[NÁVOD] Proč se vám vyplatí používat Google Tag Managera a jak si ho na webu zabezpečíte

Monika Holoušová

-

29.6.22

-

čtení na 12 minut

Chcete měřit chování vašich zákazníků a posouvat svůj byznys. Na svém webu tak máte nasazené Google Analytics, Hotjar a nejspíš i pár dalších měřících kódů jako je například Facebook (Meta) Pixel. Všechny přitom můžete administrovat v jednom nástroji. My to děláme v Google Tag Manageru a učíme to i naše klienty. Přečtěte si, na co si při jeho používání dát pozor a zda je bezpečný i pro váš web.

Všechny měřící kódy nasazené do webu potřebujete efektivně a bezpečně spravovat. Existuje několik nástrojů, které vám s tím pomůžou: Google Tag Manager, Matomo, Segment. 

Případně můžete vkládat měřicí kódy rovnou do stránky a doufat, že se v nich i za pár let vyznáte.

Tuhle variantu vám nedoporučujeme.

Zabírá čas, energii a peníze. Zbytečně.

My v House našim klientům doporučujeme a měření nastavujeme v Google Tag Manager.  Pokud totiž dodržujete základní pravidla, je to bezpečný a spolehlivý nástroj. Pojďme se spolu podívat na největší rizika, která vám s implementací Google Tag Manageru hrozí, a jak jim předcházet.

Proč dává smysl mít na webu Google Tag Manager

1. Šetří čas napříč týmem

Tento nástroj ušetří čas jak vašemu marketingovému týmu, tak vývojářům. 

→ Markeťáci si díky němu mohou nasazovat měřící kódy částečně sami.

→ Často přetížení vývojáři nemusí hledat kapacity na správu měření.

Kódy pro velké množství platforem správce využije z připravené šablony v Google Tag Manageru. Takže stačí vědět, co chcete měřit, zbytek už si navolíte v galerii.
A pokud si nevyberete z šablony, vložíte si vlastní HTML značku a do ní umístíte kód. Šablony jsou tedy nejjednodušší způsob, zároveň má ale GTM i jiné možnosti.

2. Zjednodušuje údržbu kódů

Výhodou je i přehlednost v údržbě marketingových a analytických kódů. Všechny je totiž máte na jednom místě a kdykoliv je pozastavíte, odstraníte z webu, upravíte nebo doplníte o měření dalších událostí či chování zákazníků

3. Změny měření jsou s ním bezpěčnější

Bezproblémová je i změna kódu – díky Debug Mode Google Tag Manageru lze funkčnost nového kódu snadno a rychle otestovat. V GTM navíc zůstanou uloženy všechny předchozí verze měřících kódů. Takže pokud se vám neosvědčí aktuální verze a budete se chtít vrátit k některé předchozí, stačí ji pouze publikovat.

Bezpečnostní mezery při používání Google Tag Manageru

Samotný Google Tag Manager je bezpečný. Nicméně jako u spousty jiných nástrojů
i tady plynou případná rizika ze samotného obsahu GTM. Pro celkovou bezpečnost vašeho webu je rozhodující:

  • co za scripty do Google Tag Manageru umístíte,
  • komu dáte práva publikovat nasazené měřící kódy
  • a do jaké míry máte nad oprávněními kontrolu. 

Jaká jsou tedy největší rizika spojená s používáním Google Tag Manageru?

Potenciální chyby markeťáka nebo analytika

Jednou z příčin, které mohou negativně ovlivnit fungování webu, je přehlédnutí problému správcem Google Tag Manageru. Pokud například váš markeťák nerozumí scriptům, snadno při přidání kódu přehlédne error, který ho upozorňuje na vzniklé potíže.

Chybu samozřejmě může udělat i zkušenější uživatel GTM. Například analytik při nasazení vlastního scriptu dostatečně neotestuje jeho funkčnost a nepřijde na chybu, kvůli které se zpomalí celý web. 

