Aktualizace: Automatická blokace IP na Českém hostingu: kdy může váš e-shop přijít o produkty bez varování
Vydáváme aktualizovanou verzi článku z 12. května 2026 na základě e-mailové dohody s Českým hostingem a jejich doplňujících informací ze včerejšího komentáře. Více se dočtete v článku.
Rychlé odkazy: Co se kdy stalo | Příčina blokace | Lokální importní můstky | Jak informovat klienty | Google crawlery | User-Agent jako bezpečnostní prvek | Co dělat | Závěrečné doporučení
Co se kdy stalo
Původní článek vznikl ve chvíli, kdy jsme plnou technickou příčinu blokace ještě neznali. Níže uvádíme přehled událostí od loňského varování až po dnešek.
| Datum a čas | Událost |
|---|---|
| 22. 5. 2025 | Český hosting (kolega Bourek) upozorňuje, že z IP adresy 176.62.232.222 přicházejí požadavky bez HTTP hlavičky User-Agent na větší počet domén a serverů. Upravujeme skript, který byl příčinou. Importních můstků se úprava netýká, protože fungují beze změny. |
| Víkend 10. a 11. 5. 2026 | Klientce přestal fungovat importní můstek spuštěný z jejího počítače. E-shop zůstal bez produktů. |
| 12. 5. 2026, ráno | Naše IP adresa 176.62.232.222 opakovaně blokována. Kontaktujeme Český hosting přes online chat. |
| 12. 5. 2026, 9:12 | Zasíláme e-mail Českému hostingu. Popisujeme situaci u klientky i problémy s naší vlastní IP adresou. |
| 12. 5. 2026, 16:01 | Odpovídáme Českému hostingu: naše importní můstky upravíme. Upozorňujeme na obtíže s klientskými lokálními importy. |
| 12. 5. 2026, 16:56 | Český hosting (Pavel Krejča) vysvětluje příčinu: chybějící HTTP hlavička User-Agent. Blokace na jednom serveru trvá 1 hodinu, plošná déle. Odkazuje na e-mail z 22. 5. 2025. |
| 12. 5. 2026, cca 12:45 | Český hosting oznamuje odblokování. Při testování jsme nezjistili, že by k odblokování skutečně došlo. |
| 12. 5. 2026 | Publikujeme původní článek. Plánujeme aktualizaci do 7 dní po doplnění podrobností z e-mailové komunikace. |
| 18. 5. 2026 | Český hosting přidává komentář k článku. Žádá opravu nepřesností a uvádí technická upřesnění. |
| 18. 5. 2026 | Reagujeme na komentář. Potvrzujeme aktualizaci a vysvětlujeme, proč blokace bez varování zůstává problémem. |
| 18. 5. 2026, krátce poté | Volá další klient: lokální importní můstek přestal fungovat. Jeden počítač, jeden e-shop (server) na Českém hostingu. |
| 19. 5. 2026 | Publikujeme tento aktualizovaný článek. |
Co stojí za blokacemi
Příčinou blokace je chybějící nebo prázdná HTTP hlavička User-Agent v požadavcích, které importní můstek odesílá na server. Bez této hlavičky se požadavky vzorem podobají určitému druhu útočného provozu a aplikační firewall je automaticky zablokuje.
Tuto informaci potvrdil v e-mailové komunikaci Pavel Krejča ze zákaznické podpory Českého hostingu. Zároveň odkázal na upozornění, které nám kolega Bourek zaslal 22. 5. 2025.
Na tehdejší upozornění jsme reagovali, ale chybně jsme odhadli jeho rozsah. V roce 2025 byl problém identifikován na skriptu, který v naší správě kontroloval, zda jsou e-shopy klientů stále funkční, detekoval nefunkční nebo zbytečně zatěžující procesy na serverech, a to na serverech Českého hostingu i u jiných dodavatelských řešení. Paradoxně to, co bylo spuštěno za cílem snížení zátěže jejich serverů, způsobilo blokaci. Tento skript jsme upravili a hlavičku User-Agent do něj doplnili. Importní můstky přitom fungovaly beze změny celý rok a nevykazovaly žádný problém, takže jsme je nepovažovali za součást tehdejšího upozornění. Chybně jsme předpokládali, že pravidlo se týká výhradně chování onoho konkrétního skriptu. To byl náš omyl.
