Legan Studio
Все статьи
~ 5 мин чтения

Безопасность сайта: что должно быть из коробки в 2026

Минимальный уровень безопасности, который должен быть на любом коммерческом сайте: HTTPS, защита форм, бэкапы, обновления. Что критично, а что — паранойя.

  • сайт
  • безопасность
  • ИБ

«Зачем нам безопасность, мы же не банк?» — типовой вопрос малого бизнеса. Ответ простой: 80% инцидентов с сайтами случаются не из-за «целевой атаки», а из-за автоматических ботов, которые сканируют все сайты подряд и находят слабые места. Это случается с барбершопами, кофейнями, маленькими магазинами — везде, где сайт не подготовлен к минимальной защите.

Базовый уровень: что должно быть на любом сайте

Семь вещей, без которых не запускайте сайт:

1. HTTPS со свежим SSL-сертификатом

Нет HTTPS — нет современного сайта. Браузеры отмечают такие сайты как «небезопасные», и пользователи уходят. Кроме того, поисковики понижают такие сайты в выдаче.

Стоимость — обычно 0 рублей через Let's Encrypt с автообновлением. Если хостинг не поддерживает — это плохой хостинг.

2. Защита админки

Базовые меры:

  • Сложные пароли. Не «admin123», а 16+ символов с разными регистрами и спецсимволами.
  • Двухфакторная аутентификация для всех учёток админки.
  • Изменённый адрес админки. Если стандартный — ботам легко найти.
  • Лимит попыток входа. После 5 неудачных — блокировка IP на час.
  • Доступ только с определённых IP (если возможно).

Это закрывает 95% автоматических атак.

3. Антиспам и капча на формах

Если у вас есть форма обратной связи без защиты, через неделю в почте будет 50–200 спам-сообщений в день. Через месяц — 500. Через два — почта забита, реальные сообщения теряются.

Решения:

  • Honeypot-поле. Скрытое поле, которое люди не заполняют, а боты — да. Простое и эффективное.
  • CAPTCHA (Yandex SmartCaptcha, hCaptcha, Cloudflare Turnstile). Современные капчи в 99% случаев пользователей не беспокоят.
  • Rate limiting. Не больше 3 заявок с одного IP в минуту.

Это закрывает 99% спама.

4. Регулярные бэкапы

Самое недооценённое. Если сайт сломан / взломан / случайно удалён — бэкап спасёт.

Минимум:

  • Ежедневные автоматические бэкапы. Не «когда вспомним».
  • Хранение в нескольких местах. Не на том же сервере. Облако / другой VPS.
  • Регулярная проверка восстановления. Раз в квартал пробуйте развернуть бэкап на тестовом сервере. Иначе через год обнаружите, что бэкапы битые.
  • Хранение 30+ дней истории. Иногда взлом обнаруживается через 2 недели; нужен старый бэкап.

Стоимость — 1–5 тыс. рублей в месяц. Без этого можно потерять весь сайт за один час.

5. Регулярные обновления CMS и плагинов

Большинство взломов случается через известные уязвимости в неактуальном WordPress/1С-Битриксе/плагинах.

Правило: каждый месяц проверяете обновления, накатываете критичные фиксы безопасности в течение недели после выхода.

Если у вас сайт на старой версии CMS, и обновлять страшно — это уже первая красная лампочка. Обновление обязательно, делается с подрядчиком и предварительным бэкапом.

6. Защита от DDoS базового уровня

Полноценная защита от DDoS — отдельная история. Но базовая защита от случайных атак ботов должна быть:

  • Облачный CDN с защитой (Cloudflare, Selectel, Yandex Cloud);
  • Rate limiting на уровне сервера;
  • Базовый файервол.

Это не защитит от целевой атаки на 100 ГБит, но закроет 90% «фоновых» атак, которые ежедневно ходят по интернету.

