АП-ИМ
Написать нам в Telegram
+7 (812) 99-777-05info@up-im.ru

Кибербезопасность сайта для бизнеса в 2026: как не стать лёгкой добычей хакеров

Безопасность
1 марта 2026 г.
Фото Максим Козлов
Максим КозловРуководитель отдела разработки

Если вы думаете, что хакеры атакуют только крупные корпорации — это заблуждение, которое дорого обходится малому и среднему бизнесу. По данным Positive Technologies, в 60% случаев злоумышленники проникают во внутренние сети компаний именно через уязвимости веб-приложений — то есть через ваш сайт. А с 30 мая 2025 года за утечку персональных данных в России действуют оборотные штрафы до 500 млн рублей. Разбираемся, какие угрозы актуальны прямо сейчас, что проверить на своём сайте и как не стать лёгкой добычей.

Почему под ударом именно малый и средний бизнес

Крупные компании вкладывают миллионы в кибербезопасность, создавая эшелонированные системы защиты. У малого бизнеса таких ресурсов нет — и злоумышленники это прекрасно знают. По данным RED Security SOC, с начала 2025 года количество кибератак на российские компании превысило 105 тысяч — рост на 46% по сравнению с аналогичным периодом 2024 года. Каждая пятая атака была критической и могла привести к убыткам свыше миллиона рублей.

Логика хакеров проста: зачем ломать банк с круглосуточной охраной, если можно за несколько часов автоматическими сканерами проверить тысячи сайтов малого бизнеса и найти среди них десятки незащищённых? Под прицелом находятся популярные CMS: WordPress, MODX, Drupal, 1С-Битрикс. Автоматические боты круглосуточно сканируют сайты, попавшие в поисковую выдачу, в поисках известных уязвимостей.

Главные киберугрозы для сайтов в 2025–2026 году

DDoS-атаки: когда сайт просто перестаёт работать

DDoS-атака — это поток ложных запросов, который перегружает сервер и делает сайт недоступным для реальных клиентов. В первом квартале 2025 года ГК «Солар» зафиксировала 801 миллион веб-атак на сайты российских компаний — вдвое больше, чем годом ранее. Особенно пострадали логистические, государственные и финансовые сайты. Для интернет-магазина даже несколько часов простоя — это прямые убытки и потеря доверия клиентов.

Взлом через уязвимости CMS и плагинов

Устаревшая версия движка или непроверенный плагин — это открытая дверь для хакера. По статистике, более 70% сайтов на WordPress работают на уязвимых версиях. Злоумышленники используют базы известных уязвимостей, чтобы автоматически находить и взламывать такие сайты. После взлома хакер может подменить контент, встроить вредоносный код для заражения посетителей или получить доступ к базе данных с персональными данными клиентов.

SQL-инъекции: кража базы данных через форму на сайте

Если формы обратной связи, поиск или фильтры каталога на сайте обрабатывают пользовательский ввод без должной проверки, злоумышленник может подставить специальный код и получить доступ ко всей базе данных. Это позволяет украсть логины, пароли, email-адреса, платёжную информацию, а также изменить или удалить данные. SQL-инъекции остаются одним из самых распространённых и опасных методов атак на веб-приложения.

XSS-атаки: вредоносный код на страницах вашего сайта

Межсайтовый скриптинг (XSS) — это внедрение вредоносного JavaScript-кода в страницы сайта. Посетитель открывает обычную страницу, а в фоне выполняется скрипт, который крадёт его cookies, перехватывает данные форм или перенаправляет на фишинговую страницу. Опасность в том, что сам владелец сайта может долго не замечать проблему — сайт выглядит и работает нормально, но каждый посетитель подвергается атаке.

Вирусы-шифровальщики: заплати или потеряй всё

В 2025 году 76% критических кибератак были направлены на уничтожение инфраструктуры: шифрование данных или полное разрушение системы. Для малого и среднего бизнеса средняя сумма выкупа за расшифровку данных составляет от 240 тысяч до 4 млн рублей. При этом выплата выкупа не гарантирует восстановление данных — она лишь привлекает новых вымогателей.

Оборотные штрафы: новая реальность с 2025 года

С 30 мая 2025 года в России действует Федеральный закон № 420-ФЗ, который кардинально ужесточил ответственность за утечку персональных данных. Вот что грозит бизнесу:

  • Первичная утечка: штраф для юрлиц от 3 до 15 млн рублей в зависимости от объёма утечки
  • Повторная утечка: оборотный штраф от 1% до 3% годовой выручки, но не менее 20–25 млн рублей и не более 500 млн рублей
  • Неуведомление Роскомнадзора: штраф до 3 млн рублей
  • Нарушение порядка обработки персональных данных: штраф от 150 до 700 тыс. рублей

Злоумышленники уже используют эти штрафы как рычаг давления: взламывают сайт, крадут базу клиентов, а затем шантажируют владельца — «заплати нам, иначе мы сообщим в Роскомнадзор и тебе выпишут штраф в разы больше». Для малого бизнеса даже минимальный штраф в несколько миллионов рублей может стать критическим ударом.

