STUDIO 1
безопасность

Безопасность сайта: базовые правила

Э
Эдуард Игнатьев · Основатель STUDIO 1
·7 мин чтения

Взломанный сайт - это не только испорченная репутация, но и потерянные данные, заблокированный домен в поиске и письма от клиентов о том, что их браузер показывает предупреждение. Большинство взломов происходит не из-за хитрых хакеров, а из-за простых упущений: устаревший плагин, слабый пароль, отсутствие бэкапа. Разберём базовые правила, которые закрывают почти все типичные риски и не требуют быть инженером по безопасности.

Поделиться:
01

Обновления - самая частая дыра

Подавляющее большинство взломов сайтов на готовых движках происходит через уязвимости в устаревших версиях CMS, плагинов и тем. Обновление закрывает известную дыру до того, как её используют боты.

Боты сканируют интернет автоматически и ищут сайты с конкретными старыми версиями. Вам не нужно быть кому-то интересным, чтобы стать целью, достаточно иметь незакрытую уязвимость.

Практика простая: обновляйте ядро, плагины и тему регулярно, а не раз в год. Перед обновлением делайте бэкап, чтобы откатиться, если что-то сломается.

Удаляйте плагины и темы, которыми не пользуетесь. Неактивный, но установленный плагин всё равно остаётся точкой входа.

02

Бэкапы - ваша страховка

Бэкап не предотвращает взлом, но превращает катастрофу в неудобство. Если есть свежая копия, восстановление занимает часы, а не недели.

Хороший бэкап отвечает трём требованиям:

  • Регулярность - автоматически, по расписанию, а не когда вспомните.
  • Отдельное хранилище - копия лежит не на том же сервере, что и сайт, иначе при сбое сервера вы теряете и сайт, и бэкап.
  • Проверка восстановления - хотя бы раз попробуйте развернуть копию, чтобы убедиться, что она рабочая, а не пустой архив.

Храните несколько последних копий, а не одну. Если взлом заметили не сразу, единственный свежий бэкап может уже содержать заражённые файлы.

03

Пароли и доступы

Слабый или повторно используемый пароль - вторая по частоте причина взлома после устаревшего софта. Один пароль admin или 123456 на админке открывает сайт за секунды перебора.

Используйте длинные уникальные пароли и менеджер паролей, чтобы их не запоминать. Длина важнее сложности символов.

Включите двухфакторную аутентификацию на админке и в панели хостинга. Даже украденный пароль без второго фактора бесполезен.

Не давайте всем полный доступ. У подрядчика, который правит тексты, не должно быть прав администратора. Удаляйте учётки людей, которые больше не работают с сайтом.

Смените стандартный логин admin на что-то непредсказуемое - это убирает половину автоматических атак подбором.

04

SSL и безопасное соединение

SSL-сертификат (адрес начинается с https и показывает замок) шифрует данные между посетителем и сайтом. Без него пароли и данные форм передаются открытым текстом.

Сегодня это не опция, а норма: браузеры помечают сайты без https как небезопасные, а Google понижает их в выдаче.

Базовый сертификат Let's Encrypt бесплатен и автоматически продлевается у большинства хостингов. Платный сертификат нужен редко, в основном крупному бизнесу.

Проверьте, что весь сайт работает по https, а не только часть страниц. Смешанный контент (часть по http) ломает замок и вызывает предупреждения.

05

Мониторинг - заметить раньше, чем клиенты

Худший сценарий - узнать о взломе от клиента или из письма Google о том, что сайт раздаёт вредонос. К этому моменту ущерб уже нанесён.

Настройте мониторинг доступности: сервис, который проверяет сайт каждые несколько минут и пишет вам, если он упал или начал отдавать ошибки.

Подключите сайт к Google Search Console - она присылает уведомления о заражении, проблемах безопасности и блокировках.

Сканер на изменение файлов или плагин безопасности заметит, если на сайте внезапно появились чужие файлы или код. Раннее обнаружение сокращает ущерб в разы.

06

С чего начать прямо сейчас

Не нужно делать всё сразу. Начните с того, что закрывает максимум риска при минимуме усилий.

Первый шаг - убедитесь, что есть автоматический бэкап в отдельное хранилище. Это ваша подушка безопасности на случай любой ошибки.

Второй - обновите всё устаревшее и удалите ненужные плагины и темы.

Третий - смените слабые пароли, включите двухфакторную аутентификацию и проверьте https. Эти три шага закрывают большинство реальных угроз для типичного сайта малого бизнеса.

FAQ

Как часто нужно обновлять сайт?+

Критические обновления безопасности ставьте сразу после выхода, остальные - регулярно, хотя бы раз в месяц. Главное правило: перед обновлением сделайте бэкап, чтобы спокойно откатиться, если что-то сломается.

Достаточно ли бесплатного SSL от Let's Encrypt?+

Для большинства сайтов да. Он даёт то же шифрование, что и платные сертификаты, и автоматически продлевается. Платный сертификат с расширенной проверкой нужен в основном крупному бизнесу и финансовым сервисам.

Что делать, если сайт уже взломали?+

Снимите сайт с публикации или включите режим обслуживания, смените все пароли, восстановите чистую копию из бэкапа до даты заражения, затем обновите весь софт и закройте дыру, через которую вошли. Если бэкапа нет, нужна помощь специалиста по очистке.

Поделиться:

Читайте также

Обсудим ваш проект

Отправьте короткое описание задачи, мы вернёмся в течение одного рабочего дня с бесплатным расчётом.