Как защитить блог и базу клиентов от взлома нейросетями: в опасности все.

Что изменилось в 2026 году

Раньше взлом сайта эксперта был экзотикой – хакеру это невыгодно, овчинка не стоит выделки. Сейчас правила другие. Нейросеть не устаёт, не требует зарплату и сканирует тысячи сайтов в час, ища типовые дырки. Ваш блог на Тильде, мини-CRM в Notion, Telegram-канал, гугл-таблица с лидами – это всё цели не потому, что вы знаменитость, а потому, что вы есть.

Новости про Mythos – это репетиция. Через полгода-год такой инструмент будет у любой группы. Защита, которая казалась паранойей в 2024-м, в 2026-м становится гигиеной.

Что внутри

1. Что у вас могут отжать
2. Новая модель угрозы
3. Защита сайта и блога
4. Аутентификация и пароли
5. База клиентов и платежи
6. Резервные копии
7. Мониторинг и алерты
8. Email, домен, DNS
9. Сервер и доступы
10. Telegram-канал и боты
11. План на случай взлома
12. Чеклист на одну страницу

Раздел 01 — Что у вас могут отжать

Прежде чем закрывать двери, разберитесь, что внутри дома стоит. У эксперта, у блогера, у владельца онлайн-школы обычно лежит вот это:

• База клиентов и подписчиков. Имена, телефоны, почты, история покупок, переписки. Самый ценный актив – дороже сайта в десятки раз.
• Платёжные данные. Реквизиты, привязанные карты в Продамусе, Эквайрингах, Telegram-боте, доступ к личному кабинету банка.
• Контент и архивы. Уроки, курсы, презентации, видео. Если их сольют в открытый доступ, продажи провалятся на месяцы.
• Социальная репутация. Доступ к Telegram-каналу, Instagram, Threads, YouTube. Угнанный канал с 20 тысячами подписчиков превращается в инструмент для скама от вашего имени.
• Деловая переписка. Договоры, NDA, фотографии паспортов, скриншоты с банковскими реквизитами – всё то, что вы пересылали клиентам и подрядчикам в WhatsApp и Telegram.

Когда сайт ломают через автоматизированный AI-сканер, цель редко в самом сайте. Сайт – это вход. Дальше через него ищут учётки от почты, от хостинга, от Notion, от Telegram. И уже с почты восстанавливают пароли от всего остального.

Главный принцип

Защита строится не от «сильного хакера», а от автоматического перебора. Если вы не используете типовых паролей, не оставили админку открытой и включили двухфакторку – вы уже не попадаете в выборку. Робот идёт дальше, к более простой жертве.

Раздел 02 — Новая модель угрозы

Раньше схема выглядела так: умный человек выбрал жертву, изучил её сутками, нашёл дырку, влез. Это дорого, поэтому атаковали в основном крупные компании.

В 2026-м всё иначе. Нейросеть берёт список из миллиона сайтов, за час проходит каждый по пятидесяти типовым уязвимостям, отчёт сразу складывает в общую базу. Атакующему не нужно «выбирать» жертву – он смотрит таблицу и выбирает самые вкусные. Те, кто попроще, но с активом подороже.

Эксперт с базой в 10 тысяч подписчиков и блог на старой версии WordPress – это идеальная жертва. Активов много, защиты ноль, никто не следит за логами.

Вывод простой. Не надо строить «крепость». Надо выйти из выборки лёгких целей. Закрыть базовые дыры, через которые ломают всех подряд, и поставить мониторинг, чтобы заметить, если что-то пошло не так. Дальше работают четыре направления: сайт, доступы, данные, периметр.

Раздел 03 — Защита сайта и блога

Неважно, на чём собран ваш сайт – Тильда, WordPress, лендинг от подрядчика, собственный код. Базовые шаги одни и те же.

