🌐 Сайты

Безопасность сайта: HTTPS, SSL и защита от взлома

С 2026 года HTTPS обязателен: без него браузеры помечают сайт как небезопасный, а поисковики снижают позиции. Разбираем настройку SSL, защитные заголовки, бэкапы и частые уязвимости — XSS, SQL-инъекции, брутфорс.

Денис Закаев, ИИ-архитектор, IDEA
Денис Закаев
ИИ-архитектор, IDEA
📅 5 июня 202610 мин👁
🔒
Короткий ответ

HTTPS обязателен для всех сайтов в 2026 году: без него браузеры помечают сайт как небезопасный, а поисковики снижают позиции. SSL-сертификат бесплатный через Let's Encrypt. Минимальный набор защиты: HTTPS + HSTS, защитные HTTP-заголовки, регулярные бэкапы, обновления CMS и плагинов, сложные пароли и 2FA.

Почему безопасность влияет на бизнес

Взломанный сайт — это не только техническая проблема. Это потеря доверия клиентов, утечка данных (с штрафами по 152-ФЗ), попадание в чёрные списки поисковиков и браузеров, просадка трафика на месяцы.

По данным Positive Technologies за 2025 год, доля взломов сайтов в РФ выросла на 35% год к году. Малый и средний бизнес — самая частая цель, потому что у него слабее защита. Самые популярные векторы атак:

  • брутфорс паролей администратора;
  • SQL-инъекции через формы;
  • XSS через поля ввода и комментарии;
  • эксплуатация устаревших плагинов и CMS;
  • DDoS-атаки на интернет-магазины.

Минимальная защита обходится в 0–30 тыс. ₽ и занимает 1–2 дня работ. Восстановление после взлома — от 50 тыс. ₽ и до нескольких месяцев потерянного трафика.

HTTPS и SSL: базовый уровень

Что такое HTTPS

HTTPS — это протокол HTTP поверх TLS/SSL, обеспечивающий шифрование трафика между браузером и сервером. Без HTTPS все данные (пароли, формы, cookies) передаются в открытом виде и могут быть перехвачены.

SSL-сертификат — это цифровой документ, который подтверждает, что сайт принадлежит указанной организации, и обеспечивает шифрование. Технически сейчас используется TLS, но термин SSL устоялся.

Виды SSL-сертификатов

ТипПроверкаПодходит дляЦена
DV (Domain Validation)Только доменБольшинство сайтовБесплатно (Let's Encrypt)
OV (Organization Validation)ОрганизацияИнтернет-магазиныот 5 000 ₽/год
EV (Extended Validation)РасширеннаяБанки, крупные проектыот 15 000 ₽/год
WildcardДля поддоменовСайты с поддоменамиот 3 000 ₽/год

Для 95% сайтов достаточно DV-сертификата от Let's Encrypt — он бесплатный, автоматически обновляется через Certbot, и его принимают все современные браузеры.

Настройка HTTPS

Минимальный чек-лист:

  1. Получите сертификат через Let's Encrypt (или хостинг-провайдера).
  2. Настройте перенаправление с HTTP на HTTPS (301-редирект).
  3. Включите HSTS — заголовок, заставляющий браузер всегда использовать HTTPS.
  4. Уберите смешанный контент (mixed content) — все ресурсы должны грузиться по HTTPS.
  5. Проверьте рейтинг SSL Labs (A или A+).

Пример конфигурации nginx для HSTS:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Подробнее о HSTS и других заголовках — в следующем разделе.

Защитные HTTP-заголовки

Заголовки — это инструкции браузеру, как обрабатывать страницу. Правильно настроенные заголовки закрывают целый класс атак.

ЗаголовокЧто защищаетПример значения
Strict-Transport-Security (HSTS)Принудительный HTTPSmax-age=31536000
Content-Security-Policy (CSP)От XSS и инъекций скриптовdefault-src 'self'
X-Frame-OptionsОт кликджекингаSAMEORIGIN
X-Content-Type-OptionsОт MIME-сниффингаnosniff
Referrer-PolicyУтечка URL через Refererstrict-origin-when-cross-origin
Permissions-PolicyДоступ к API браузераgeolocation=(), camera=()

Особенно важен CSP — Content Security Policy. Правильно настроенный CSP блокирует выполнение инородных скриптов и существенно усложняет XSS-атаки.

Частые уязвимости и защита

XSS (Cross-Site Scripting)

XSS — это внедрение злоумышленником JavaScript-кода в страницу, который выполняется в браузере других пользователей. Через XSS угоняют сессии, крадут данные, подменяют контент.

Защита:

  • экранируйте пользовательский ввод перед выводом (особенно в HTML-контексте);
  • используйте CSP;
  • в React/Vue/Angular экранирование по умолчанию — не отключайте его через dangerouslySetInnerHTML.

