Как защитить сайт от взлома: базовая безопасность для малого бизнеса
«Кому нужен мой сайт-визитка» — самое опасное заблуждение про безопасность. Большинство взломов не нацелены на конкретную компанию: боты сканируют интернет подряд и ломают всё, где нашли дыру. Цель — не ваши данные, а ресурсы сервера: рассылать спам, майнить, размещать чужие страницы. Маленький сайт защищён ровно настолько, насколько вы об этом позаботились.
Кому и зачем это нужно
Взломанный сайт бьёт по бизнесу сразу с нескольких сторон:
- поисковики помечают сайт как опасный, и трафик обваливается;
- браузеры показывают посетителям красный экран с предупреждением;
- через сайт может утечь база клиентов и заявки;
- восстановление и чистка обходятся дороже, чем профилактика.
Как обычно взламывают
- Устаревшая CMS и плагины с известными уязвимостями.
- Простые и повторно используемые пароли — их подбирают перебором.
- Заражённые шаблоны и плагины из сомнительных источников.
- Открытые служебные страницы и доступы без ограничений.
База, которая закрывает большинство рисков
- Обновления. Держите CMS, тему и плагины актуальными — большинство дыр закрывают именно обновления.
- Пароли и 2FA. Длинные уникальные пароли и двухфакторная аутентификация в админке.
- Бэкапы. Регулярные копии, которые хранятся отдельно от сайта и реально восстанавливаются.
- SSL. Шифрование трафика по https — защищает данные форм и нужно для доверия.
- WAF. Сетевой экран для сайта отсекает типовые атаки и переборы до того, как они дойдут до сайта.
- Ограничение доступа. Закройте вход в админку по списку IP или дополнительным паролем.
Бэкап — это не «настроил и забыл». Раз в пару месяцев проверяйте, что копию реально можно развернуть. Нерабочий бэкап обнаруживается всегда в самый неподходящий момент.
Особенности популярных CMS
У WordPress основная зона риска — плагины: ставьте только нужные, из официального каталога, и удаляйте неиспользуемые. У Bitrix важно вовремя ставить обновления и не оставлять стандартные доступы. Любой CMS противопоказаны «нуленые» темы и модули — в них часто зашит вредоносный код.
Что делать, если сайт уже взломали
- Снимите сайт с публикации или закройте доступ, чтобы не заражать посетителей.
- Смените все пароли: админка, FTP, база данных, хостинг.
- Восстановите чистую копию из бэкапа до даты заражения.
- Обновите CMS и плагины, удалите лишнее.
- Проверьте сайт на вредоносный код и отправьте на перепроверку в Вебмастере.
Короткий чек-лист
- CMS и плагины обновлены.
- Пароли сложные, включена 2FA.
- Бэкапы делаются и проверены.
- Подключён SSL, сайт работает по https.
- Вход в админку ограничен.
Не уверены, что с защитой всё в порядке — поможем подобрать SSL, настроить бэкапы и закрыть базовые дыры, чтобы сайт не стал случайной жертвой ботов.
Подобрать SSL и защиту в CasperLab
Поможем подобрать решение под вашу задачу и рассчитаем стоимость без обязательств.
Подобрать SSL и защиту