Шаг 1 · Поставьте российский WAF:

Щит перед сайтом, который видят россияне

Раньше тут стоял бы Cloudflare. Но с июня 2025 года Роскомнадзор ограничивает трафик до его сетей – первые 16 КБ ответа грузятся нормально, дальше скорость почти обнуляется – троттлинг. Ваши российские посетители либо ждут вечность, либо вовсе не открывают сайт. Поэтому для аудитории в РФ Cloudflare как прокси – плохой выбор.

Рабочие альтернативы, которые встают перед сайтом и фильтруют атаки: DDoS-Guard, StormWall, Selectel CDN+DDoS, Qrator, NGENIX. У DDoS-Guard и Selectel есть бесплатные тарифы для базовой защиты L3-L4, продвинутая защита от ботов и WAF – от 1500 руб в месяц. Оплата картой РФ, поддержка на русском, серверы в России.

Если ваша аудитория преимущественно зарубежная – Cloudflare всё ещё подходит. Если смешанная – проверьте через uptimerobot.com с российской точки доступа, что сайт открывается у тех, кому он нужен.

Шаг 2 · Закройте админку:

Никто не должен заходить в админку через интернет

Если у вас WordPress – переименуйте адрес входа с /wp-admin на нестандартный (плагин WPS Hide Login делает это в один клик). Лучше – ограничьте доступ по IP через настройки веб-сервера или WAF. Зайти можно будет только с вашего домашнего и рабочего интернета.

На Тильде включите двухфакторку в личном кабинете – это в настройках профиля. Без неё угнать сайт можно одним подобранным паролем.

Шаг 3 · Обновите всё:

Старый плагин – дыра, через которую заходят

Зайдите в админку, обновите движок, темы, плагины. Удалите всё, чем не пользуетесь – не отключите, а именно удалите. Каждый неиспользуемый плагин – это код, который никто не проверяет, но через него можно влезть.

Поставьте автообновления для критичных компонентов. На WordPress – встроенная функция, на Тильде эта проблема не стоит.

Шаг 4 · Закройте формы от спама и ботов:

Капча на каждой форме

Любая форма захвата лида – это потенциальная точка слива. Через неё боты могут заваливать вашу базу мусором или, хуже, передавать вредоносные данные в CRM.

На Тильде капча включается в настройках формы за два клика. На своём сайте поставьте Yandex SmartCaptcha – 100 000 проверок в месяц бесплатно на стандартном лимите Yandex Cloud, дальше копейки за запрос, оплата картой РФ. Российским посетителям не нужен VPN, чтобы её увидеть. Альтернатива – Google reCAPTCHA v3, тоже работает в РФ, но ставится сложнее.

Шаг 5 · Уберите лишнюю информацию из публичного доступа:

Никаких .env, .git, /backup в открытом доступе

Откройте в браузере: ваш-сайт.ру/.env, ваш-сайт.ру/.git/config, ваш-сайт.ру/wp-config.php.bak. Если хоть одна страница открылась – у вас проблема. Это базовый чек, через который AI-сканер находит ключи и пароли за секунду.

Если что-то открылось – сразу удалите файл с сервера и смените все пароли, которые в нём были. Потом настройте веб-сервер так, чтобы такие файлы он не отдавал.

Раздел 04 — Аутентификация и пароли

Самая частая дыра не в сайте, а в людях. Пароль Pavel2020! на пяти сервисах – и одного слива достаточно, чтобы потерять всё.

Шаг 1 · Менеджер паролей:

Bitwarden – обязательно

Bitwarden бесплатный и полностью покрывает задачи эксперта: безлимит паролей, синхронизация между устройствами, генератор. Сайт открывается из РФ без VPN, мобильные приложения работают. Премиум-подписка не нужна – бесплатного достаточно.

1Password удобнее, но оплата из РФ только через посредников или зарубежную карту – для большинства это лишний геморрой. Аналогичный российский вариант для тех, кому важна локальная инфраструктура – Passwork (платный, для команд) или встроенные пароли в браузерах Яндекс/Атом.

Правило: каждый сервис – свой уникальный пароль длиной от 16 символов, сгенерированный самим менеджером. Не запоминать, не записывать в заметках, не отправлять себе в Telegram.