SQL-инъекции

SQL-инъекция — это внедрение SQL-кода через формы или параметры URL. Через неё злоумышленник может прочитать, изменить или удалить базу данных.

Защита:

  • используйте prepared statements (параметризованные запросы) во всех обращениях к БД;
  • никогда не склеивайте SQL-запрос из строк с пользовательским вводом;
  • ограничьте права пользователя БД (минимум необходимых).

Брутфорс паролей

Брутфорс — это перебор паролей к админке, обычно автоматизированными скриптами. Самый частый вектор взлома WordPress-сайтов.

Защита:

  • сложный пароль администратора (12+ символов);
  • двухфакторная аутентификация;
  • ограничение попыток входа (5 за 10 минут → блокировка на 15 минут);
  • смена стандартного логина admin на нестандартный;
  • ограничение доступа к /wp-admin по IP.

Эксплуатация устаревшего ПО

Уязвимости в CMS и плагинах публикуются регулярно. Если не обновлять — сайт взламывают через известные дыры за дни.

Защита:

  • обновляйте CMS и плагины не реже раза в месяц;
  • подписывайтесь на рассылки безопасности вашей CMS;
  • удаляйте неиспользуемые плагины (не отключайте, а удаляйте);
  • используйте плагины только из официальных каталогов.

Бэкапы — последняя линия обороны

Бэкап — это копия сайта, которая позволяет восстановиться после взлома, сбоя или случайного удаления. Правило 3-2-1:

ПараметрТребование
Копийминимум 3
Носителей2 разных (сервер + облако)
Вне офиса1 копия в другом дата-центре

Что включать в бэкап

  • файлы сайта (код, загрузки, конфиги);
  • дамп базы данных;
  • конфигурацию сервера (nginx, Apache, .htaccess);
  • SSL-сертификаты (опционально).

Как часто

  • интернет-магазин и сервис с активными пользователями — ежедневно;
  • корпоративный сайт и блог — раз в 2–3 дня;
  • лендинг и визитка — раз в неделю.

Бэкап без проверки восстановления — это не бэкап. Раз в месяц делайте тестовое восстановление на тестовом сервере, чтобы убедиться, что копия рабочая.

Мониторинг безопасности

Безопасность — не разовая настройка, а постоянный процесс. Минимальный мониторинг:

Что проверятьИнструментЧастота
SSL-сертификат (срок)SSL Monitor, настройки сервераеженедельно
Уязвимости CMSВебмастер,Sucuri SiteCheckежемесячно
Обновления плагиновАдминка CMSеженедельно
Логи доступаAWStats, логи nginxпо ситуации
Вредоносный кодВебмастер Яндекс/Googleежемесячно

Яндекс.Вебмастер уведомляет, если на сайте обнаружен вредоносный код или сайт попал в чёрный список. Подключите уведомления и реагируйте в течение 24 часов.

Чек-лист на один день

  1. Установите HTTPS через Let's Encrypt и настройте редирект.
  2. Включите HSTS и базовые защитные заголовки.
  3. Поставьте сложный пароль и 2FA на админку.
  4. Настройте ежедневные бэкапы в облако.
  5. Обновите CMS и все плагины до последних версий.
  6. Удалите неиспользуемые плагины и темы.
  7. Подпишитесь на уведомления Вебмастера о вредоносном коде.

Эти 7 шагов закрывают 80% рисков и занимают от 4 до 8 часов работ. Остальные 20% — это специфические уязвимости конкретного стека, для которых нужен аудит безопасности.

Частые вопросы

Сколько стоит SSL-сертификат в 2026 году?
Бесплатно — через Let's Encrypt (подходит для 95% сайтов). Платные сертификаты с расширенной проверкой (EV, OV) стоят от 5 000 ₽/год и нужны для крупных интернет-магазинов и банков.
Что будет, если не использовать HTTPS?
Браузеры помечают сайт как «Не защищено», поисковики снижают позиции, теряется доверие пользователей. Без HTTPS не работают современные функции: HTTP/2, сервис-воркеры, геолокация, кэш.
Как часто нужно делать бэкап сайта?
Ежедневно для интернет-магазинов и сервисов с активными пользователями, раз в 2–3 дня для контентных сайтов. Бэкап должен храниться отдельно от сервера и проверяться восстановлением.
Можно ли взломать сайт на WordPress?
Да, WordPress — самая популярная CMS и частая цель атак. Защита: сложный пароль администратора, двухфакторная аутентификация, регулярные обновления, плагин Wordfence, ограничение входных попыток.
Оцените материал:
0

Остались вопросы? Поможем

Эксперты IDEA ответят по теме материала или подскажут по вашему проекту. Свяжемся в течение дня, без навязывания.

Комментарии · 0