Безопасность — это не “поставили плагин и забыли”. Это управляемый процесс: аудит, закрытие дыр, жёсткая настройка доступа, защита периметра, мониторинг и готовность быстро восстановиться. Если сайт взломают — вы теряете заявки, деньги, доверие, позиции и время.
Мы делаем иначе: выстраиваем защиту так, чтобы атаковать стало дорого, долго и бессмысленно.
Содержание
Когда услуга нужна срочно
- есть подозрение на взлом: редиректы, “левые” страницы, спам в выдаче, странные файлы;
- регулярные попытки брутфорса, рост 403/404/500, нагрузка и “падения”;
- CMS/модули давно не обновлялись, доступы разъехались, никто не отвечает за безопасность;
- есть личный кабинет, формы, платежи, интеграции, API — и вы не уверены в защите;
- нужны уведомления и контроль: кто, что, когда и откуда делает на сайте.
Что мы закрываем (без воды)
- Уязвимости приложения: XSS, SQL-инъекции, CSRF, SSRF, RCE, IDOR, небезопасные загрузки файлов.
- Уязвимости CMS/плагинов/модулей: версии, права, небезопасные эндпоинты, лишние функции.
- Доступы: слабые пароли, отсутствие MFA, открытые админки, лишние роли, утечки ключей.
- Сервер и окружение: открытые порты, неверные права, небезопасные конфиги, уязвимые сервисы.
- Периметр: WAF, анти-DDoS, rate limit, защита от ботов и автоматизированных атак.
- Восстановление: бэкапы, контроль целостности, быстрый откат и план реагирования.
Что делаем
1) Аудит и модель угроз
- собираем карту поверхности атаки: домены, поддомены, админки, API, интеграции;
- проверяем типовые векторы атак и конфиги (сервер/прокси/CDN, права, заголовки);
- фиксируем риски и приоритеты: что критично, что “хорошо бы”, что можно отложить.
2) Усиление приложения и CMS
- закрываем подтверждённые уязвимости (код/шаблоны/настройки/модули);
- жёстко настраиваем роли и доступы, отключаем лишнее;
- включаем защиту форм, входа и административных зон.
3) Усиление инфраструктуры
- настраиваем WAF/правила, rate limiting, защиту от брутфорса;
- минимизируем поверхность атаки: порты, сервисы, доступы, права файлов;
- включаем защитные заголовки и безопасные политики там, где это не ломает функционал.
4) Анти-DDoS и защита от ботов
- подключаем анти-DDoS на уровне сети/провайдера/CDN (по ситуации);
- фильтруем мусорный трафик, ботов, сканеры, “умные” попытки обхода;
- настраиваем ограничения на чувствительные точки: логин, формы, API, поиск.
5) Мониторинг и реагирование
- включаем мониторинг доступности, SSL, ключевых ошибок и всплесков активности;
- настраиваем уведомления в удобный канал (почта/мессенджер);
- фиксируем регламент: что делаем при инциденте, кто принимает решение, как быстро откатываемся.
KPI и измеримость результата
- подтверждённые уязвимости закрыты и повторно проверены;
- админ-доступы и роли приведены в порядок (минимально необходимые права);
- защита периметра настроена (WAF/лимиты/анти-бот), критичные точки “под замком”;
- мониторинг включён: инциденты не “всплывают через неделю”, а ловятся сразу;
- есть план восстановления: бэкапы + понятная процедура отката.
Критерии “готово”
- выдан отчёт: что нашли, что закрыли, что осталось и почему;
- закрыты критичные риски и подтверждённые уязвимости;
- настроены доступы и защитные меры на ключевых точках (вход/формы/API/админка);
- включены уведомления и базовый мониторинг безопасности;
- зафиксированы настройки и регламент реагирования.
Сроки и стоимость
Обычно: 1 день и от 20 000 ₽.
Цена растёт, если проект большой, есть много интеграций/поддоменов, нестандартная инфраструктура, следы взлома или требуется усиленная защита от DDoS. Работаем в Москве и по РФ.
Это хороший шаг, но не единственный. Важно ещё обновлять CMS/плагины, следить за паролями, правами на сервере и делать бэкапы.
Да. Подход примерно один: обновления, доступы, firewall, мониторинг, бэкапы. Детали зависят от платформы и хостинга.
Сначала - изоляция и восстановление из чистого бэкапа, потом - чистка, обновления, закрытие дыр и смена паролей/ключей.
Обычно это 1 день и от 20 000 ₽. Точная оценка зависит от объёма работ и доступов.
Да. Настраиваем мониторинг доступности, SSL и при необходимости - алерты по логам/подозрительным запросам.