А вы знали, что большинство владельцев сайтов даже не подозревают, какую информацию их сайт раскрывает о себе в открытый доступ? Версия движка, структура папок, служебные страницы — всё это видно без единого взлома.
Разбираемся, как проверить свой сайт глазами злоумышленника — и что закрыть до того, как это сделают за вас.
Что раскрывает сайт о себе
Любой сайт — это не просто страница в браузере. За ней стоит инфраструктура: сервер, CMS, плагины, субдомены, служебные файлы. Всё это оставляет следы в открытом доступе.
Задача проверки — увидеть свой сайт так, как его видит человек, который ищет точку входа.
Шаг 1. Узнайте, на чём работает ваш сайт
Первое, что делает любой аналитик — определяет технологический стек. CMS, фреймворк, версии плагинов. Устаревшая версия WordPress с известной уязвимостью — уже готовая точка входа.
Инструменты
Wappalyzer — wappalyzer.com. Браузерное расширение и онлайн-сервис. Показывает CMS, фреймворки, аналитику, рекламные системы — всё, что использует сайт. Бесплатно.
BuiltWith — builtwith.com. Более детальный анализ технологий. Показывает историю изменений — на чём сайт работал раньше.
Что делать: если используете WordPress, Joomla или другую популярную CMS — убедитесь, что версия актуальна. Каждая устаревшая версия — публично известный список уязвимостей.
Шаг 2. Проверьте, что вы случайно не спрятали
Парадокс: файл robots.txt создан для того, чтобы скрывать разделы от поисковиков. Но он публичен — и показывает всем, что именно владелец хочет скрыть.
Инструменты
Robots.txt — просто добавьте /robots.txt к адресу своего сайта. Посмотрите, что там написано. Если там указаны /admin, /backup, /private — это видно всем.
Google Search Console — показывает, какие страницы вашего сайта проиндексированы. Иногда там обнаруживаются разделы, которые не должны были попасть в поиск.
Что делать: служебные страницы закрывайте не через robots.txt, а через пароль или ограничение по IP.
Шаг 3. Найдите субдомены, о которых забыли
Старый тестовый поддомен, заброшенная версия сайта, служебная панель — всё это часто остаётся висеть в открытом доступе годами. И часто обновляется реже, чем основной сайт.
Инструменты
SSL-сертификат — зайдите на crt.sh и введите ваш домен. Сервис показывает все сертификаты, выданные для вашего домена — включая субдомены, которые вы, возможно, уже забыли.
DNSDumpster — dnsdumpster.com. Карта DNS-инфраструктуры домена. Показывает все связанные поддомены, почтовые серверы, IP-адреса.
Что делать: найдите все активные субдомены и закройте те, которые больше не нужны.
Шаг 4. Проверьте, что видно снаружи
Shodan — поисковик по серверам и устройствам. Он индексирует открытые порты, версии программного обеспечения, конфигурации серверов. То, что видит Shodan — видит любой.
Инструменты
Shodan — shodan.io. Введите IP-адрес вашего сервера — и увидите, что он транслирует наружу. Открытые порты, версии сервисов, потенциальные уязвимости. Базовый поиск бесплатен.
Censys — search.censys.io. Аналог Shodan с более детальным анализом сертификатов и сетевой инфраструктуры.
Что делать: закройте все порты, которые не нужны для работы сайта. Обновите серверное программное обеспечение до актуальных версий.
Шаг 5. Проверьте утечки данных
Если сайт когда-либо взламывали — данные пользователей могли утечь в открытый доступ. Часто владелец об этом не знает.
Инструменты
Have I Been Pwned — haveibeenpwned.com. Введите email, связанный с доменом — сервис покажет, фигурировал ли он в известных утечках.
DeHashed — dehashed.com. Более широкая база утечек. Позволяет искать по домену — и найти все скомпрометированные аккаунты, связанные с вашим сайтом.
Что делать: если данные утекли — уведомите пользователей и принудительно сбросьте пароли.
Реальность такова
Большинство взломов происходит не через сложные атаки — а через то, что владелец сайта просто не проверил. Устаревший плагин, забытый субдомен, открытый порт — каждая мелочь может стать точкой входа.
Проверить свой сайт по этим шагам — это не паранойя. Это минимальная гигиена.
Если хотите провести полноценный аудит безопасности своего сайта — на нашем форуме работают специалисты, которые занимаются этим профессионально.
Проверяли когда-нибудь свой сайт на уязвимости — или узнали что-то новое? Пишите в комментарии — задавайте вопросы, предлагайте темы.