HTTPS обязателен для всех сайтов в 2026 году: без него браузеры помечают сайт как небезопасный, а поисковики снижают позиции. SSL-сертификат бесплатный через Let's Encrypt. Минимальный набор защиты: HTTPS + HSTS, защитные HTTP-заголовки, регулярные бэкапы, обновления CMS и плагинов, сложные пароли и 2FA.
Почему безопасность влияет на бизнес
Взломанный сайт — это не только техническая проблема. Это потеря доверия клиентов, утечка данных (с штрафами по 152-ФЗ), попадание в чёрные списки поисковиков и браузеров, просадка трафика на месяцы.
По данным Positive Technologies за 2025 год, доля взломов сайтов в РФ выросла на 35% год к году. Малый и средний бизнес — самая частая цель, потому что у него слабее защита. Самые популярные векторы атак:
- брутфорс паролей администратора;
- SQL-инъекции через формы;
- XSS через поля ввода и комментарии;
- эксплуатация устаревших плагинов и CMS;
- DDoS-атаки на интернет-магазины.
Минимальная защита обходится в 0–30 тыс. ₽ и занимает 1–2 дня работ. Восстановление после взлома — от 50 тыс. ₽ и до нескольких месяцев потерянного трафика.
HTTPS и SSL: базовый уровень
Что такое HTTPS
HTTPS — это протокол HTTP поверх TLS/SSL, обеспечивающий шифрование трафика между браузером и сервером. Без HTTPS все данные (пароли, формы, cookies) передаются в открытом виде и могут быть перехвачены.
SSL-сертификат — это цифровой документ, который подтверждает, что сайт принадлежит указанной организации, и обеспечивает шифрование. Технически сейчас используется TLS, но термин SSL устоялся.
Виды SSL-сертификатов
| Тип | Проверка | Подходит для | Цена |
|---|---|---|---|
| DV (Domain Validation) | Только домен | Большинство сайтов | Бесплатно (Let's Encrypt) |
| OV (Organization Validation) | Организация | Интернет-магазины | от 5 000 ₽/год |
| EV (Extended Validation) | Расширенная | Банки, крупные проекты | от 15 000 ₽/год |
| Wildcard | Для поддоменов | Сайты с поддоменами | от 3 000 ₽/год |
Для 95% сайтов достаточно DV-сертификата от Let's Encrypt — он бесплатный, автоматически обновляется через Certbot, и его принимают все современные браузеры.
Настройка HTTPS
Минимальный чек-лист:
- Получите сертификат через Let's Encrypt (или хостинг-провайдера).
- Настройте перенаправление с HTTP на HTTPS (301-редирект).
- Включите HSTS — заголовок, заставляющий браузер всегда использовать HTTPS.
- Уберите смешанный контент (mixed content) — все ресурсы должны грузиться по HTTPS.
- Проверьте рейтинг SSL Labs (A или A+).
Пример конфигурации nginx для HSTS:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Подробнее о HSTS и других заголовках — в следующем разделе.
Защитные HTTP-заголовки
Заголовки — это инструкции браузеру, как обрабатывать страницу. Правильно настроенные заголовки закрывают целый класс атак.
| Заголовок | Что защищает | Пример значения |
|---|---|---|
| Strict-Transport-Security (HSTS) | Принудительный HTTPS | max-age=31536000 |
| Content-Security-Policy (CSP) | От XSS и инъекций скриптов | default-src 'self' |
| X-Frame-Options | От кликджекинга | SAMEORIGIN |
| X-Content-Type-Options | От MIME-сниффинга | nosniff |
| Referrer-Policy | Утечка URL через Referer | strict-origin-when-cross-origin |
| Permissions-Policy | Доступ к API браузера | geolocation=(), camera=() |
Особенно важен CSP — Content Security Policy. Правильно настроенный CSP блокирует выполнение инородных скриптов и существенно усложняет XSS-атаки.
