Безопасность сайта: базовые правила
Взломанный сайт - это не только испорченная репутация, но и потерянные данные, заблокированный домен в поиске и письма от клиентов о том, что их браузер показывает предупреждение. Большинство взломов происходит не из-за хитрых хакеров, а из-за простых упущений: устаревший плагин, слабый пароль, отсутствие бэкапа. Разберём базовые правила, которые закрывают почти все типичные риски и не требуют быть инженером по безопасности.
Обновления - самая частая дыра
Подавляющее большинство взломов сайтов на готовых движках происходит через уязвимости в устаревших версиях CMS, плагинов и тем. Обновление закрывает известную дыру до того, как её используют боты.
Боты сканируют интернет автоматически и ищут сайты с конкретными старыми версиями. Вам не нужно быть кому-то интересным, чтобы стать целью, достаточно иметь незакрытую уязвимость.
Практика простая: обновляйте ядро, плагины и тему регулярно, а не раз в год. Перед обновлением делайте бэкап, чтобы откатиться, если что-то сломается.
Удаляйте плагины и темы, которыми не пользуетесь. Неактивный, но установленный плагин всё равно остаётся точкой входа.
Бэкапы - ваша страховка
Бэкап не предотвращает взлом, но превращает катастрофу в неудобство. Если есть свежая копия, восстановление занимает часы, а не недели.
Хороший бэкап отвечает трём требованиям:
- Регулярность - автоматически, по расписанию, а не когда вспомните.
- Отдельное хранилище - копия лежит не на том же сервере, что и сайт, иначе при сбое сервера вы теряете и сайт, и бэкап.
- Проверка восстановления - хотя бы раз попробуйте развернуть копию, чтобы убедиться, что она рабочая, а не пустой архив.
Храните несколько последних копий, а не одну. Если взлом заметили не сразу, единственный свежий бэкап может уже содержать заражённые файлы.
Пароли и доступы
Слабый или повторно используемый пароль - вторая по частоте причина взлома после устаревшего софта. Один пароль admin или 123456 на админке открывает сайт за секунды перебора.
Используйте длинные уникальные пароли и менеджер паролей, чтобы их не запоминать. Длина важнее сложности символов.
Включите двухфакторную аутентификацию на админке и в панели хостинга. Даже украденный пароль без второго фактора бесполезен.
Не давайте всем полный доступ. У подрядчика, который правит тексты, не должно быть прав администратора. Удаляйте учётки людей, которые больше не работают с сайтом.
Смените стандартный логин admin на что-то непредсказуемое - это убирает половину автоматических атак подбором.
SSL и безопасное соединение
SSL-сертификат (адрес начинается с https и показывает замок) шифрует данные между посетителем и сайтом. Без него пароли и данные форм передаются открытым текстом.
Сегодня это не опция, а норма: браузеры помечают сайты без https как небезопасные, а Google понижает их в выдаче.
Базовый сертификат Let's Encrypt бесплатен и автоматически продлевается у большинства хостингов. Платный сертификат нужен редко, в основном крупному бизнесу.
Проверьте, что весь сайт работает по https, а не только часть страниц. Смешанный контент (часть по http) ломает замок и вызывает предупреждения.
Мониторинг - заметить раньше, чем клиенты
Худший сценарий - узнать о взломе от клиента или из письма Google о том, что сайт раздаёт вредонос. К этому моменту ущерб уже нанесён.
Настройте мониторинг доступности: сервис, который проверяет сайт каждые несколько минут и пишет вам, если он упал или начал отдавать ошибки.
Подключите сайт к Google Search Console - она присылает уведомления о заражении, проблемах безопасности и блокировках.
Сканер на изменение файлов или плагин безопасности заметит, если на сайте внезапно появились чужие файлы или код. Раннее обнаружение сокращает ущерб в разы.
С чего начать прямо сейчас
Не нужно делать всё сразу. Начните с того, что закрывает максимум риска при минимуме усилий.
Первый шаг - убедитесь, что есть автоматический бэкап в отдельное хранилище. Это ваша подушка безопасности на случай любой ошибки.
Второй - обновите всё устаревшее и удалите ненужные плагины и темы.
Третий - смените слабые пароли, включите двухфакторную аутентификацию и проверьте https. Эти три шага закрывают большинство реальных угроз для типичного сайта малого бизнеса.
FAQ
Как часто нужно обновлять сайт?+
Критические обновления безопасности ставьте сразу после выхода, остальные - регулярно, хотя бы раз в месяц. Главное правило: перед обновлением сделайте бэкап, чтобы спокойно откатиться, если что-то сломается.
Достаточно ли бесплатного SSL от Let's Encrypt?+
Для большинства сайтов да. Он даёт то же шифрование, что и платные сертификаты, и автоматически продлевается. Платный сертификат с расширенной проверкой нужен в основном крупному бизнесу и финансовым сервисам.
Что делать, если сайт уже взломали?+
Снимите сайт с публикации или включите режим обслуживания, смените все пароли, восстановите чистую копию из бэкапа до даты заражения, затем обновите весь софт и закройте дыру, через которую вошли. Если бэкапа нет, нужна помощь специалиста по очистке.
