Чек-лист по безопасности сайта: от SSL до прав доступа

1. SSL-сертификат

Первое, на что обращают внимание браузеры и пользователи.

Проверьте, что HTTPS работает на всех страницах, есть автоматическое перенаправление с HTTP, а срок действия сертификата не подходит к концу.

💡 Совет: подключите автоматическое продление сертификатов через Let’s Encrypt или платный SSL-провайдер — так вы избежите ситуации, когда сайт внезапно перестаёт открываться «по https».

2. Актуальные версии CMS, плагинов и библиотек

Старая версия CMS — частая точка входа для атак. Обновления выходят не просто так: они закрывают уязвимости.

Убедитесь, что движок, плагины и библиотеки работают на последних стабильных версиях. Удалите неиспользуемые расширения — они повышают риски даже в неактивном состоянии.

3. Защита форм и пользовательского ввода

Формы — один из главных векторов атак. Проверьте, реализована ли защита от XSS и SQL-инъекций, фильтруются ли все поля на стороне сервера.

Если на сайте есть формы входа, регистрации или обратной связи — добавьте капчу и ограничение по количеству запросов. Это простой, но действенный барьер против автоматических ботов.

4. Пароли и доступы

Безопасность начинается с дисциплины.

• Все пароли должны быть уникальными и сложными (буквы, цифры, символы).
• Для администраторов обязательно подключите двухфакторную аутентификацию (2FA).
• Раз в квартал пересматривайте права доступа и удаляйте неактуальные учётные записи.

💡 Совет: используйте менеджеры паролей (Bitwarden, 1Password, KeePass). Они не только хранят пароли, но и помогают генерировать надежные комбинации.

5. Резервное копирование

Бэкап — ваша последняя линия защиты. Делайте резервные копии ежедневно или хотя бы еженедельно, а не «когда вспомним».

Важно не только создавать, но и тестировать восстановление — многие узнают о поврежденном бэкапе в самый неподходящий момент.

Бэкапы должны храниться в надежном месте, желательно вне основной инфраструктуры, с ограниченным доступом и шифрованием.

6. Защита админки

Страница входа в админку — лакомая цель для брутфорса.

Если CMS позволяет, измените стандартный адрес панели (например, /wp-admin или /admin ).

Настройте ограничения по IP или геолокации, включите уведомления о попытках входа. При необходимости установите дополнительный пароль на уровне сервера.

7. Защита от брутфорса и DDoS

Даже небольшой сайт может стать целью атаки «на вынос». Подключите Web Application Firewall (WAF) и включите защиту от DDoS через CDN (Cloudflare, Yandex DDoS Protection, G-Core).

Для форм авторизации задайте ограничение на количество попыток входа. Если кто-то вводит пароль 50 раз подряд — система должна временно блокировать IP.

8. HTTPS-заголовки и конфигурация сервера

Проверьте наличие заголовков безопасности:

• Content-Security-Policy
• X-Frame-Options
• Strict-Transport-Security

Отключите лишние протоколы, вроде старого TLS 1.0, и закройте directory listing — чтобы никто не мог просматривать структуру папок на сервере.

Также убедитесь, что PHP-файлы не исполняются в каталогах с загруженными изображениями и документами.

9. Логи и мониторинг

Без логов невозможно понять, когда и что пошло не так.

Проверьте, ведётся ли журнал действий пользователей и администраторов, фиксируются ли ошибки и подозрительная активность.

Подключите систему мониторинга (Zabbix, Grafana, ELK-stack), чтобы получать уведомления при попытках взлома, скачках нагрузки или изменениях в критичных файлах.

10. Юридическая безопасность

Сайт может быть технически надёжным, но юридически уязвимым.

Проверьте, есть ли актуальная политика конфиденциальности и реализован ли механизм согласия на обработку персональных данных.

Для компаний, работающих в России, важно соблюдение ФЗ-152, а для международных — стандартов GDPR. Нарушение этих требований может привести к блокировке или штрафам.

Подведем итог

Безопасность — это не разовая проверка, а системная работа. Раз в месяц проходите по этому чек-листу, раз в квартал — проводите аудит и проверку бэкапов.

Часть задач можно автоматизировать, но ключевые вещи — обновления, права доступа и мониторинг — требуют внимания человека.

Если вы хотите убедиться, что сайт защищён, команда Adequo проведёт комплексную проверку, устранит уязвимости и поможет выстроить устойчивую стратегию безопасности. Напишите нам — и вы будете спать спокойно, зная, что ваш проект под надежной защитой.