← Zpět na blog |

Záloha WordPress webu: Proč nestačí jen plugin a jak přežít nejhorší

Záloha na hostingu nestačí — útočník ji infikuje spolu s webem. Zjistěte, jak nastavit zálohovací strategii, která skutečně funguje při obnově po útoku.

Záloha WordPress webu: Proč nestačí jen plugin a jak přežít nejhorší

Ptáme se každého majitele webu, který k nám přijde se zavirovaným WordPressem: "Máte zálohu?"

Přibližně polovina odpoví ano. Ale když se zeptáme, kdy naposledy zálohu testovali, přichází ticho.

Záloha, která nebyla nikdy vyzkoušena, je jen iluze zálohy. A záloha uložená na stejném hostingu jako napadený web? Ta je s velkou pravděpodobností také infikovaná.

Tento článek vám ukáže, proč je záloha záchranná síť — ale jen tehdy, když je správně nastavená. A co konkrétně dělat jinak.

Problém č. 1: Záloha na hostingu = záloha viru

Nejrozšířenější chyba. Zálohovací plugin vytváří ZIP soubory a ukládá je do složky /wp-content/backups/ — tedy přímo na stejný server, kde běží web.

Co se stane při útoku:

  • Útočník kompromituje server
  • Infikuje WordPress soubory a databázi
  • Zálohovací plugin automaticky vytvoří novou zálohu — tentokrát zálohu infikovaného webu
  • Starší čisté zálohy jsou přepsány nebo smazány

Když pak zálohu potřebujete, obnovíte virus, nikoli čistý web.

Řešení: Zálohy musí být uloženy mimo server, ideálně na nezávislém cloudovém úložišti (Amazon S3, Google Drive, Dropbox, Backblaze). Útočník, který kompromituje váš hosting, nemá přístup ke cloudovému účtu.

Problém č. 2: Zálohy pluginu nestačí — ani ty "premium"

Zálohovací pluginy jako UpdraftPlus, BackupBuddy nebo Duplicator jsou skvělé nástroje. Ale mají jedno systémové omezení: jsou závislé na funkčnosti WordPressu.

Pokud útok poškodí WordPress natolik, že se web vůbec nenačte, plugin se nespustí. Zálohu nelze obnovit přes administraci — protože administrace neexistuje.

V takovém případě potřebujete zálohu na úrovni serveru (serverovou zálohu od hostingu nebo zálohu přes SSH/FTP) a schopnost ji ručně obnovit.

Navíc: pluginy zálohují to, co vidí. Skryté backdoor soubory ve složce uploads nebo modifikovaný .htaccess mohou uniknout, pokud plugin není nastaven správně.

Problém č. 3: Nikdo zálohu nikdy netestoval

Záloha má hodnotu jen tehdy, když ji lze úspěšně obnovit. Praxe ukazuje, že zálohy selžou při obnově překvapivě často — z těchto důvodů:

  • Záloha je neúplná (chybí databáze nebo naopak soubory)
  • ZIP soubor je poškozený (přerušený přenos, přeplněný disk)
  • Záloha byla vytvořena jinou verzí pluginu nebo PHP a nejde importovat
  • Cílové prostředí (nový hosting) má jiné nastavení a obnova selže

Jak testovat zálohu: Pravidelně (minimálně jednou za čtvrtletí) proveďte testovací obnovu na lokálním prostředí nebo staging serveru. Pokud obnova funguje, záloha je platná. Pokud ne — zjistili jste problém ve chvíli, kdy ještě máte čas ho vyřešit.

Pravidlo 3-2-1: Zálohovací strategie, která funguje

Profesionální zálohovací strategie pro WordPress web vychází z klasického pravidla 3-2-1:

3 kopie dat 2 různá úložiště 1 kopie mimo lokalitu (offsite)

V praxi to pro WordPress web znamená:

Kopie Umístění Frekvence
Záloha 1 Cloudové úložiště (S3, Drive) Denně
Záloha 2 Záloha od hostingového providera Denně/týdně
Záloha 3 Lokální disk / externí médium Týdně

Minimálně jedna záloha musí být kompletně oddělena od vašeho hostingového účtu.

Jak dlouho zálohy uchovávat?