Чек-лист: 12 пунктов базовой защиты сайта

Не нужно быть экспертом по кибербезопасности, чтобы закрыть основные уязвимости. Вот что необходимо проверить прямо сейчас:

Инфраструктура и хостинг

  1. SSL-сертификат и HTTPS. Все страницы сайта должны работать через защищённое соединение. Это не только защита данных, но и фактор ранжирования в поисковых системах.
  2. Регулярные обновления. CMS, плагины, модули, PHP — всё должно быть актуальной версии. Настройте автоматические обновления или проводите проверку хотя бы раз в месяц.
  3. Резервное копирование. Ежедневные бэкапы базы данных и файлов сайта с хранением на отдельном сервере. В случае взлома или шифрования вы сможете восстановить сайт за часы, а не за недели.
  4. Выбор надёжного хостинга. Общий (shared) хостинг — это как коммунальная квартира: взлом соседнего сайта может скомпрометировать и ваш. Для бизнес-сайта лучше выбрать VPS или выделенный сервер.

Защита от атак

  1. Web Application Firewall (WAF). Фильтрует входящий трафик и блокирует вредоносные запросы до того, как они достигнут сайта. Защищает от SQL-инъекций, XSS-атак и попыток взлома админ-панели.
  2. Защита от DDoS. Подключите специализированный сервис (Cloudflare, DDoS-Guard или аналоги), который фильтрует вредоносный трафик и обеспечивает доступность сайта даже во время атаки.
  3. Защита от ботов. Настройте CAPTCHA на формах, ограничьте частоту запросов с одного IP, используйте инструменты для блокировки вредоносных ботов.

Доступы и аутентификация

  1. Сложные пароли и двухфакторная аутентификация (2FA). Для админ-панели, FTP, SSH, хостинга — везде уникальные сложные пароли и 2FA. Простой пароль подбирается за минуты.
  2. Ограничение доступа к админ-панели. Фильтрация по IP-адресам, изменение стандартного URL админки (/wp-admin, /bitrix/admin), ограничение числа попыток входа.
  3. Разграничение прав доступа. Каждый сотрудник должен иметь только те права, которые нужны для его работы. Увольняя сотрудника — немедленно отзывайте все доступы.

Персональные данные и юридическая защита

  1. Отдельные согласия на обработку ПД. С 1 сентября 2025 года (ФЗ № 156-ФЗ от 24.06.2025) согласие на обработку персональных данных должно быть оформлено как самостоятельный документ — его нельзя включать в пользовательское соглашение, оферту или политику конфиденциальности. Кроме того, согласие на рекламные рассылки оформляется отдельно от согласия на обработку ПД. На практике это означает: на каждой форме сайта нужны отдельные галочки — одна на обработку персональных данных (со ссылкой на отдельный документ согласия), другая — на получение рекламных материалов. Галочки должны быть пустыми по умолчанию. Штраф за отсутствие правильного согласия — до 700 тыс. рублей.
  2. Уведомление Роскомнадзора. Проверьте, что ваша компания зарегистрирована как оператор персональных данных в реестре РКН на pd.rkn.gov.ru. Штраф за отсутствие уведомления — до 300 тыс. рублей.

Что делать, если сайт уже взломали

Если вы обнаружили признаки взлома — подменён контент, сайт перенаправляет на чужие страницы, поисковики показывают предупреждение о вредоносном ПО, в коде появились незнакомые скрипты — действуйте по плану:

  1. Немедленно ограничьте доступ — смените все пароли (хостинг, FTP, SSH, админ-панель, база данных).
  2. Зафиксируйте инцидент — сохраните логи, скриншоты, сделайте копию заражённого сайта для анализа.
  3. Если произошла утечка ПД — уведомите Роскомнадзор в течение 24 часов. Неуведомление — отдельный штраф.
  4. Проведите расследование — определите вектор атаки и закройте уязвимость.
  5. Восстановите сайт из чистого бэкапа — если он есть. Если нет — потребуется полная очистка и проверка всех файлов.
  6. Проверьте сайт в поисковых системах — если Google или Яндекс пометили сайт как опасный, после очистки запросите повторную проверку через панель вебмастера.

Сколько стоит кибербезопасность — и сколько стоит её отсутствие

Экспресс-аудит безопасности сайта и сервера стоит от 50 000 рублей и занимает 1–3 рабочих дня — за это время специалисты проверят серверную инфраструктуру, CMS, модули, SSL-конфигурацию, открытые данные и известные CVE-уязвимости. Полный аудит с ручным тестированием — от 100 000 рублей. Постоянный мониторинг — от 15 000 рублей в месяц.

Если взлом уже произошёл, экстренное восстановление обойдётся в 30 000–80 000 рублей, а диагностика первые 15 минут — бесплатная. Но лучше не доводить до этого.

Для сравнения — цена бездействия:

  • Средний выкуп вымогателям для МСБ: от 240 тыс. до 4 млн рублей
  • Минимальный штраф за первичную утечку ПД: от 3 млн рублей
  • Оборотный штраф за повторную утечку: от 20 млн рублей
  • Средний простой бизнеса после взлома: 5–14 дней
  • Стоимость восстановления после инцидента: в 3–5 раз дороже профилактики

Кибербезопасность — это не разовая акция, а постоянный процесс. Проще и дешевле найти уязвимость до того, как её найдут хакеры.