Riziko lidské chyby tu je jednoduše vždy. Nicméně platí, že čím větší zkušenosti má uživatel s Google Tag Managerem a měřícími scripty, tím spíš nedojde k podobným problémům.

Umístění škodlivého scriptu

S pomocí GTM můžete na váš web vkládat skripty různých poskytovatelů, a to jak využítím připravených šablon, tak vytvořením vlastních HTML značek

Někteří poskytovatelé jsou důvěryhodní a někteří méně. 

A pokud budete na web vkládat skripty z pochybných webů, koledujete si o průšvih. 

Příklad:
V praxi jsme se setkali s případem, kdy klient testoval neověřený nástroj. Provozovatel ho ale časem zrušil a vlastnictví domény dále neprodlužoval. Volnou doménu pak koupil zlomyslný útočník a nasazoval na web klienta reklamní bannery na čínské výrobky.

Podobné problémy si můžete samozřejmě způsobit i bez Google Tag Manageru
– pouze skript umístíte přímo do HTML stránky. Nicméně z našich zkušeností se podobné problémy častěji týkají pochybných marketingových nástrojů, které se nejčastěji umisťují právě přes GTM.

Cílený útok na web

Lidé s vysokým oprávněním v GTM mohou s webem provádět velké množství úprav. Problém nastává, když vysoká práva získá někdo neoprávněně. K tomu může dojít dvěma způsoby: 1) účet mu nasdílíte, 2) napadne zranitelný účet nějakého oprávněného uživatele.

Co pak může takový zlomyslný uličník provést s vaším webem? Nejčastěji jeden
z těchto problémů:

  • vloží prvky, které tam nepatří: třeba video nebo obrázek, který vás může poškodit,
  • smaže některé prvky: takové tlačítko pro “Dokončit objednávku” na webu určitě chcete,
  • přesměruje váš web na konkurenci: v našem případě by to bylo třeba na web jiného významného rodu, nicméně výsledek je stejný jako třeba u e-shopu
    – potenciální klienti nás nenajdou a nenakoupí naše zboží/služby,
  • přečte cookies vašich uživatelů: to nezní až tak tragicky, že? Pokud ale vaši programátoři nemají zabezpečené cookies, může se útočník dostat až do administrace webu se všemi oprávněními. A třeba smazat obsah webu.

Jste stále v klidu?

Ne?

Výborně, čtěte dál.

Jak snížit bezpečnostní rizika na minimum

Dodržováním několika jednoduchých pravidel snížíte rizika na minimum a vytěžíte výhody, které Google Tag Manager svým uživatelům přináší.

Pravidla bezpečnosti používání GTM jsme shrnuli do 4 bodů.

1. Přidělte vhodné role a oprávnění

Na úrovni účtu existují dva typy oprávnění – administrátor a uživatel. Administrátor může udělovat a odebírat oprávnění jednotlivým uživatelům, uživatel pak může dělat úpravy nastavení GTM.

Z pohledu bezpečnosti pak je klíčová akce „publikování” – to je akce, při které se změny v GTM zobrazí uživatelům webu.

  • Roli administrátora a práva publikovat dávejte pouze ověřeným uživatelům.
  • Všichni ostatní uživatelé musí mít roli „user” a oprávnění pro editace či schvalování změn (ale nikdy pro publikace).

Při tomto nastavení mohou uživatelé v GTM dělat nejrůznější úpravy. Než se ale projeví na webu, vždy projdou přes administrátora, který je zkontroluje a teprve poté publikuje.

Akce: V administraci GTM si zkontrolujte, kdo k němu má přístup a jaký má typ oprávnění.


2. Nastavte si dvoufázové ověření

Přihlášení pouze s pomocí uživatelského jména a hesla není bezpečné. 

Nikdy a nikde.

Do e-mailu, na sociální sítě, do bankovního účtu. A ani do Google Tag Manageru.

Všem našim klientům doporučujeme zapnout takzvané dvoufázové ověření. Jde
o další ověření identity – například zasláním kódu jako SMS, autentifikační aplikací na telefonu, některé platformy a aplikace umožňují i zadání bezpečnostního klíče či potvrzení výzvy v jiném zařízení. 