Шаг 2 · Двухфакторная аутентификация везде:

2FA на каждом важном сервисе

Что должно быть с 2FA уже сегодня:

• Почта (Gmail, Яндекс, mail.ru) – самое важное, через почту восстанавливают всё остальное
• Telegram – в настройках включить «Облачный пароль»
• Хостинг (Timeweb, Beget, любой)
• Регистратор домена
• CMS вашего сайта (админ-панель Тильды, WordPress)
• Notion, Яндекс Диск, Google Drive, Dropbox
• Банк-клиенты, Продамус, ЮKassa, эквайринги
• GitHub, если есть

Используйте приложение-аутентификатор: Aegis (Android), 2FAS (Android+iOS+desktop, открытый исходник), встроенный «Пароли» (iPhone) или Яндекс Ключ. Authy сейчас в подвешенном состоянии – Twilio закрыл десктоп Authy в марте 2024. Мобильные iOS/Android живы и поддерживаются – как 2FA сервис рабочий, но без Mac/Windows клиента. SMS как второй фактор – плохой вариант: сим-карту переоформляют через салон связи без вашего ведома, и это уже бывало.

Шаг 3 · Recovery-коды:

Распечатайте и положите в сейф

Когда включаете 2FA – сервис показывает 8–10 одноразовых кодов на случай, если потеряете телефон. Их нужно сохранить. Не в облако, не в заметки на самом телефоне. Распечатайте на принтере и положите туда, где у вас лежат паспорта.

Без них при потере телефона вы потеряете доступ ко всему сразу. Это худший день в году эксперта, который не позаботился заранее.

Раздел 05 — База клиентов и платежи

Здесь главный принцип: храните только то, что реально нужно, и держите доступ узким. Каждое лишнее имя в базе – это потенциальный иск через год, если базу сольют.

Шаг 1 · Минимизируйте данные:

Не собирайте лишнего

В лид-форме оставьте только то, что нужно для следующего касания: имя, телеграм. Почта и телефон – только если без них процесс встанет. Чем меньше полей – тем меньше ущерб при сливе и тем выше конверсия (бонус).

Старые базы, которыми вы давно не пользуетесь, удалите или анонимизируйте. Лиды двухлетней давности уже не конвертятся, но при сливе принесут вам штраф по 152-ФЗ.

Шаг 2 · Разделите доступы:

Подрядчику – только то, что нужно для работы

Если ассистент работает с базой через GetCourse, выдайте ему отдельную учётку с правами «менеджер», а не админ. Если SMM-щику нужен доступ в Telegram-канал, добавьте его как админа с ограничениями (без права удалять других админов).

Раз в месяц проходите по списку «у кого есть доступы» и удаляйте всех, кто давно не работает. Бывшие подрядчики – самая частая точка утечки в малом бизнесе.

Шаг 3 · Шифруйте чувствительные данные:

Документы, фото паспортов, договоры – только в зашифрованном виде

Если храните сканы паспортов клиентов или договоры, пакуйте их в ZIP с паролем (через 7-Zip) перед загрузкой в облако. Пароль храните в менеджере, не в той же папке.

Облака уровня Google Drive и Dropbox – нормальный выбор, если сами они защищены 2FA. Локальный жёсткий диск без шифрования – плохой: ноутбук украдут вместе с данными.

Шаг 4 · Платежи – через посредника:

Не привязывайте свою основную карту напрямую

Заведите отдельную карту, которую используете только для онлайн-сервисов, и держите на ней минимальный баланс. Если её скомпрометируют – потеряете 5 тысяч, а не зарплату за месяц.

Для приёма оплат работайте через эквайринг банка или Продамус, а не «через мою карту, скиньте перевод». Любая прямая переписка с реквизитами – это материал для социальной инженерии.

Раздел 06 — Резервные копии

Защита может не сработать. Бэкап нужен не «на всякий случай», а как обязательный второй контур. Без него любой инцидент – это месяцы восстановления.

