Привет, я Максим, веб-разработчик. Тема кибербезопасности кажется далёкой от малого бизнеса — «ну кому нужен наш маленький сайт?». Это самое опасное заблуждение, которое я встречаю. Хакеры не выбирают жертв вручную. Они используют автоматические сканеры, которые перебирают миллионы сайтов в поисках уязвимостей. Вашему сайту не нужно быть «интересным» — достаточно быть «уязвимым». И большинство сайтов малого бизнеса — именно такие.

За последний год я чинил последствия взломов для семи клиентов. У двоих сайт использовался для рассылки спама — хостинг заблокировал аккаунт, сайт лежал 3 дня. У одного — подменили реквизиты на странице оплаты, и клиенты платили мошенникам. У четырёх — на сайт внедрили вредоносный код, который перенаправлял посетителей на казино. Расскажу, как защититься — без паранойи, но с реальным пониманием рисков.

Почему именно малый бизнес — главная цель

Крупные компании (банки, маркетплейсы, госструктуры) тратят миллионы на безопасность: WAF, SOC, пентесты, Bug Bounty. Взломать их сложно и дорого. Малый бизнес — другое дело: на типичном сайте стоит WordPress с 15 плагинами, которые не обновлялись 2 года, пароль администратора — «admin123», бекапов нет, SSL просрочен.

По данным аналитиков кибербезопасности, более 43% кибератак направлены на малый бизнес. При этом 60% малых компаний, ставших жертвами серьёзной атаки, закрываются в течение 6 месяцев. Не потому что одна атака убивает бизнес, а потому что потери (данные, репутация, деньги) оказываются непосильными для маленькой компании.

Что хакеры получают от взлома «маленького» сайта? Хостинг для рассылки спама — ваш сервер рассылает тысячи писем, IP попадает в чёрные списки, хостинг вас блокирует. Площадку для фишинга — на вашем домене создаётся страница, имитирующая Сбербанк. Клиенты вводят данные карт — мошенники их воруют. Ваш домен попадает в блокировки. Вредоносный код для посетителей — на ваш сайт внедряется скрипт, который заражает компьютеры посетителей вирусами или перенаправляет их на мошеннические сайты. Данные клиентов — если на сайте есть форма с персональными данными (имена, телефоны, email, адреса) — их можно украсть и продать. Или потребовать выкуп. Ресурсы сервера — для майнинга криптовалюты. Ваш сайт работает медленно — а вы не понимаете почему.

Главные угрозы для сайта малого бизнеса

Устаревшая CMS и плагины

WordPress — самая популярная CMS в мире (43% всех сайтов). И самая атакуемая. Не потому что WordPress плохой — а потому что массовость делает его привлекательной целью. Хакер находит уязвимость в популярном плагине — и атакует миллионы сайтов одновременно.

Ключевой фактор: обновления. WordPress и его плагины регулярно выпускают патчи безопасности. Если вы не обновляете CMS и плагины — уязвимости накапливаются. Сайт на WordPress 5.0 (2018 год) с плагинами 2020 года — это решето, через которое пройдёт любой автоматический сканер.

Реальный случай: сайт стоматологической клиники на WordPress. Плагин Contact Form 7 — версия 5.1.6 (2020 год). В этой версии обнаружена уязвимость, позволяющая загрузить произвольный файл на сервер. Хакер загрузил веб-шелл, получил полный доступ к серверу, внедрил код перенаправления на казино. Сайт был заражён 3 месяца — владелец не замечал, потому что при прямом заходе всё выглядело нормально (перенаправление срабатывало только для посетителей из Яндекса).

Слабые пароли

«admin / admin123», «admin / password», «admin / название_компании». Звучит нелепо, но я встречаю такие пароли на каждом третьем сайте, который аудирую. Брутфорс (перебор паролей) — одна из самых простых атак. Бот перебирает тысячи комбинаций в минуту. Если ваш пароль — 6 символов без спецсимволов — его подберут за часы.

Отдельная проблема: один пароль на всё. Админка сайта, хостинг, email, CRM, Яндекс Метрика — один и тот же пароль. Утечка пароля из одного сервиса (а утечки баз происходят регулярно) — и хакер получает доступ ко всему.

