Добавить в корзинуПозвонить
Найти в Дзене
Корн Студия: дизайн, маркетинг, разработка
11 подписчиков

Защита корпоративного сайта от DDoS и взломов: минимум, который должен быть

1
7 мин
Раньше тему безопасности сайтов обсуждали только в крупных компаниях с ИТ-департаментом. Малый и средний бизнес жил по принципу «кому я нужен». В 2026 году так уже не получается. По данным Positive Technologies, в 2025 году на малый и средний бизнес пришлось 81% всех кибератак в России. Не на крупные банки и не на государственные структуры. На обычные компании с обычными сайтами. IT-безопасность не наша основная экспертиза. Но мы занимаемся разработкой сайтов и приложений, поэтому не можем обходить эту тему стороной. В статье хотим разобрать, что должно быть на любом корпоративном сайте в 2026 году. Несколько цифр, которые отрезвляют. По исследованию проекта «Кибериспытание», белые хакеры за три месяца смогли условно парализовать работу 60% российских компаний. Две из трёх были взломаны меньше чем за сутки. Рекорд составил 34 минуты. Самой уязвимой отраслью оказалась торговля: 83% компаний из этого сегмента не смогли противостоять атаке. По данным F6, средняя сумма выкупа за расшифровк
Оглавление

Раньше тему безопасности сайтов обсуждали только в крупных компаниях с ИТ-департаментом. Малый и средний бизнес жил по принципу «кому я нужен». В 2026 году так уже не получается. По данным Positive Technologies, в 2025 году на малый и средний бизнес пришлось 81% всех кибератак в России. Не на крупные банки и не на государственные структуры. На обычные компании с обычными сайтами.

IT-безопасность не наша основная экспертиза. Но мы занимаемся разработкой сайтов и приложений, поэтому не можем обходить эту тему стороной. В статье хотим разобрать, что должно быть на любом корпоративном сайте в 2026 году.

Что на самом деле происходит в 2026 году

Несколько цифр, которые отрезвляют. По исследованию проекта «Кибериспытание», белые хакеры за три месяца смогли условно парализовать работу 60% российских компаний. Две из трёх были взломаны меньше чем за сутки. Рекорд составил 34 минуты. Самой уязвимой отраслью оказалась торговля: 83% компаний из этого сегмента не смогли противостоять атаке.

По данным F6, средняя сумма выкупа за расшифровку данных для малого и среднего бизнеса колеблется от 240 тысяч до 4 миллионов рублей. По исследованиям рынка, 70% малых компаний, переживших серьёзный взлом, закрываются в течение года.

И есть важный момент про штрафы. С 30 мая 2025 года заработал закон 420-ФЗ, по которому штрафы за утечку персональных данных для бизнеса достигают 500 миллионов рублей при массовых утечках. Для среднего бизнеса даже одна утечка базы клиентов в 10-100 тысяч записей это от 5 до 10 миллионов рублей штрафа.

От чего вообще нужно защищаться

Угрозы для корпоративного сайта делятся на три категории.

  1. Первая категория, это DDoS-атаки. Сайт «заваливают» запросами, и он перестаёт открываться. Сама база при этом не страдает, но бизнес теряет деньги: клиенты уходят к конкурентам, рекламный бюджет сгорает впустую, поисковики снижают позиции из-за недоступности.
  2. Вторая категория, это взломы и проникновение. Злоумышленник получает доступ к админке, серверу или базе данных. Цели разные: украсть данные клиентов, подменить контент, разместить вредоносный код, зашифровать всё для требования выкупа. По статистике, основные причины успешных взломов это банальные вещи: слабые пароли, отсутствие двухфакторной аутентификации, незакрытые уязвимости в плагинах, забытые тестовые серверы.
  3. Третья категория, это утечки данных. Часто это следствие первых двух категорий, но иногда происходит самостоятельно: незащищённая форма, открытая база, ошибка в конфигурации. С учётом новых штрафов это самая дорогая категория угроз.

Защита от всех трёх требует разных инструментов. Универсального решения, которое закроет всё, не существует.

Минимум, который должен быть на любом корпоративном сайте

Это базовый набор, без которого сайт в 2026 году считается незащищённым. Не «продвинутый», не «корпоративный», а именно базовый.

SSL-сертификат и работа сайта по HTTPS. Это уже не вопрос безопасности данных, это базовая гигиена. Сайты без SSL браузеры помечают как небезопасные, поисковики понижают в выдаче. Получить можно бесплатно через Let’s Encrypt, если хостинг это поддерживает, или у российских центров сертификации. Стоимость нулевая или несколько тысяч рублей в год.

Регулярные резервные копии. Бэкап базы данных и файлов сайта должен делаться автоматически и храниться отдельно от самого сервера. Если сайт зашифруют шифровальщиком или сотрут, бэкап единственный способ быстро восстановиться без выкупа. Хороший бэкап это не один файл рядом с сайтом, а копии за разные даты на изолированном хранилище. Большинство нормальных хостингов делают это автоматически за небольшую доплату или без неё.