GTM využívá sms, autentifikační aplikaci a výzvy na telefonu a můžete si vybrat, která možnost je pro vás nejpohodlnější. Přímo Google navíc má svůj Authenticator, doporučujeme proto využít právě ten. Funguje na Androidu i iOSu a používat ho rovnou můžete i na přihlášení do Gmail, na Facebook, do administrace domény či hostingu a na další místa.

Dvoufázové ověření by měl být naprostý standard pro přihlášení ke všem službám, kde se dbá na bezpečnost.

Akce: Zkontrolujte, zda máte zapnuté dvoufázové přihlašování ke Google. Pokud ne, ihned si jej zapněte.

V nastavení pracovního prostoru GTM, kde je umístěn měřící kód (v takzvaném kontejneru), také doporučujeme vyžadovat dvoufázové ověření „pro určité operace”. Pojistíte si tím potenciálně rizikové akce, jako jsou například změna uživatelského oprávnění či editace javascriptové značky a HTML značky.

3. Využívejte jen šablony a scripty ověřených poskytovatelů

Pokud na svůj web nasazujete prostřednictvím GTM například Google Analytics,
z galerie šablon vybírejte jen ty, které vytvořil přímo Google, případně volte jiné autory, které opravdu považujete za důvěryhodné.

Stejným způsobem vybírejte i šablony pro značky marketingových či affiliate platforem nebo vytvářejte vlastní HTML značky. Oficiální šablony platforem bývají ověřené, bezpečné a jejich používáním předejte riziku zavlečení problematického scriptu do webu.

Akce: Projděte si v GTM všechny značky na webu. Zamyslete se nad tím, jestli je daná značka důvěryhodná a jestli ji stále využíváte. Pokud ne, odstraňte ji.

4. Použijte server-side Google Tag Manager

Pokud vám kromě bezpečnosti správy měřících kódů leží na srdci i bezpečnost přenosu osobních údajů uživatelů vašeho webu, zvažte možnost implementace server-side Google Tag Manageru. 

Mimo jiných předností budete díky server-side GTM moci o datech poskytovaných třetím stranám rozhodovat výhradně vy. Pokud nebudete chtít posílat některá data do Google Analytics (například IP adresy), díky server-side měření budete mít jistotu, že se nic takového nestane.

Správné měření server-side vyžaduje znalosti, čas analytiků i programátorů
a samozřejmě náklady na provoz. Doporučujeme ho proto řešit hlavně ve chvíli, kdy je pro vás nezbytná bezpečnost na nejvyšší možné úrovni – nutnost je to například pro banky a podobné instituce.

Výhody i nevýhody server-side GTM jsme sepsali v článku Co to je server-side měření. Přečtěte si, zda pro vás má smysl a kdy se nevyplatí.

Pár kroky dostanete zabezpečení svého GTM na profi úroveň

Popsaná bezpečnostní pravidla nejsou 100% zárukou, že se vám nikdy nikdo nenabourá do webu či používaných nástrojů. To v online světě bohužel zaručit nemůžeme.

Pokud se ale budete při používání Google Tag Manageru chovat obezřetně, oprávnění udělíte jen povolaným (a kompetentním) lidem, využijete šablony
a scripty z ověřených zdrojů
a podniknete další kroky k zabezpečení osobních údajů vašich uživatelů, nemusíte mít z používání Google Tag Manageru obavy.

Právě naopak, usnadní vám spoustu práce.

>> Pomozte nám zvýšit bezpečnost na internetu a sdílejte tento článek. <<

Nejste si jistí zabezpečením svého Google Tag Manageru, nebo ho chcete na web bezpečně nasadit a nevíte jak na to?

Dejte nám vědět! Náš tým zkušených analytiků vám pomůže s nastavením měřících kódů, jejich kontrolou i implementací do webu.

analytics@houseofrezac.com