SQL-инъекции и XSS

Если ваш сайт имеет формы (поиск, обратная связь, авторизация) — они потенциально уязвимы для SQL-инъекций (внедрение вредоносных SQL-запросов через поля формы) и XSS (внедрение JavaScript-кода). Грамотно написанный сайт защищён от этих атак, но если разработчик не позаботился о валидации и экранировании данных — уязвимость есть.

DDoS-атаки

Распределённая атака на отказ в обслуживании — тысячи ботов одновременно обращаются к вашему сайту, перегружая сервер. Сайт перестаёт работать. Для малого бизнеса DDoS — это потеря клиентов на часы или дни.

DDoS часто используется как инструмент конкурентной борьбы. Заказать DDoS-атаку на сайт конкурента стоит от 1 000 рублей в день (к сожалению, это реальность). Если вы работаете в конкурентной нише — риск не нулевой.

Базовые меры защиты: что нужно сделать прямо сейчас

Хорошая новость: 90% атак на малый бизнес — автоматические и примитивные. Базовые меры безопасности отсекают подавляющее большинство угроз. Не нужен бюджет крупной корпорации — нужны конкретные действия.

1. Обновляйте CMS и плагины

Это самое важное. Если вы используете WordPress — обновляйте ядро, тему и все плагины. Настройте автоматические обновления для минорных версий (патчи безопасности). Мажорные обновления — вручную, с предварительным бекапом.

Удалите неиспользуемые плагины и темы. Каждый неактивный плагин — потенциальная уязвимость. Если плагин не обновлялся более года — замените его на поддерживаемый аналог.

Для Битрикс: аналогично — обновляйте платформу и модули. Для кастомных сайтов на Next.js, Laravel, Django — обновляйте зависимости (npm audit, composer audit) и фреймворк.

2. Используйте сильные пароли

Минимум 12 символов, включая заглавные буквы, цифры и спецсимволы. Уникальный пароль для каждого сервиса. Используйте менеджер паролей — Bitwarden (бесплатный), 1Password, KeePass.

Включите двухфакторную аутентификацию (2FA) для админки сайта, хостинга и всех критичных аккаунтов. Даже если пароль утечёт — без второго фактора (SMS, приложение-аутентификатор) хакер не войдёт.

3. Установите SSL-сертификат

HTTPS — обязательный стандарт в 2026 году. SSL шифрует данные между браузером пользователя и вашим сервером — логины, пароли, данные форм не передаются в открытом виде. Без SSL: Яндекс помечает сайт как «Небезопасный», понижает в выдаче, браузер показывает предупреждение посетителю.

Let's Encrypt — бесплатный SSL-сертификат с автоматическим продлением. Установка: 15 минут. Нет ни одной причины не иметь SSL.

4. Делайте регулярные бекапы

Бекап — ваша страховка от всего: взлома, ошибки разработчика, сбоя сервера, случайного удаления. Правило 3-2-1: 3 копии данных, на 2 разных носителях, 1 копия — вне сервера.

Настройте автоматический ежедневный бекап на хостинге. Раз в неделю скачивайте бекап на локальный компьютер или в облако (Яндекс Диск, облако). Проверяйте бекапы: раз в квартал разверните бекап на тестовом сервере и убедитесь, что он рабочий.

Если сайт взломан — вы восстанавливаетесь из бекапа за 30 минут, а не восстанавливаете сайт с нуля за 2 недели.

5. Ограничьте доступ к админке

Для WordPress: измените стандартный URL админки с `/wp-admin` на кастомный (плагин WPS Hide Login). Ограничьте попытки входа (плагин Limit Login Attempts Reloaded — блокирует IP после 5 неудачных попыток). Удалите пользователя «admin» и создайте нового с нестандартным логином. Установите Wordfence (бесплатный плагин безопасности) — файрвол, сканер уязвимостей, мониторинг.

Для кастомных сайтов: ограничьте доступ к админке по IP (если у вас статический IP — разрешите вход только с него). Добавьте rate limiting (ограничение частоты запросов) для страницы авторизации. Логируйте все попытки входа.

