Popis
Konzultace v oblasti bezpečnosti webových projektů z pohledu vývojáře. Provedu tě rizikovými místy tvého webu nebo aplikace, vysvětlím, kde typicky vznikají problémy, a navrhnu konkrétní kroky, jak weby a servery zabezpečit lépe. Bavíme se o reálné praxi, ne o teorii ze školení.
Nejsem certifikovaný auditor ani pentester. Tato služba je praktickým poradenstvím od vývojáře, který bezpečnost řeší denně na vlastních i klientských projektech.
S čím pomůžu
Zabezpečení WordPressu Tvrzení (hardening) WordPressu, výběr a konfigurace bezpečnostních pluginů, ochrana wp-admin, dvoufaktorová autentizace, omezení přihlášení, kontrola pluginů a šablon, skrytí citlivých informací, správné nastavení uživatelských rolí.
Ochrana proti běžným útokům Brute-force na přihlašovací formuláře, SQL injection, XSS, CSRF, nahrávání škodlivých souborů, enumerace uživatelů a další klasiky z OWASP Top 10 v praxi.
DDoS a aplikační útoky Vysvětlím rozdíl mezi síťovými a aplikačními útoky, jaké jsou možnosti obrany na úrovni hostingu, CDN, reverse proxy a aplikace samotné. Doporučím konkrétní nástroje a nastavení podle velikosti projektu.
Konfigurace serveru a hostingu HTTPS a TLS konfigurace, HTTP security headers (HSTS, CSP, X-Frame-Options a další), nastavení nginx/Apache, oprávnění souborů, izolace prostředí, fail2ban, firewall.
Zálohy a obnova Strategie záloh, kam zálohovat, jak často, jak ověřit, že záloha je funkční, postup obnovy po incidentu (napadení, ransomware, smazání).
Po incidentu Co dělat, když je web napadený nebo defacnutý, jak najít vstupní bod, jak vyčistit nákazu, jak předejít opakování. Včetně toho, jak komunikovat s hostingem a uživateli.
Doménová a e-mailová bezpečnost SPF, DKIM, DMARC, MTA-STS, BIMI, DNSSEC a další záznamy, které chrání tvou doménu před zneužitím a phishingem.
Monitoring a detekce Co monitorovat, jaké signály jsou důležité, jak nastavit upozornění na výpadky a podezřelé chování, nástroje pro sledování dostupnosti a integrity webu.
Pro koho je to vhodné
- Provozovatelé WordPress webů a e-shopů, kteří chtějí předejít napadení
- Vývojáři a malé týmy řešící bezpečnost vlastních nebo klientských projektů
- Majitelé webů po incidentu, kteří potřebují vyčistit web a zabezpečit ho do budoucna
- Firmy, které chtějí druhý pohled na to, jak je jejich web zabezpečený
Jak to probíhá
- Objednáš službu a stručně popíšeš projekt, technologii a co konkrétně řešíš (formulář nebo e-mail)
- Ozvu se a domluvíme se na formě konzultace, online, telefonicky nebo osobně
- Projdeme situaci, dostaneš srozumitelné vysvětlení a konkrétní doporučení, často včetně technických návrhů (konfigurace, pluginy, nástroje, postupy)
- V případě potřeby ti řeknu, kdy je vhodné objednat si profesionální penetrační test nebo bezpečnostní audit u specializované firmy
Co tato služba není
Toto není certifikovaný bezpečnostní audit, penetrační testování ani forenzní analýza. Neprovádím útoky na infrastrukturu klienta a nevystavuji formální auditní zprávy podle ISO 27001 nebo jiných standardů. Jedná se o praktické poradenství z pozice vývojáře založené na znalosti běžných hrozeb a obranných opatření. Pro formální audit nebo penetrační test kontaktuj specializovanou firmu.