7. Заголовки безопасности

В 2026 году стандартом считаются заголовки:

  • Strict-Transport-Security — принудительный HTTPS;
  • Content-Security-Policy — защита от XSS;
  • X-Frame-Options: DENY — защита от кликджекинга;
  • X-Content-Type-Options: nosniff — защита от MIME-атак;
  • Referrer-Policy — контроль реферера.

Настраивается один раз на уровне сервера или CDN. Большинство современных хостингов делают это автоматически.

Расширенный уровень: для коммерческих сайтов с оплатами

Если у вас принимаются деньги, добавляется:

  • PCI-DSS совместимый эквайринг. Не храните данные карт у себя — используйте проверенные шлюзы (CloudPayments, ЮKassa, Тинькофф).
  • Логирование всех действий. Кто что делал, когда, с какого IP.
  • Мониторинг подозрительной активности. Уведомления на странные транзакции, массовые регистрации, попытки взлома.
  • Шифрование чувствительных данных в БД (паспортные данные, коды доступа и т.п.).
  • Регулярный аудит силами специалиста по ИБ.

Стоимость такого уровня — 50–200 тыс. рублей в год сверх базового.

Что НЕ нужно (паранойя)

Несколько вещей, которые часто продают «для безопасности», но малому бизнесу не нужны:

  • Дорогие WAF (Web Application Firewall) от 100 тыс. ₽/мес. Хватает Cloudflare за 0–2 тыс. ₽/мес.
  • Penetration testing раз в квартал для лендинга. Это для банков, не для барбершопа.
  • Аппаратные токены доступа для всех сотрудников. Двухфакторка через приложение — достаточно.
  • «Защита от всего» от продавцов антивирусов. В большинстве случаев это маркетинг.
  • Изоляция в собственном дата-центре. Облака надёжнее и дешевле.

Тратить 30% годового бюджета на безопасность лендинга — нерационально. 5–10% — нормально.

Реальные риски для МСБ

По нашему опыту, 90% инцидентов — это:

  • Спам в формах (50% случаев). Решение — антиспам.
  • Взлом админки через слабый пароль (15%). Решение — 2FA + сложные пароли.
  • Заражение сайта через старый плагин (15%). Решение — обновления.
  • Потеря данных из-за ошибки сотрудника (10%). Решение — бэкапы + права.
  • DDoS от случайных ботов (5%). Решение — CDN.
  • Целевая атака (менее 5%). Решение — комплексная защита.

То есть для большинства МСБ хватает базового уровня из 7 пунктов выше. Это закрывает 95% реальных рисков.

Что делать после инцидента

Если случилось — паника не помогает. Простой алгоритм:

  1. Изолировать. Снять сайт с публики на время разбора.
  2. Зафиксировать. Скриншоты, логи, точное время.
  3. Восстановить. Из чистого бэкапа, не из «слегка изменённого».
  4. Найти причину. Какая дыра использовалась.
  5. Закрыть. Обновление, патч, замена пароля, что нужно.
  6. Проверить. Убедиться, что всё чисто, нет вторичных закладок.
  7. Уведомить. Если утекли персональные данные — обязанность по 152-ФЗ уведомить РКН и пострадавших.

В большинстве случаев восстановление занимает 2–8 часов при наличии бэкапов и понимании, что произошло. Если бэкапов нет — это катастрофа, которую можно было бы предотвратить за 2 тыс. рублей в месяц.

Главное

Безопасность сайта — это не «дополнительная функция», это базовая гигиена. Базовый набор закрывается за 1 рабочий день и стоит 5–15 тыс. рублей в месяц. Без него вы рискуете потерять сайт, репутацию и данные клиентов в любой момент.

Если у вас сайт уже работает, и вы не уверены, что закрыто — потратьте 2 часа и пройдитесь по списку выше. С большой вероятностью обнаружится 2–3 пробоя, которые надо чинить срочно. Это в разы дешевле, чем чинить последствия.

Похожие статьи