Шаг 1 · Правило 3-2-1:

Три копии, два носителя, одна вне дома

Три копии данных. На двух разных типах носителей (например, локальный диск + облако). Одна копия физически в другом месте (например, на внешнем диске у родственников или в банковской ячейке).

Это звучит избыточно для эксперта, но базу клиентов и архив курсов так хранить нужно. Один пожар или один шифровальщик-вирус – и без второй копии вы остались ни с чем.

Шаг 2 · Регулярность:

Автоматический бэкап раз в неделю

Сайт на хостинге – большинство хостингов (Timeweb, Beget, Reg.ru) делают бэкапы автоматически, проверьте только, что они включены и хранятся минимум 30 дней. На WordPress можно поставить плагин UpdraftPlus – он будет складывать бэкапы в Dropbox или Google Drive.

База подписчиков – выгружайте раз в неделю в CSV, складывайте в зашифрованную папку в облаке. Уроки и контент – тоже регулярная синхронизация.

Шаг 3 · Тест восстановления:

Бэкап без проверки – это не бэкап

Раз в три месяца берите свой бэкап и пробуйте развернуть его на тестовой площадке. Если в момент аварии окажется, что архивы битые или паролей от них вы уже не помните – толку от них ноль.

Поставьте напоминание в календаре. Январь, апрель, июль, октябрь – пятнадцатого числа: «проверка бэкапов». 15 минут раз в квартал.

Раздел 07 — Мониторинг и алерты

Самая опасная атака – та, которую вы не заметили. AI-взлом часто оставляет сайт работающим: добавляет невидимые редиректы, сливает базу через скрытый плагин, перехватывает платежи. Без мониторинга вы узнаёте об этом через месяц от клиента.

Шаг 1 · UptimeRobot:

Бесплатный сторож, который пишет в Telegram

Регистрация на uptimerobot.com, добавляете свой сайт, цепляете Telegram-чат для уведомлений. Если сайт упал, изменился ответ сервера, отвалился SSL – через минуту вам в личку прилетает алерт.

Проверьте отдельно: главную, страницу оплаты, форму захвата. Если злоумышленник подменит платёжную страницу, UptimeRobot это поймает по контрольному слову на странице.

Шаг 2 · Алерты на вход в важные аккаунты:

Включите уведомления о входе с нового устройства

В Gmail, Telegram, банк-клиентах, хостинге – проверьте, что включены пуши и письма «вход с нового устройства». Если кто-то залогинился ночью с непонятного IP – вы узнаете в первую минуту, а не через неделю.

Раз в месяц проходите в настройках Gmail и Telegram по разделу «Активные сессии» и выкидывайте всё, что вы не узнаёте.

Шаг 3 · Поиск утечек:

Have I Been Pwned

Зайдите на haveibeenpwned.com, введите свой основной email. Сервис покажет все известные утечки, в которых засветился ваш адрес. Если что-то всплыло – тот пароль, который был у этого сервиса, нужно сменить везде, где вы его повторно использовали.

Подпишитесь там же на уведомления. Когда ваш email окажется в новой утечке – вам придёт письмо.

Раздел 08 — Email, домен, DNS

Если злоумышленник угонит ваш домен – он может перенаправить весь трафик к себе и «стать вами» в глазах поисковиков и клиентов. Доменные настройки часто забывают, и зря.

Шаг 1 · Domain Lock у регистратора:

Запрет на трансфер домена

В личном кабинете регистратора (Reg.ru, Timeweb, Beget) найдите опцию «Запрет на передачу» или «Domain Lock». Включите. Без этого даже при компрометации аккаунта домен можно перевести к другому регистратору за 5 дней.

Шаг 2 · Почта на отдельном надёжном провайдере:

Не делайте корпоративную почту через хостинг

Если у вас почта вида info@вашсайт.ру привязана к хостингу – при компрометации хостинга вы теряете и почту. Заведите её через Yandex 360 для бизнеса – от 569 руб/мес за пользователя на минимальном тарифе (по данным апреля 2026, плюс анонсировано повышение с мая), оплата картой РФ, поддержка на русском, есть 2FA через Яндекс Ключ. Полностью бесплатного тарифа сейчас нет (раньше был, осенью 2024-го убрали).