Частые уязвимости и защита
XSS (Cross-Site Scripting)
XSS — это внедрение злоумышленником JavaScript-кода в страницу, который выполняется в браузере других пользователей. Через XSS угоняют сессии, крадут данные, подменяют контент.
Защита:
- экранируйте пользовательский ввод перед выводом (особенно в HTML-контексте);
- используйте CSP;
- в React/Vue/Angular экранирование по умолчанию — не отключайте его через
dangerouslySetInnerHTML.
SQL-инъекции
SQL-инъекция — это внедрение SQL-кода через формы или параметры URL. Через неё злоумышленник может прочитать, изменить или удалить базу данных.
Защита:
- используйте prepared statements (параметризованные запросы) во всех обращениях к БД;
- никогда не склеивайте SQL-запрос из строк с пользовательским вводом;
- ограничьте права пользователя БД (минимум необходимых).
Брутфорс паролей
Брутфорс — это перебор паролей к админке, обычно автоматизированными скриптами. Самый частый вектор взлома WordPress-сайтов.
Защита:
- сложный пароль администратора (12+ символов);
- двухфакторная аутентификация;
- ограничение попыток входа (5 за 10 минут → блокировка на 15 минут);
- смена стандартного логина admin на нестандартный;
- ограничение доступа к /wp-admin по IP.
Эксплуатация устаревшего ПО
Уязвимости в CMS и плагинах публикуются регулярно. Если не обновлять — сайт взламывают через известные дыры за дни.
Защита:
- обновляйте CMS и плагины не реже раза в месяц;
- подписывайтесь на рассылки безопасности вашей CMS;
- удаляйте неиспользуемые плагины (не отключайте, а удаляйте);
- используйте плагины только из официальных каталогов.
Бэкапы — последняя линия обороны
Бэкап — это копия сайта, которая позволяет восстановиться после взлома, сбоя или случайного удаления. Правило 3-2-1:
| Параметр | Требование |
|---|---|
| Копий | минимум 3 |
| Носителей | 2 разных (сервер + облако) |
| Вне офиса | 1 копия в другом дата-центре |
Что включать в бэкап
- файлы сайта (код, загрузки, конфиги);
- дамп базы данных;
- конфигурацию сервера (nginx, Apache, .htaccess);
- SSL-сертификаты (опционально).
Как часто
- интернет-магазин и сервис с активными пользователями — ежедневно;
- корпоративный сайт и блог — раз в 2–3 дня;
- лендинг и визитка — раз в неделю.
Бэкап без проверки восстановления — это не бэкап. Раз в месяц делайте тестовое восстановление на тестовом сервере, чтобы убедиться, что копия рабочая.
Мониторинг безопасности
Безопасность — не разовая настройка, а постоянный процесс. Минимальный мониторинг:
| Что проверять | Инструмент | Частота |
|---|---|---|
| SSL-сертификат (срок) | SSL Monitor, настройки сервера | еженедельно |
| Уязвимости CMS | Вебмастер,Sucuri SiteCheck | ежемесячно |
| Обновления плагинов | Админка CMS | еженедельно |
| Логи доступа | AWStats, логи nginx | по ситуации |
| Вредоносный код | Вебмастер Яндекс/Google | ежемесячно |
Яндекс.Вебмастер уведомляет, если на сайте обнаружен вредоносный код или сайт попал в чёрный список. Подключите уведомления и реагируйте в течение 24 часов.
Чек-лист на один день
- Установите HTTPS через Let's Encrypt и настройте редирект.
- Включите HSTS и базовые защитные заголовки.
- Поставьте сложный пароль и 2FA на админку.
- Настройте ежедневные бэкапы в облако.
- Обновите CMS и все плагины до последних версий.
- Удалите неиспользуемые плагины и темы.
- Подпишитесь на уведомления Вебмастера о вредоносном коде.
Эти 7 шагов закрывают 80% рисков и занимают от 4 до 8 часов работ. Остальные 20% — это специфические уязвимости конкретного стека, для которых нужен аудит безопасности.
Комментарии · 0