6. Защитите формы

Все формы на сайте должны иметь: защиту от ботов (Яндекс SmartCaptcha или аналог), валидацию данных на стороне сервера (не доверяйте клиентской валидации — её можно обойти), экранирование пользовательского ввода (защита от SQL-инъекций и XSS), ограничение размера загружаемых файлов (если форма принимает файлы).

7. Подключите мониторинг

Вы должны узнавать о проблемах мгновенно — а не через 3 месяца, когда Яндекс пометит сайт как вредоносный.

UptimeRobot (бесплатный) — мониторинг доступности. Если сайт упал — вы получаете уведомление в Telegram за 1 минуту. Яндекс Вебмастер — уведомления о проблемах безопасности (если Яндекс обнаружит вредоносный код на сайте — вы узнаете первым). Sucuri SiteCheck (бесплатный) — онлайн-сканер. Проверяйте раз в месяц, нет ли вредоносного кода на сайте.

8. Закройте доступ к служебным файлам

Файлы wp-config.php, .env, .git, .htaccess, резервные копии баз данных — не должны быть доступны из интернета. Я регулярно нахожу на сайтах клиентов файлы типа backup.sql в публичной директории — с полным дампом базы данных, включая пароли и персональные данные.

Проверьте: откройте в браузере `ваш_сайт/.env`, `ваш_сайт/wp-config.php.bak`, `ваш_сайт/.git/config`. Если что-то из этого открылось — у вас серьёзная проблема.

Что делать, если сайт уже взломали

Шаг 1. Не паникуйте, но действуйте быстро

Каждый час, пока сайт заражён — посетители видят вредоносный контент, Яндекс фиксирует проблемы, репутация страдает.

Шаг 2. Сделайте бекап текущего состояния

Да, даже заражённого сайта. Это может понадобиться для анализа — как именно взломали, какие данные утекли.

Шаг 3. Восстановите из чистого бекапа

Если есть бекап до взлома — разверните его. Это самый быстрый способ. После восстановления — немедленно обновите все пароли и CMS/плагины.

Шаг 4. Если бекапа нет — чистка вручную

Найдите и удалите вредоносный код. Для WordPress: Wordfence или Sucuri могут просканировать файлы и найти модификации. Проверьте все файлы тем и плагинов — сравните с оригиналами. Проверьте базу данных — хакеры часто внедряют код в записи и настройки.

Это сложная и кропотливая работа. Если не уверены в своих навыках — наймите специалиста по безопасности. Стоимость чистки: от 10 000 до 50 000 рублей в зависимости от сложности.

Шаг 5. Закройте уязвимость

Найдите, как хакер проник — и устраните причину. Обновите CMS и плагины, смените все пароли, удалите лишних пользователей, закройте доступ к служебным файлам.

Шаг 6. Уведомите Яндекс

Если Яндекс пометил ваш сайт как вредоносный — после чистки запросите повторную проверку через Яндекс Вебмастер. Обычно снятие метки занимает 1–3 дня.

Стоимость базовой защиты

Аудит безопасности сайта — от 10 000 рублей. Проверка: обновления, пароли, доступы, служебные файлы, уязвимости форм, SSL, бекапы. Результат: отчёт с приоритизированными рекомендациями.

Базовая настройка безопасности (обновление, 2FA, Wordfence, бекапы, мониторинг) — от 15 000 рублей. Разовая работа.

Ежемесячное обслуживание (обновления, мониторинг, реагирование на инциденты) — от 5 000 руб./мес.

Восстановление после взлома — от 15 000 рублей.

Сравните с потенциальными потерями: простой сайта 3 дня = потеря заявок × 3 × средний чек. Утечка данных клиентов = штраф до 18 млн рублей. Подмена реквизитов оплаты = прямой финансовый ущерб. Базовая защита за 15 000–30 000 рублей — это страховка от потерь, измеряемых сотнями тысяч.

Если хотите проверить безопасность вашего сайта — пишите, проведу аудит и закроем основные уязвимости.