Zadejte veřejnou adresu webu a získejte orientační přehled o HTTPS, SSL certifikátu, bezpečnostních hlavičkách, reputaci a phishing znacích. Výstup je formulovaný bezpečně: netvrdí „100% bezpečný web“, ale ukazuje zjevné signály a doporučení.
Čekám na zadání URL. Skóre 100 znamená nízké zjevné riziko podle dostupných kontrol, ne absolutní bezpečnost.
Výsledek se zpracuje lokálně v prohlížeči. Historie ukládá posledních 10 veřejně kontrolovaných URL přes localStorage, neposílá se nikam mimo tento nástroj.
Po první kontrole se zde zobrazí report bez hesel a bez obsahu stránky.
Průvodce ukáže hlavní serverové opravy pro HTTPS, HSTS, CSP, Referrer-Policy a Permissions-Policy. Po migraci na nový hosting stačí doplnit hlavičky podle možností serveru nebo přes PHP.
Pro běžný Apache hosting lze často použít pravidla v .htaccess. Některé levné hostingy část direktiv blokují, proto nástroj výsledek nebere jako absolutní chybu.
Když hosting nepustí serverová pravidla, lze část hlaviček posílat přes společný PHP bootstrap/header před výstupem HTML.
Po přechodu na lepší hosting doplnit přesnější CSP, dlouhé HSTS, Permissions-Policy a ověřit dopad v prohlížeči i ve Web Audit PRO.
Web Validator je první bezpečnostní filtr. Pro úplnější obrázek navazují další SecureVault nástroje a ověřovací služby, které řeší SEO, rychlost, strukturovaná data, phishing i technické hlavičky.
Title, meta description, canonical, sitemap, robots, Schema.org, obsah a Trust / Presence signály.
Otevřít SEO AuditDetailnější lokální kontrola odkazů, značek, domén, QR odkazů a textu e-mailu nebo SMS.
Otevřít Phishing CheckKontrola HTTPS, přesměrování, bezpečnostních hlaviček, cookie signálů a základní konfigurace.
Otevřít Web AuditCo dělat, když uživatel zadal heslo na podezřelé stránce: síla hesla, doporučení a bezpečné kroky.
Otevřít Password CenterVýkon stránky a Core Web Vitals patří mimo validaci URL. Ověřujte je samostatně ve specializovaném nástroji.
Otevřít PageSpeedValidace JSON-LD a rich výsledků je samostatná disciplína. Validátor ji nefalšuje jako běžné skóre.
Otevřít Rich ResultsNástroj kombinuje technické signály, reputační seznam a bezpečnostní heuristiku URL. Cílem je rychle říct, co je v pořádku, co chybí a kde zpozornět.
Délka, protokol, subdomény, podezřelá slova, IP místo domény, IDN/punycode a neobvyklé znaky.
Kontrola protokolu, dostupnosti portu 443 a základní informace o platnosti certifikátu.
HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy a Permissions-Policy.
Lokální blacklist/whitelist SecureVault a připravený prostor pro PhishTank, URLhaus, OpenPhish nebo Google Web Risk.
Slova jako login, verify, secure, pay, account nebo bank v neznámé doméně zvyšují opatrnost.
Výsledek po lopatě: co je OK, co je rizikové a jak má majitel webu postupovat při opravách.
Po validaci zde uvidíte přehled nálezů, doporučení a bezpečnou interpretaci výsledku.
API klíče nikdy nepatří do JavaScriptu. Externí reputační služby se mají volat pouze ze serverového PHP endpointu.
URL, HTTPS, certifikát, bezpečnostní hlavičky, DNS, cache, rate-limit a lokální blacklist/whitelist.
Volitelné serverové moduly pro PhishTank, URLhaus, OpenPhish feed nebo Google Web Risk.
Vlastní databáze nahlášených webů, ruční schválení, whitelist, monitoring a historie domén.
Nástroj neříká „web je 100% bezpečný“. Říká, zda byla nalezena zjevná rizika podle dostupných kontrol.
Výsledky musí být srozumitelné pro laiky a zároveň opatrné. Validátor je orientační kontrola veřejně dostupných signálů, ne ruční audit, právní posouzení ani penetrační test.
„Nebyla nalezena zjevná rizika podle dostupných kontrol.“ Neznamená to, že web je garantovaně bezpečný. Pořád je dobré ověřit doménu, obsah stránky a důvod, proč po vás web chce údaje.
„Některé signály nejsou ideální. Web nemusí být podvod, ale stojí za ověření.“ Typicky jde o chybějící hlavičky, podezřelou strukturu URL, slabší reputační signály nebo nejasný účel stránky.
„Odkaz vykazuje rizikové znaky. Doporučujeme zvýšenou opatrnost a nezadávat citlivé údaje.“ U plateb, hesel, banky, krypta nebo přihlášení raději odejděte a otevřete službu ručně z oficiální adresy.
„Odkaz byl nalezen v reputačním zdroji nebo lokálním blacklistu. Doporučujeme na něj neklikat.“ Takový nález má větší váhu než běžná heuristika, ale pořád je dobré počítat s možností false positive.
Když validátor ukáže střední nebo vysoké riziko, nejdůležitější je nezadávat údaje zbrkle. Tohle jsou kroky, které pomůžou uživateli i majiteli webu.
Pokud stránka působí podezřele, nezadávejte přihlašovací údaje, číslo karty, recovery seed, 2FA kód ani osobní doklady.
Adresu služby napište ručně do prohlížeče nebo ji otevřete ze záložky. Neklikejte na odkaz z e-mailu, SMS nebo chatu.
Podívejte se na HTTPS, hlavičky, přesměrování, neobvyklé subdomény a text stránky. U firemních webů porovnejte i kontakty a obchodní údaje.
Změňte heslo, odhlašte aktivní relace, zapněte 2FA, zkontrolujte e-mailové filtry a v případě platby kontaktujte banku.
Důvěryhodný nástroj musí jasně říkat i hranice své kontroly. Díky tomu nepůsobí jako falešný „certifikát bezpečnosti“, ale jako praktický orientační filtr.
Najde zjevné chyby v URL, HTTPS, certifikátu, bezpečnostních hlavičkách a reputačních signálech.
Neověřuje zdrojový kód aplikace, databázi, administraci, obchodní záměr provozovatele ani skryté kampaně.
Výsledek bez nálezu znamená jen to, že v dostupných kontrolách nebyly vidět zjevné problémy.
Nejlepší použití je rychlé ověření odkazu před kliknutím, platbou, přihlášením nebo sdílením dat.
Krátké odpovědi pro návštěvníky, kteří potřebují výsledek pochopit bez technických detailů.
Ne. HTTPS šifruje spojení, ale podvodný web může mít také platný certifikát. Je to důležitý signál, ne konečný verdikt.
Blacklist je seznam URL nebo domén, které byly označeny jako škodlivé, phishingové nebo rizikové. Nález má větší váhu než běžné varování.
Útočné kampaně často používají nové domény. Nový web ale nemusí být automaticky špatný, proto se výsledek skládá z více signálů.
Bezpečnostní hlavičky pomáhají prohlížeči bránit část útoků, například clickjacking, špatné načítání skriptů nebo downgrade na HTTP.