Безопасность сайта: защита от взлома и утечек
Почему безопасность сайта критически важна
Каждый день в мире взламывают тысячи сайтов. Малый бизнес — основная мишень: владельцы считают, что их сайт никому не интересен, и не уделяют внимания защите. В результате — утечки данных клиентов, вирусы на сайте, попадание в чёрные списки поисковых систем, потеря SEO-позиций.
Основные угрозы
Брутфорс (перебор паролей)
Боты автоматически подбирают логин и пароль к админке. WordPress-сайты атакуются через /wp-login.php. Защита: сложные пароли, ограничение попыток входа, двухфакторная аутентификация.
SQL-инъекции
Злоумышленник внедряет SQL-код через формы и параметры URL. Получает доступ к базе данных: логины, пароли, данные клиентов. Защита: параметризованные запросы, валидация входных данных.
XSS (межсайтовый скриптинг)
Внедрение вредоносного JavaScript в страницы сайта. Позволяет красть cookies, перенаправлять пользователей, подменять контент. Защита: экранирование выходных данных, Content Security Policy.
Уязвимости плагинов
Устаревшие плагины WordPress — главный вектор атак. 98% уязвимостей WordPress связаны с плагинами и темами. Защита: регулярные обновления, удаление неиспользуемых плагинов.
DDoS-атаки
Массовые запросы к серверу, приводящие к недоступности сайта. Защита: Cloudflare или аналогичные сервисы, CDN, rate limiting.
Чек-лист безопасности сайта
Базовый уровень (обязательно)
- SSL-сертификат установлен (HTTPS)
- Пароли сложные (12+ символов, буквы + цифры + спецсимволы)
- WordPress, тема и все плагины обновлены до последних версий
- Логин администратора — не «admin»
- Неиспользуемые плагины и темы удалены
- Автоматические бэкапы настроены
- PHP обновлён до актуальной версии
Продвинутый уровень
- Двухфакторная аутентификация (2FA) для администраторов
- Ограничение попыток входа (Limit Login Attempts)
- Файрвол веб-приложений (WAF) — Wordfence или Sucuri
- Скрыт /wp-admin/ (изменён URL входа)
- Отключена регистрация пользователей (если не нужна)
- Заголовки безопасности: X-Frame-Options, X-Content-Type-Options, CSP
- Отключено редактирование файлов из админки (DISALLOW_FILE_EDIT)
Профессиональный уровень
- Мониторинг целостности файлов
- Логирование действий администраторов
- Регулярный аудит безопасности (1 раз в квартал)
- Fail2ban для защиты от брутфорса на уровне сервера
- Изоляция контейнеров (Docker) на VPS
Плагины безопасности для WordPress
- Wordfence — WAF + сканер уязвимостей + мониторинг трафика (бесплатная + Pro версия)
- Sucuri Security — сканер вредоносного кода + WAF (облачный)
- iThemes Security — комплексный набор настроек безопасности
- All In One WP Security — бесплатный, хороший базовый набор
Что делать, если сайт взломали
- Немедленно смените все пароли (админка, FTP, БД, хостинг)
- Восстановите сайт из чистого бэкапа
- Обновите WordPress, все плагины и тему
- Просканируйте файлы на вредоносный код
- Проверьте Google Search Console на предупреждения о вредоносном ПО
- Установите плагин безопасности и настройте защиту
Хотите защитить свой сайт? Обращайтесь в DZ Digital — проведём аудит безопасности и настроим комплексную защиту.
Мой сайт маленький — его точно будут атаковать?
Да. Атаки автоматизированы: боты сканируют миллионы сайтов в поисках уязвимостей. Взломанный сайт используют для рассылки спама, размещения вредоносного кода, перенаправления на мошеннические сайты. Размер бизнеса не имеет значения для ботов.
Сколько стоит аудит безопасности?
Базовый аудит (проверка настроек, обновлений, известных уязвимостей) — 10 000–30 000 руб. Глубокий аудит с тестированием на проникновение — 50 000–200 000 руб. Рекомендуем проводить базовый аудит минимум раз в полгода.
Wordfence или Sucuri — что выбрать?
Wordfence работает на вашем сервере — бесплатная версия хороша, но нагружает хостинг. Sucuri — облачный WAF (трафик идёт через их серверы) — не нагружает хостинг, но платный. Для shared-хостинга лучше Sucuri, для VPS — Wordfence.