Ваш сайт прямо сейчас может быть заражён вирусом — и вы об этом не знаете. Вредоносный код работает незаметно: сайт выглядит нормально, но каждый посетитель рискует отдать свои данные злоумышленникам. По данным Positive Technologies, в 60% случаев хакеры проникают в компании именно через уязвимости сайта. А владелец узнаёт об этом, когда Яндекс помечает сайт как опасный и трафик падает до нуля.
Я руковожу веб-студией АП-ИМ. С 2008 года мы занимаемся разработкой и поддержкой сайтов для среднего бизнеса, и проверка безопасности сайта — часть нашей ежемесячной рутины. Ниже — чеклист из 15 пунктов, который можно пройти самостоятельно и без бюджета.
Блок 1. Базовая проверка за 5 минут
1. Проверить сайт на вирусы онлайн. Самый быстрый способ — сервис VirusTotal (virustotal.com). Вводите URL, и 70+ антивирусных движков сканируют страницу. Если хотя бы один показывает угрозу — разбирайтесь. Также работает Sucuri SiteCheck (sitecheck.sucuri.net) — он дополнительно проверяет, не попал ли сайт в чёрные списки поисковиков.
2. Проверить, не помечен ли сайт как опасный. Откройте Google Search Console и Яндекс.Вебмастер — если сайт заражён вирусом, оба сервиса покажут предупреждение. Также можно ввести в Google: site:вашдомен.ru — если рядом с результатами стоит «Этот сайт может угрожать безопасности» — срочно действуйте.
3. SSL-сертификат. Откройте сайт и посмотрите на замочек в адресной строке. Если его нет или браузер пишет «Не защищено» — у вас нет SSL. Это и уязвимость сайта (данные форм передаются открытым текстом), и минус к SEO. Проверить конфигурацию SSL можно через ssllabs.com/ssltest.
Блок 2. Проверка сайта на уязвимости
4. Версия CMS и плагинов. Если сайт на WordPress — зайдите в админку → Обновления. Всё, что помечено как устаревшее — потенциальная дыра. Для 1С-Битрикс: Рабочий стол → Обновления. Более 70% взломанных сайтов на WordPress работали на устаревших версиях движка или плагинов.
5. Открытые файлы и папки. Попробуйте открыть в браузере:
- вашсайт.ru/.env — файл с паролями от базы данных
- вашсайт.ru/.git/ — исходный код проекта
- вашсайт.ru/backup/ или вашсайт.ru/dump.sql — бэкапы базы данных
Если что-то из этого открылось и показало содержимое — у вас критическая проблема с безопасностью сайта. Эти файлы должны быть закрыты через настройки сервера.
6. HTTP-заголовки безопасности. Откройте securityheaders.com, введите URL. Сервис покажет оценку от A+ до F. Проверяются заголовки: Content-Security-Policy (защита от XSS), X-Frame-Options (защита от встраивания в iframe), Strict-Transport-Security (принудительный HTTPS). Большинство сайтов малого бизнеса получают оценку D или F — и это значит, что базовая защита сайта от взлома отсутствует.
7. Сканирование на известные уязвимости. Для WordPress — бесплатный сканер WPScan (wpscan.com). Для любого сайта — OWASP ZAP (zaproxy.org) или Nikto. Эти инструменты проверяют сайт на типовые уязвимости: SQL-инъекции, XSS, открытые директории, устаревшие компоненты.
Блок 3. Защита данных
8. Формы и персональные данные. С 30 мая 2025 года штраф за утечку персональных данных — от 3 до 15 млн рублей (первичная) и до 500 млн рублей (повторная, оборотный штраф). Проверьте: все формы на сайте передают данные через HTTPS? Есть ли отдельное согласие на обработку персональных данных и отдельное согласие на рекламные рассылки? Данные хранятся в зашифрованном виде?
9. Пароли администраторов. Проверьте: используете ли вы уникальный сложный пароль для админки? Включена ли двухфакторная аутентификация? Сменён ли стандартный URL входа (для WordPress — /wp-admin, для Битрикс — /bitrix/admin)? Если пароль админки — admin123 или company2020 — считайте, что сайт уже скомпрометирован.
10. Права доступа к файлам. Конфигурационные файлы (wp-config.php, .env, settings.php) должны иметь права 600 или 640 — читать их может только владелец. Если права 644 или 777 — любой процесс на сервере может прочитать ваши пароли от базы данных.
Блок 4. Инфраструктура
11. Бэкапы. Есть ли ежедневные резервные копии? Хранятся ли они на отдельном сервере (не на том же, где сайт)? Когда последний раз проверяли, что бэкап можно восстановить? Без рабочего бэкапа восстановление сайта после взлома может занять недели вместо часов.
12. Хостинг. Shared-хостинг (общий) — это как коммунальная квартира: взлом соседнего сайта может затронуть ваш. Для бизнес-сайта лучше VPS или выделенный сервер. Проверьте, какую версию PHP использует хостинг — если ниже 8.1, она больше не получает обновлений безопасности.
13. DNS и почта. Проверьте настройки SPF, DKIM, DMARC через mxtoolbox.com. Без них злоумышленники могут отправлять письма от имени вашего домена — фишинг от «вашей компании» вашим же клиентам.
Блок 5. Мониторинг
14. Подключите уведомления. Яндекс.Вебмастер и Google Search Console умеют отправлять email при обнаружении проблем с безопасностью. Включите эти уведомления — это бесплатная система раннего оповещения.
15. Проверяйте регулярно. Разовая проверка безопасности сайта — лучше, чем ничего, но недостаточно. Новые уязвимости публикуются каждый день. Минимум — проверка раз в месяц. Оптимально — автоматический мониторинг.
Что делать, если нашли проблемы
Если проверка выявила 1–2 некритичных пункта (нет заголовков безопасности, устаревший плагин) — можете исправить сами или попросить разработчика. Если обнаружили вирус на сайте, открытые конфигурационные файлы или следы взлома — не пытайтесь чинить на продакшне. Сделайте бэкап текущего состояния (для анализа) и обратитесь к специалистам.
Подробнее о том, как защитить сайт от взлома и что входит в профессиональный аудит — читайте в нашем блоге. Если сайт уже взломан — у нас есть услуга экстренного восстановления за 24 часа.
Веб-студия АП-ИМ — разработка, SEO, безопасность сайтов с 2008 года — up-im.ru