ochranou proti útoku, ale ochranou proti jeho následkům. Nastavte automatické denní zálohy databáze a souborů s uložením mimo server (cloud storage). Pravidelně testujte, zda zálohy fungují a daří se je opravdu obnovit.

6. Monitorujte, co se na webu děje

Instalujte nástroj na monitorování integrity souborů a neobvyklé aktivity. Sledujte změny v souborích na serveru, nové nebo neznáme administrátorské účty, neočekávané přesměrování a podezřelé dotazy v databázi. Čím rychleji prienik odhalíte, tím menší budou škody.

Speciální pozornost: Platební údaje a PCI DSS

Pokud váš eshop spracovává platební údaje zákazníků, musíte se řídit standardem PCI DSS (Payment Card Industry Data Security Standard). V praxi to znamená, že byste nikdy neměli ukládat kompletní údaje platebních karet na svém serveru.

Používejte platební brány, které spracovávají kartové údaje na vlastní infrastruktuře (Stripe, PayPal, GoPay). Zákazník zadává údaje do formuláře hosteného platební bránou a váš server se k citlivým dátům nikdy nedostane. Toto dramaticky nižuje rozsah vaší PCI DSS odpovědnosti a minimalizuje riziko v průběhu eventuálního prieniku.

Proč bezpečnost řešit s agenturou

Bezpečnost eshopu není jednorázová úloha. Je to kontinuální proces, který vyžaduje monitoring, pravidelné audity a rychlou reakci na nové hrozby. Lidský faktor (phishing, chyby, nesprávně odeslaná data) byl prítomný v 68 % všech prieniků v roce 2025. DeepStrike To znamená, že dokonce perfektně konfigurovaný web je ohrožen, pokud skupina nesleduje best practices.

Agentura, která spravuje vaši WordPress a WooCommerce infrastrukturu, dokáže nasadit monitoring, provádět pravidelné bezpečnostní audity, aplikovat záplaty v den jejich vydání a v případě incidentu reagovat okamžitě. Je to investice, která se vrátí při prvním odvráceném útoku.

Podle Verizon by 81 % zákazníků prestalo nakupovat u firmy online po tom, co by se dozvěděli o úniku dat. Verizon Ztráta důvěry zákazníků je škoda, z které se malý eshop nemusí nikdy spamätať.

Závěr: Bezpečnost není náklad, je pojistka

Každý den, když váš eshop běží bez bezpečnostního auditu, s neaktualizovanými pluginy a bez monitoringu, je den, kdy riskujete ztrátu zákaznických dat, finanční škody a reputační kolaps. Kybernetičtí útočníci nečekají a nerozlišují mezi velkými a malými eshopy.

Začněte auditem. Projďte si pluginy, aktualizujte, co je nejlepší, odstraňte, co nepotřebujete, a nastavte monitoring. A pokud chcete mít jistotu, že je váš eshop chráněn na profesionální úrovni, obrátte se na tým, který bezpečnost WordPressu řeší denně.