Большинство взломов происходит не через «хакерскую магию», а через давно известные дыры: старые CMS, слабые пароли, открытые админки. Этот чек-лист можно пройти самостоятельно за вечер — а что не получится, проверит пентест.
Почему это важно именно сейчас: в 2026 году атаки на небольшие сайты почти полностью автоматизированы. Боты круглосуточно сканируют рунет, находят WordPress с плагином трёхлетней давности или открытый дамп базы в корне сайта — и эксплуатируют дыру за минуты. Взламывают не «кого-то выбрали», а «кого нашёл сканер». Поэтому вопрос не «интересен ли мой сайт хакерам», а «сколько известных уязвимостей на нём висит прямо сейчас». Средний ущерб от взлома для малого бизнеса — от 150 000 до 1,5 млн рублей: простой, восстановление, потерянные заказы и просевшие позиции в поиске. Ниже — 12 пунктов, отсортированных от простого к сложному, с пояснением, что именно проверять, чем и какой риск закрывает каждый пункт.
composer audit / npm audit для кода. Риск: по статистике, уязвимые плагины и темы — причина более половины взломов CMS-сайтов. Эксплойты к популярным дырам публикуются через считанные дни после патча.curl -I. Риск: без HSTS возможна атака с понижением до HTTP, без CSP — внедрение чужих скриптов, ворующих данные из форм. Настройка занимает 30–60 минут в конфиге Nginx и не требует изменений в коде.' и тега <script> в поля; серьёзно — сканеры sqlmap и OWASP ZAP на тестовой копии. Риск: SQL-инъекция отдаёт злоумышленнику всю базу с клиентами и заказами, XSS — крадёт сессии администраторов.shell.php.jpg — если сервер его принял и исполняет, это критическая дыра. Риск: загруженный веб-шелл даёт полный контроль над сайтом; каталог загрузок должен быть закрыт от исполнения скриптов на уровне сервера..env, доступность файлов конфигурации по прямым URL (/.env, /config.php.bak). Чем: gitleaks по репозиторию, curl по типовым путям. Риск: .env в вебруте индексируется сканерами за часы — вместе с ним утекают пароль БД и ключи платёжных систем. Сюда же — забытые дампы и архивы: /backup.zip, /db.sql в корне сайта находят так же быстро.| Уязвимость | Чем грозит | Как проверить |
|---|---|---|
| SQL-инъекции | Кража всей базы: клиенты, заказы, пароли; штрафы по 152-ФЗ за утечку персональных данных | Подстановка кавычки в параметры, sqlmap на тестовой копии |
| XSS (межсайтовый скриптинг) | Угон сессий админов, подмена платёжных данных, скиммеры в формах оплаты | Тег <script> в поля форм, сканирование OWASP ZAP, проверка CSP |
| Устаревшие CMS и плагины | Автоматический взлом ботами по опубликованным эксплойтам, веб-шелл на сервере | Менеджер обновлений, WPScan, сверка версий с базами CVE |
| Открытые бэкапы и дампы в вебруте | Утечка исходного кода, паролей БД и клиентской базы одним архивом | curl по типовым путям: /backup.zip, /db.sql, /.env, /site.tar.gz |
| Слабые пароли админки | Полный захват сайта перебором за часы, рассылка спама с домена | Проверка политики паролей, логов на брутфорс, наличия 2FA |
| Отсутствие HTTPS/HSTS | Перехват данных в публичных сетях, метка «небезопасно» в браузере, минус к SEO | SSL Labs (оценка A и выше), securityheaders.com |
| Неправильные права на файлы | Эскалация мелкой уязвимости до контроля над всем сервером | Аудит прав: 755/644, конфиги 600, сервисы не из-под root |
| Отсутствие WAF | Даже известные атаки доходят до приложения без фильтрации | Проверить, стоит ли ModSecurity, Nemesida или облачный WAF перед сайтом |
Интернет-магазин автозапчастей из Казани, около 900 заказов в месяц, WordPress + WooCommerce. В плагине слайдера, который не обновляли два года, была публично известная уязвимость. Бот нашёл её сканированием, загрузил веб-шелл и встроил в страницу оплаты скиммер, копировавший данные карт. Заметили не сразу — через 11 дней, когда эквайринг заблокировал приём платежей из-за жалоб покупателей.
Итог в цифрах: 3 дня полного простоя на очистку и переустановку — около 270 000 ₽ недополученной выручки; работа подрядчика по разбору инцидента и восстановлению — 90 000 ₽; уведомление клиентов и работа с претензиями — ещё около 60 000 ₽ и часть постоянных покупателей. Совокупно инцидент стоил больше 400 000 ₽. Обновление плагина заняло бы две минуты, а полный аудит по этому чек-листу — один рабочий день. После инцидента магазин перешёл на регулярную поддержку с ежемесячными обновлениями — за полтора года ни одного повторного взлома.
Список найденных проблем сам по себе ничего не меняет — важен порядок работ. Рекомендуем такой план:
Отдельный совет: безопасность стоит проверять в связке с общим техническим состоянием сайта. Медленные страницы, битые ссылки и хаос в коде часто соседствуют с дырами в защите — комплексный технический аудит сайта закрывает обе задачи за один заход.
Аудит — это систематическая проверка по списку: конфигурация, версии ПО, права, пароли, заголовки. Он отвечает на вопрос «что у нас настроено неправильно». Пентест — имитация реальной атаки: специалист пытается взломать сайт как злоумышленник и отвечает на вопрос «что реально можно сломать и как далеко зайти». На практике сначала делают аудит и закрывают очевидное, потом пентест проверяет остальное.
Базовый аудит безопасности сайта на CMS — от 30 000 до 80 000 ₽ и 3–7 рабочих дней. Полный пентест веб-приложения с ручной проверкой бизнес-логики — от 120 000 до 400 000 ₽ и 2–4 недели в зависимости от размера проекта. На выходе — отчёт с уязвимостями по степени критичности и конкретным планом исправлений, а после устранения — бесплатный ретест.
Самостоятельный прогон чек-листа — раз в квартал и после любых крупных изменений: переезд на новый хостинг, установка плагинов, запуск личного кабинета или оплаты. Внешний аудит или пентест — раз в год. Если сайт принимает платежи или хранит персональные данные, регулярные проверки — это ещё и требование банков-эквайеров и 152-ФЗ.
Это регулярно обновляемый список десяти самых распространённых классов уязвимостей веб-приложений, который ведёт международное сообщество OWASP: инъекции, нарушения контроля доступа, небезопасная конфигурация, устаревшие компоненты и другие. Де-факто это отраслевой стандарт: серьёзные аудиты и пентесты строятся вокруг него, а фраза «проверка по OWASP Top 10» в коммерческом предложении — признак того, что подрядчик работает по методологии, а не «просто посмотрит».
Базовый уровень — да, и нужно: пункты 1–5 из этого чек-листа проходятся за вечер без специальных знаний и закрывают самые массовые векторы атак. Средний уровень потребует доступа к серверу и базовых навыков администрирования. А вот инъекции, бизнес-логику и связки уязвимостей надёжно проверяет только специалист — самостоятельный запуск сканеров без понимания результатов даёт ложное чувство защищённости.
Опишите задачу — подберём решение и рассчитаем стоимость за 5 минут.
Каталог проверенных IT-услуг для бизнеса: разработка, дизайн, DevOps, безопасность и аналитика. Работаем по договору по всей России.