Защита админки. В 2026 году у админки сайта обязательно должна быть двухфакторная аутентификация. Не просто пароль, а пароль плюс одноразовый код. Также сильный пароль (длиной от 16 символов), запрет на вход с подозрительных IP, ограничение количества попыток входа. Большинство успешных взломов происходит именно через перебор паролей в админке, и эта простая мера закрывает 80% таких атак.

Обновление CMS и плагинов. Если сайт сделан на WordPress, Bitrix или другой CMS, обновления должны устанавливаться регулярно. Большая часть взломов происходит через известные уязвимости в устаревших плагинах. Конструкторы вроде Tilda решают эту задачу автоматически, и это одно из их преимуществ для небольшого бизнеса.

Защита от DDoS. У большинства российских хостингов и облачных провайдеров (Selectel, Timeweb Cloud и других) есть базовая бесплатная защита, которая отбивает простые атаки. Этого достаточно для большинства сайтов малого и среднего бизнеса. Если бизнес критичен к простоям (интернет-магазин, сервис с заявками), стоит подключить специализированный сервис: DDoS-Guard, StormWall, Curator. Цены начинаются от нескольких тысяч рублей в месяц.

WAF (Web Application Firewall). Это специальный фильтр, который анализирует входящий трафик и блокирует подозрительные запросы. По данным исследований, менее трети малых и средних предприятий используют WAF, хотя это базовое средство защиты сайта. Многие хостинги предлагают WAF как опцию за 1-3 тысячи рублей в месяц.

Российский хостинг. Это не только про безопасность, но и про закон. С 1 июля 2025 года персональные данные граждан России должны храниться на серверах в РФ. Сайт на зарубежном хостинге это потенциальное нарушение 152-ФЗ.

Полный набор перечисленного для типового корпоративного сайта обходится в среднем в 3-10 тысяч рублей в месяц. Для сравнения: средний штраф за одну утечку для среднего бизнеса в 2026 году от 5 миллионов рублей.

Что чаще всего упускают

В нашей практике дизайн-аудитов есть несколько типичных дыр, которые встречаются почти у всех клиентов.

Тестовые сайты и поддомены, забытые годами назад. Когда-то для разработки делали поддомен test.компания.ру, потом основной сайт переехал, а тестовый остался открытым в интернете. Это популярная точка входа для атак: сайт на старой версии CMS, без обновлений, без защиты, и через него получают доступ к основному.

Старые учётные записи. Бывший сотрудник, бывший подрядчик, бывший дизайнер. После завершения работ их учётки часто остаются активными в админке. Достаточно одного старого пароля, который где-то утёк, чтобы получить доступ.

Отсутствие плана действий при инциденте. Когда сайт ложится из-за DDoS или взлома, паника начинается с нуля: куда звонить, кто восстанавливает, где бэкапы, кто сообщает клиентам. У 80% компаний этого плана просто нет, и в момент атаки теряются часы и сутки.

Неуведомление Роскомнадзора при утечке. По закону компания обязана уведомить регулятора в течение 24 часов с момента выявления инцидента и в течение 72 часов прислать уточнённую информацию. Большинство малых компаний об этом не знают, а штраф за неуведомление для ИП и компаний доходит до 3 миллионов рублей.

Отсутствие мониторинга. Сайт могут взломать и оставить там вредоносный код, который работает месяцами. Без системы мониторинга владелец узнаёт об этом, когда Яндекс или Google уже заблокировали сайт в выдаче или браузеры начали показывать предупреждение посетителям.

Что делать прямо сейчас

Несколько шагов, которые можно проверить на этой неделе самостоятельно.

  1. Откройте свой сайт и проверьте, что в адресной строке есть замочек и адрес начинается с https. Если нет, это первая проблема.
  2. Зайдите в админку сайта. Включена ли двухфакторная аутентификация? Когда последний раз меняли пароль? Сколько активных пользователей в системе и все ли они должны быть?
  3. Узнайте у своего разработчика или хостинг-провайдера: где и как часто делаются бэкапы, есть ли у вас защита от DDoS хотя бы на базовом уровне, есть ли WAF, на каком хостинге размещён сайт и где физически стоят серверы.
  4. Проверьте, нет ли у вас старых поддоменов и тестовых версий сайта, которые до сих пор открыты в интернете. Если они есть и они не нужны, их нужно закрыть.

Если по любому из пунктов ответ «не знаю», это уже сигнал. Если по двум и больше, у сайта серьёзные пробелы в безопасности, и это нужно решать сейчас, а не «когда-нибудь».

И последнее. Тема безопасности сайта это не вопрос дизайнеров или маркетологов. Это вопрос бизнеса. Стоимость минимальной защиты в десятки раз меньше стоимости одного инцидента. А вероятность инцидента в 2026 году выше, чем когда-либо.

В нашей студии при создании или редизайне сайта мы всегда смотрим базовый уровень защиты: настройки SSL, бэкапы, защиту админки, наличие WAF и базовой DDoS-защиты. Это не делает нас ИБ-компанией, но позволяет не сдавать клиенту сайт, который через месяц станет проблемой. Если хотите проверить текущее состояние своего сайта, приходите на аудит. Покажем все слабые места и составим план приоритетов.