Další informace k blokaci z komunikace
V našem případě nastala plošná blokace, protože naše IP adresa přistupovala k importním můstkům pro velký počet e-shopů na různých serverech Českého hostingu, a to bez hlavičky User-Agent.
U klientky šlo o lokální blokaci: importní můstek běžel z jejího počítače na jediný e-shop. Zasažen byl jen jeden server. Blokace byla lokální, ale opakovaná, protože importní můstek se po hodině znovu pokoušel o připojení a celý cyklus se opakoval.
Opravit hlavičku User-Agent v našich vlastních importech není technicky náročné a po doručení vysvětlení jsme to udělali. Klientské lokální importy jsou ale jiný případ. O tom se více dozvíte v další sekci.
Lokální importní můstky jsou jiný problém
Opravit naše vlastní importní můstky tak, aby odesílaly hlavičku User-Agent, je technicky snadné. Opravit klientský lokální importní můstek je ale ve většině případů velmi obtížné nebo zcela nemožné, a přesně to je podstata problému, o který nám jde.
Důvody jsou tyto:
- Jde o odkoupené nebo uzavřené řešení. Klient může mít software zakoupený jako jednorázové řešení, které běží na jeho počítači. Výrobce ho neaktualizuje nebo je nedostupný. Přístup ke zdrojovému kódu neexistuje.
- Nemáme přístup k danému zařízení. Pokud nás klient aktivně nekontaktuje, nemůžeme se k jeho počítači vzdáleně připojit a nastavení opravit.
- Import probíhá automaticky na pozadí. Celý přínos lokálního importu spočívá v tom, že běží bez zásahu. Klient si nemusí výpadku včas všimnout.
Přesně tento scénář nastal u již zmiňované klientky (záměrně ji nejmenujeme): importní můstek fungoval roky bez problémů. Pak přestaly chodit aktualizace zboží a příčina nebyla na první pohled viditelná. Komunikace přitom probíhala výhradně mezi jejím počítačem a serverem Českého hostingu.
18. května 2026 nastala identická situace u dalšího klienta. Lokální importní můstek, spuštěný z jednoho zařízení, synchronizoval zboží do jednoho e-shopu na Českém hostingu. Blokace způsobila výpadek automatizace. Opět jedno zařízení, jeden server.
Tento druhý případ přichází krátce po prvním, přičemž obě situace se týkají rozsahu, kde jedno zařízení komunikuje s jedním serverem. Importní můstky tohoto typu fungovaly bez problémů dlouhou dobu. Zda Český hosting v poslední době nastavení zpřísnil, nevíme, ale zkušenosti ze dvou případů v krátkém úseku to naznačují.
Opravili jsme importy u klientů, o kterých víme. Kolik dalších klientů má lokální importní můstek, který tiše selhává, netušíme.
Jak klienty informovat, když se k nim nedostaneme
Tady naráží provoz na technický paradox. Pokud je importní můstek zablokován, nemůže se připojit k e-shopu a zapsat do něj chybové hlášení. E-shop nevykazuje žádnou chybu, protože zpráva o ní se k němu kvůli blokaci nikdy nedostala.
Výsledek: majitel e-shopu o problému neví, dokud si ručně neprojde katalog a nezjistí, že produkty zmizely, mají nulové stavy nebo je s nimi jiný problém.
Pracujeme na dvou úrovních řešení:
- Notifikace ze zařízení, na kterém importní můstek běží. Pokud import neproběhne po stanovenou dobu, má zařízení zaslat upozornění přímo klientovi. Toto opatření závisí na tom, zda konkrétní software tuto funkci podporuje a zda ho lze nastavit.
- Instrukce v notifikacích shop5.cz. Přidáváme do systémových upozornění doporučení: pokud import nefunguje a nenacházíte příčinu na naší straně, ověřte nejprve, zda vaši IP adresu neblokuje hosting. Kontaktujte hosting s dotazem na IP adresu, ze které import běží. Teprve poté hledejte problém u nás.
- Hledáme další řešení, které by nás informovalo o tom, že lokální importy neproběhly. Nebude to snadné, protože řada klientů má e-shop jako odkoupené samostatné řešení na vlastním serveru, kde nemáme přístup ani přehled.