Záleží na velikosti webu a frekvenci změn, ale obecné doporučení:

  • Denní zálohy: uchovávejte 14 dní
  • Týdenní zálohy: uchovávejte 8 týdnů
  • Měsíční zálohy: uchovávejte 12 měsíců

Proč tak dlouho? Malware může být na webu přítomný týdny nebo měsíce dříve, než se projeví. Pokud potřebujete obnovit čistý stav, musíte mít zálohu ze dne před infekcí — ne ze včerejška.

Co záloha nezachová: mylné představy

Záloha není náhrada za bezpečnost

Záloha vám pomůže obnovit web po útoku. Nezabrání útoku samotnému. Weby bez bezpečnostních opatření bývají opakovaně napadány — a záloha z doby před útokem pomůže jednou, dvakrát. Pak začne být zdrojem frustrace, nikoli řešením.

Záloha nezachová SEO

Obnovení zálohy obvykle neobnoví vaše pozice ve vyhledávačích, pokud byl web po dobu infekce penalizovaný Googlem. SEO dopad útoku se řeší samostatně — žádostí o přezkum v Google Search Console.

Záloha nezachová reputaci

Pokud vaši zákazníci viděli phishingový obsah nebo podvodné přesměrování na vašem webu, záloha tento dopad nevymaže. Proto je rychlost reakce klíčová.

Postup obnovy WordPress webu ze zálohy krok za krokem

Pokud jste se dostali do situace, kdy obnova je nutná, postupujte takto:

1. Určete datum čisté zálohy

Zjistěte, od kdy jsou příznaky infekce viditelné — přesměrování, spam v GSC, upozornění od Google. Hledejte zálohu z doby těsně před tímto datem.

2. Stáhněte zálohu mimo web

Nikdy nespouštějte obnovu přímo na infikovaném webu. Stáhněte zálohu na lokální počítač a ověřte integritu souboru.

3. Obnovte na čistém prostředí

Pokud je to možné, obnovte zálohu nejdříve na staging serveru nebo lokálním prostředí. Ověřte, že web funguje a neobsahuje stopy infekce.

4. Změňte všechny přístupy

Před nasazením čistého webu změňte: FTP heslo, databázové heslo, WordPress admin heslo, hosting panel přístup. Útočník mohl získat přihlašovací údaje — pokud je nezměníte, vrátí se.

5. Nasaďte čistou verzi

Nahrajte čistý web na produkci a okamžitě nastavte zabezpečení (viz níže).

6. Aktivujte monitoring

Po obnově sledujte chování webu minimálně 7 dní. Zkontrolujte logy serveru, Google Search Console a výsledky bezpečnostního skenování.

Automatizace: Jak nastavit spolehlivé zálohování

Ruční zálohování je nespolehlivé — odkládá se, zapomíná se, dělá se nepravidelně.

Spolehlivé zálohování je automatické, pravidelné a monitorované. Klíčové parametry správně nastaveného zálohovacího systému:

  • Automatické spuštění bez nutnosti ruční akce
  • Notifikace při selhání zálohy (e-mail, SMS)
  • Oddělené cloudové úložiště mimo hosting
  • Ověření integrity zálohy po vytvoření
  • Retence — automatické mazání starých záloh podle nastavené politiky

SHIELD: Zálohy jako součást komplexní ochrany

Automatické denní zálohy s ukládáním mimo hosting jsou součástí našeho balíčku SHIELD — nepřetržitého monitoringu a preventivní péče o WordPress weby.

Místo abyste řešili zálohovací strategii sami (volba pluginu, nastavení cloudového úložiště, testování, monitoring), dostanete systém, který funguje od prvního dne — a který v případě problému umožňuje obnovu na konkrétní datum.

Shrnutí: Co si zapamatovat

Záloha WordPress webu je pojistka — ale musí být správně nastavená, aby fungovala ve chvíli, kdy ji skutečně potřebujete.

Klíčové zásady:

  • Zálohy ukládejte mimo hosting — cloudové úložiště je minimum
  • Zálohy pravidelně testujte — záloha bez ověření je jen iluze
  • Dodržujte pravidlo 3-2-1 — tři kopie, dvě média, jedna offsite
  • Uchovávejte zálohy dostatečně dlouho — infekce může být přítomna týdny
  • Záloha je doplněk bezpečnosti, nikoli náhrada

Chcete automatické zálohy s monitoringem bez starostí? Zjistěte více o balíčku SHIELD nebo nás kontaktujte.

Mohlo by vás zajímat