Если ваша основная аудитория и оплаты идут из-за рубежа, и есть зарубежная карта – подойдёт Google Workspace (от $7/мес за пользователя на тарифе Business Starter). Но из РФ оплачивать его сейчас фактически нельзя без посредников.

Главное – чтобы почта, на которую приходят восстановления паролей со всех сервисов, была не там же, где сам сервис.

Шаг 3 · DNSSEC:

Подпись DNS-записей

Если регистратор поддерживает (Reg.ru, REG-RU, многие другие поддерживают) – включите DNSSEC. Это защищает от подмены DNS-ответов на пути к вашему сайту.

Опция обычно в разделе «DNS» или «Управление доменом». Включается одним переключателем.

Раздел 09 — Сервер и доступы

Если у вас свой VPS (например, по гайду из соседней статьи – через Timeweb), это отдельный мир и отдельные правила.

Шаг 1 · SSH по ключу, а не по паролю:

Сгенерируйте ключ и отключите вход по паролю

На своём компьютере: ssh-keygen -t ed25519. Скопируйте публичный ключ на сервер: ssh-copy-id root@your-ip. После этого зайдите на сервер и в файле /etc/ssh/sshd_config поставьте PasswordAuthentication no. Перезапустите SSH: systemctl restart sshd.

Дальше зайти на сервер сможет только тот, у кого ваш приватный ключ. Подобрать пароль больше нельзя в принципе.

Шаг 2 · Файрвол UFW:

Закройте все порты, кроме нужных

На Ubuntu: ufw default deny incoming, ufw allow ssh, ufw allow http, ufw allow https, ufw enable. Всё, что не разрешено явно – закрыто.

Если у вас подняты дополнительные сервисы (база данных, админка чего-то) – их порты не открывайте наружу. Доступ к ним только через SSH-туннель.

Шаг 3 · Fail2ban:

Автоматический бан IP, который перебирает пароли

Установите: apt install fail2ban. Дальше он сам начнёт следить за неудачными попытками входа и банить наглые IP. Это снижает фоновый шум сканеров с тысяч попыток в час до нуля.

Шаг 4 · Автообновления безопасности:

Чтобы критичные патчи ставились без вас

На Ubuntu: apt install unattended-upgrades, потом dpkg-reconfigure unattended-upgrades, выбираете «Yes». Сервер сам будет ставить обновления безопасности и больше ничего, что могло бы случайно сломать ваш сайт.

Раздел 10 — Telegram-канал и боты

Telegram – отдельный риск. Угнанный канал восстановить почти невозможно, а бот с токеном в открытом доступе – находка для злоумышленника.

• Облачный пароль на аккаунт. Настройки → Конфиденциальность → Облачный пароль. Без него аккаунт можно угнать перебросом SIM-карты.
• Активные сессии – проверять раз в неделю. Настройки → Устройства. Всё, что вы не узнаёте – удалить.
• Канал – минимум два админа, каждый с двухфакторкой. Если ваш аккаунт угнали, второй админ восстановит контроль.
• Бот-токен – только в переменных окружения. Никогда в коде, никогда в репозитории, никогда в скриншотах. Если случайно засветили – немедленно перевыпустите через @BotFather.
• Подозрительные ссылки в личке – не открывать. Нейросеть умеет генерировать правдоподобные сообщения от «коллег» с фишинговыми ссылками. Если письмо от «службы безопасности Telegram» – это всегда обман, у Telegram такой службы нет.

Раздел 11 — План на случай взлома

Защита может не сработать. Когда вы заметили, что что-то не так – важно действовать в правильном порядке, а не в панике. Заведите этот план в Notion или в распечатанном виде.