Aktuální IP adresu zařízení, ze kterého import běží, lze ověřit jednoduše: přejděte na stránku mojeip.cz a IP si zkopírujte do dotazu na podporu Českého hostingu.
Rozumíme tomu, že Český hosting nemá zájem informovat každého klienta o každé zablokované IP adrese. Takové notifikace by pro tisíce zákazníků znamenaly zbytečný spam. Technické možnosti, jak klientům situaci zprůhlednit, ale existují. Přehled aktuálně zablokovaných IP přiřazených k účtu by mohl být součástí zákaznické administrace. Nebo jednoduchá stránka: klient se přihlásí, zadá IP adresu a okamžitě dostane odpověď, zda je blokována. Technicky jde o triviální operaci. Těchto možností je více a věříme, že by klientům i podpoře ušetřily čas.
Google crawlery: co testovací nástroje skutečně měří
V původním článku jsme uvedli, že nástroj bot.dejan.ai ukázal blokaci šesti Google crawlerů s HTTP kódem 403. Český hosting toto tvrzení ve svém komentáři zpochybnil a vysvětlil technický důvod.
Proč testovací nástroje vrátily 403
Nástroje jako bot.dejan.ai simulují Googlebot, ale posílají požadavky ze svých vlastních IP adres, nikoliv z IP adres Googlu. Aplikační firewall Českého hostingu blokuje požadavky, které se vydávají za Googlebot, ale nepocházejí z ověřených IP adres Googlu. Jde o standardní opatření proti útokům, při nichž útočníci falšují identitu Googlebotu.
Výsledky bot.dejan.ai jsme v den testování ověřili ještě samostatným skriptem. Ten rovněž vrátil 403. Náš skript ale posílal požadavky z naší IP adresy 176.62.232.222, nikoliv z Google serverů. V době testování byla navíc naše IP adresa v plošné blokaci. Výsledek byl tedy ovlivněn aktivní blokací naší adresy, nikoliv nutně blokací skutečného Googlebotu. Situaci nadále prověřujeme.
Přehled Google crawlerů a k čemu slouží
- Googlebot Desktop a Googlebot Smartphone: Hlavní crawlery pro indexaci Google Search. Google přešel na tzv. mobile-first indexing, tedy primární indexaci přes mobilní crawler. Oba typy ale zůstávají aktivní.
- Googlebot-Image: Zajišťuje indexaci obrázků pro Google Vyhledávání obrázků.
- Googlebot-Video: Zajišťuje indexaci videí.
- Googlebot-News: Zajišťuje indexaci obsahu pro Google Zprávy.
Jak ověřit přístup Googlebotu spolehlivě
Testovacích nástrojů může být více a přístup Českého hostingu ohledně blokování požadavků z jiných než Google adres může dávat smysl. Ale nemáme jednoznačný způsob, jak jejich tvrzení ověřit, protože Google Search Console při "okamžitém ověření" používá bota, který se v hlavičce identifikuje jinak (vlastní testy i internetové diskuze). Dále máme zkušenost, že serverové logy tyto agenty vůbec nezobrazovaly, případně zobrazily, ale měřicí nástroje na straně stránky je již neukázaly. Mohlo jít o chybu.
Nicméně nemáme teď přímý důkaz o tom, že k blokaci dochází. A tímto se za tvrzení, které jsme v původním článku uvedli, omlouváme. Pokud takový důkaz nalezneme, okamžitě ho zveřejníme a budeme s tím konfrontovat Český hosting.
Je blokace na základě chybějícího User-Agent účinná ochrana?
Tuto otázku si klademe na základě vlastní zkušenosti. Po incidentu v květnu 2026 jsme prošli přístupové logy z desítek serverů, které máme k dispozici po celém světě.
Výsledek: požadavky zcela bez hlavičky User-Agent tvoří jen malou část skutečného útočného provozu. Sofistikovanější útoky, skenování zranitelností, slovníkové útoky na hesla nebo DDoS provoz standardně User-Agent hlavičku odesílají. Mnohdy ji navíc záměrně nastavují jako běžný prohlížeč, aby prošly právě takovými filtry.
Jinými slovy: útočník, který chce skutečně napáchat škodu, si User-Agent nastaví. Chybějící User-Agent je dnes spíše příznakem špatně napsaného nebo staršího legitimního nástroje než příznakem reálné hrozby.
Z pohledu ochrany to znamená, že toto pravidlo postihuje především poctivé automatizační nástroje, importní skripty a monitoring, zatímco sofistikovaný útočník jím projde bez problémů. Nechceme Českému hostingu upírat právo chránit vlastní infrastrukturu před přetížením, ke kterému provoz bez User-Agent přispívá. Ale za bezpečnostní opatření, které reálně zastavuje útočníky, toto pravidlo nelze považovat.
Přidáme proto do dokumentace k našim importním nástrojům jasný požadavek na nastavení User-Agent hlavičky. Klientům, kteří provozují lokální importní software, doporučujeme totéž ověřit u svého dodavatele.
Co dělat, pokud váš importní můstek přestal fungovat
Postup záleží na tom, odkud váš importní můstek běží.
Importní můstek běží ze strany shop5.cz
Pokud máte e-shop hostovaný u Českého hostingu a importní můstky zajišťujeme my, mohlo dojít k dočasné blokaci. Naše importy jsme upravili tak, aby správně odesílaly hlavičku User-Agent. Pokud přesto narazíte na problém, napište nám na info@shop5.cz. V urgentním případě se pokusíme můstek spustit přes VPN s jinou IP adresou.
Importní můstek běží z vašeho počítače nebo serveru
- Ověřte, zda importní můstek stále běží a není zastavený.
- Přejděte na mojeip.cz a zjistěte aktuální IP adresu zařízení, ze kterého import běží.
- Kontaktujte zákaznickou podporu Českého hostingu a zeptejte se, zda je tato IP adresa blokována.
- Pokud je blokována, požádejte o odblokování. Zároveň zjistěte, zda váš software odesílá hlavičku User-Agent. Pokud ne, je potřeba ji doplnit nebo software upravit.
- Pokud úprava softwaru není možná (odkoupené nebo uzavřené řešení), požádejte Český hosting o vypnutí pravidla pro vaši doménu nebo virtuální server. Požadavek je třeba zaslat autorizovaně z účtu, pod který doména patří.
Nevíte, odkud váš importní můstek běží
Napište nám na info@shop5.cz. Zjistíme to společně a navrhneme postup.
Závěrečné doporučení
Naší chybou bylo, že jsme v roce 2025 nerozpoznali, že varování o chybějícím User-Agentovi se týká nejen tehdy upraveného skriptu, ale všech automatizovaných nástrojů. Importní můstky rok fungovaly, takže jsme je nepovažovali za problém. Výsledkem je situace z května 2026. To nelze zlehčovat.
Zároveň platí, co jsme uvedli v reakci na komentář Českého hostingu: blokace bez předchozího upozornění je reálný provozní problém, který se týká zejména lokálních importů na zařízeních klientů. A opakování tohoto problému i u importů v rozsahu jeden počítač, jeden server nás vede k tomu, že klientům budeme přechod na jiný hosting aktivně doporučovat.
Pokud vás tato situace přivedla k úvaze o přechodu, ozvěte se nám na info@shop5.cz. Naši vlastní hostingovou infrastrukturu provozujeme od května 2025. Přechod jsme schopni zajistit a rádi se pobavíme o podmínkách.
Na závěr si dovolím osobní poznámku. Když jsem v shop5.cz začínal, Český hosting byl spolehlivým partnerem a bez váhání jsem ho doporučoval. V posledních letech ale narážíme na čím dál více situací, které provoz e-shopů komplikují. Je mi to líto, protože v tom vidím zbytečnou zátěž pro klienty, kteří jen chtějí, aby jejich e-shop bezpečně fungoval.
Související články
| Název článku | Stáří | Shrnutí |
|---|---|---|
| Aktualizace: Nefunkční e-shop po migraci Active24? Co teď?! | starší než 3 měsíce | Co dělat, když e-shop přestane fungovat po přesunu na nové servery Active24. Popis nejčastějších příčin výpadků a jak postupovat. |
Článek vytvořen za pomoci umělé inteligence, ať máme více prostoru pro vás.