Первые 30 минут:

Остановить дальнейший ущерб

1. Сменить пароль почты (главный) – с компьютера, на котором точно нет вирусов
2. Завершить все активные сессии Telegram, кроме текущей
3. Сменить пароль хостинга, регистратора домена, WAF-провайдера
4. Заблокировать карты, привязанные к скомпрометированным сервисам
5. Уведомить второго админа канала и подрядчиков, чтобы не реагировали на «новые инструкции от вас»

Первые сутки:

Понять масштаб

1. Проверить логи: что и когда было изменено, какие IP заходили
2. Скачать резервную копию базы и сайта на чистый компьютер
3. Связаться с поддержкой хостинга и регистратора, попросить заморозить любые изменения от любого, кроме вас лично
4. Если утекли клиентские данные – подготовить честное письмо клиентам. По 152-ФЗ при утечке вы обязаны уведомить Роскомнадзор в течение 24 часов о самом факте, и в течение 72 часов – результаты внутреннего расследования

Первая неделя:

Восстановиться и закрыть исходную дыру

1. Развернуть сайт из чистого бэкапа (того, который точно был сделан до взлома)
2. Найти и закрыть точку входа: какой пароль утёк, какой плагин был дырявым, какая учётка скомпрометирована
3. Сменить все остальные пароли в менеджере – не только те, что точно утекли
4. Включить всё, что было выключено: 2FA, файрвол, мониторинг
5. Сделать постмортем: записать в Notion, что случилось и почему. В следующий раз эта запись сэкономит дни

Заранее заведите файл «Доступы при ЧП»

В этом файле: телефоны поддержки хостинга, регистратора, банка, Telegram. Логины основных сервисов. Где лежат recovery-коды. Контакты второго админа канала. Адрес страницы для блокировки карт. Этот файл – в распечатанном виде в надёжном месте, не в облаке, к которому может не быть доступа.

Раздел 12 — Чеклист на одну страницу

Сохраните и пройдите по нему за один вечер. Каждый пункт – от 5 до 30 минут.

Что сделать — Время — Бюджет

Поставить Bitwarden и перенести все пароли — 1 час — 0 руб

Включить 2FA на почте, Telegram, хостинге, домене — 30 мин — 0 руб

Распечатать recovery-коды и убрать в сейф — 10 мин — 0 руб

Подключить российский WAF (DDoS-Guard, StormWall, Selectel) — 30 мин — 0–1500 руб/мес

Обновить CMS, удалить лишние плагины и темы — 30 мин — 0 руб

Проверить .env, .git, .bak в открытом доступе — 5 мин — 0 руб

Включить Domain Lock и DNSSEC у регистратора — 10 мин — 0 руб

Подключить UptimeRobot с алертами в Telegram — 15 мин — 0 руб

Проверить почту в Have I Been Pwned — 5 мин — 0 руб

Завести файл «Доступы при ЧП», распечатать — 30 мин — 0 руб

Настроить автобэкапы базы клиентов — 30 мин — 0 руб

Если есть VPS: SSH по ключу, ufw, fail2ban — 40 мин — 0 руб

Поставить напоминание на ежеквартальную проверку — 2 мин — 0 руб

Главная мысль

Не нужно делать всё сразу и идеально. Сделайте 80 процентов из этого чеклиста за один вечер – и вы выходите из категории «лёгкая жертва». Дальше работают только адресные атаки, а на них AI-сканеры не ходят. Они ищут массово, не точечно.

🚀

Что дальше

Этот гайд – фундамент. В клубе разбираем уровень глубже: как настроить мониторинг утечек по всему вашему стеку, как вести аудит подрядчиков, как поднять отдельный сервер для бэкапов, как реагировать в первые минуты, если канал угнали ночью. Внутри – пошаговые уроки, шаблоны документов и регулярные эфиры с разбором кейсов участников.

Плюс десять нейроагентов, которые делают за вас рутину – собирают контент, презентации, сайты, аналитику. И отдельный агент-сторож, который раз в сутки проходит по вашему сайту и отчитывается, что ничего подозрительного не появилось.

Зайти в клуб →