Komentáře k Aktualizace: Automatická blokace IP na Českém hostingu: kdy může váš e-shop přijít o produkty bez varování
Dobrý den,
jeden z našich klientů nás upozornil na Váš článek. Předně nás mrzí, že jste se setkali s problémy při provozu Vašich služeb, ale jsme zároveň rádi, že jsme Vám pomohli vyřešit problém nešťastně sestavených hlaviček na Vaší straně.
Automatická opatření, která zmiňujete ve Vašem článku, se týkají:
1. opakované komunikace s hlavičkami bez user-agent (Váš případ)
2. vydávání se za Google (tj. nástroj bot.dejan.ai, Google samozřejmě blokován není, a lze si to snadno ověřit na každém indexovaném webu provozovaném u nás)
Vaše komunikace byla blokována, protože jste se bohužel chovali jako útočníci. Po doplnění HTTP hlavička User-Agent z Vaší strany, byl problém vyřešen. Zároveň jsme Vás na nutnost doplnit user-agent upozornili již před rokem s varováním, že jinak může být provoz opět blokován.
Přijatá automatizovaná protiopatření proti útokům vychází z reality posledních let, kdy extrémně roste množství útoků na weby a další hostingové služby a je zcela nezbytné rychle vyvíjet a nasazovat protiopatření. Není bohužel možné čekat na vyřešení každé okrajové nestandardní situace, byť bychom byli rádi, kdyby to šlo. Znovu připomeneme, že jsme Vás přesně na tuto skutečnost upozornili již před rokem.
Chápeme i Vaši úvahu upozorňovat klienty na automatické blokace IP adres, ale z praktické zkušenosti to není možné ani účelné, protože útoků je tak obrovské množství, že bychom neustále SPAMovali vlastní klienty, a ti by tomu samozřejmě nevěnovali pozornost. Pro řešení Vaší konkrétní situace bychom doporučili zvážit doplnit do Vašich systémů jednak opatření doporučená před rokem a dále pak standardně reporting uživateli, pokud se nepovede nějaký vitální import/export po delší dobu než je očekáváno a to jak na straně odesílající, že se nepovedla daná úloha, tak na straně provozní, že neproběhla očekávaná aktualizace dat již delší dobu.
Věříme ve Vaši korektnost a že doplníte svůj článek i o naše vyjádření a napravíte mylné a zkreslené závěry.
Dobrý den, děkujeme za upřesnění. Do 24 hodin článek aktualizujeme, měli jsme to v plánu udělat i bez tohoto komentáře. Blokace IP bez jakéhokoli varování ale zůstává reálným rizikem: u importních můstků může během hodinového výpadku zmizet veškeré zboží „ze skladu“, aniž to majitel e-shopu pozná. Na tomto zásadním problému se nic nemění, protože u klienty se to stalo a komunikace byla jen mezi jejím počítačem a serverem (nešlo tom o více přístupů na jiné servery). Upozornění v systému na toto máme, ale hledat chybu, může být, velmi časově náročné, zvláště, když není na naší straně. Doplníme do notifikací pro naše klienty, i informaci, ať si ověří, že je neblokujete a pak teprve jdou za námi, ať hledáme problém u nás. Ohledně Google crawrela situaci ověřím, ale testoval jsem to ten den nejen pomocí zmiňovaného nástroje, ale i skriptu, abych ověřil výsledky zmiňovaného webu.
Dobrý den, ještě jednou... Článek jsme dle našeho plánu aktualizovali a doplnili o informace z vaší e-mailové komunikace i o časovou osu událostí. Opravujeme také tvrzení o blokaci Googlebotu z původního textu, kde jsme vycházeli z výsledků externího nástroje, nikoliv z přímého ověření. Za tuto nepřesnost se omlouváme. Naší chybou bylo, že jsme v roce 2025 chybně odhadli rozsah tehdejšího upozornění. Importní můstky jsme tehdy za součást problému nepovažovali. To řiznáváme.
Zároveň si stojíme za tím, co v aktualizovaném článku popisujeme: automatická blokace bez předchozího upozornění zůstává reálným provozním problémem, zejména u lokálních importů na zařízeních klientů, která nemůžeme vzdáleně spravovat ani monitorovat.
