Аудит безопасности сайта

Безопасность сайта

Простыми словами: мы проверяем сайт так, как это сделал бы настоящий хакер. Пытаемся взломать админку, украсть базу клиентов, подменить реквизиты на странице оплаты, повесить вирус на главной. Находим дырки — пишем как закрыть. Это называется «пентест» (от англ. penetration testing) или «аудит безопасности».

Написать в Telegram → Тарифы

1 из 3

сайтов взламывают

~200 тыс ₽

средняя стоимость взлома

от 15 000 ₽

стартовый тариф

2–5 дней

срок проверки

Что грозит без аудита

Чем заканчивается взлом

Один реальный взлом обычно дороже годового аудита. Особенно если у вас есть база клиентов или приём оплат.

Кража базы

Утечка клиентской базы

База email и телефонов утекает к конкурентам или продаётся на чёрном рынке. Клиенты идут в суд + штраф РКН 1–6 млн ₽.

Подмена

Подменены реквизиты оплаты

Хакер меняет номер карты/счёта на странице «Оплатить». Клиенты переводят деньги мошеннику — вы виноваты.

Вирус

Сайт раздаёт вирусы

На главной появляется скрытый код который заражает посетителей. Браузеры начинают помечать сайт как «опасный».

Дефейс

Замена главной страницы

Хакеры заменяют ваш сайт своим текстом (часто политическим). Утром приходите — а сайт нерабочий или с матерком на главной.

SEO-bомба

Скрытое размещение ссылок

Хакер использует ваш домен для продвижения других сайтов (казино, наркотики). Yandex/Google понижают вас в выдаче на годы.

Простой

Сайт лежит — продажи стоят

DDoS-атака, переполнение сервера. Сайт недоступен 1–7 дней. Прямые потери выручки + урон репутации.

Что проверяем

Уязвимости и слабые места

Без сложных терминов — рядом с каждым пунктом простое объяснение что это и чем опасно.

✓XSS-уязвимости — может ли хакер вставить вредоносный код в форму

✓SQL-инъекции — может ли хакер выкачать базу данных через форму поиска

✓CSRF-защита — можно ли «подделать» действие пользователя

✓Безопасность админки — где её URL, слабые пароли, 2FA

✓HTTPS-сертификат — корректность, версия TLS, HSTS

✓HTTP-заголовки — CSP, X-Frame-Options, защита от clickjacking

✓Открытые порты сервера — что доступно из интернета

✓Утечки в исходном коде — API-ключи, тестовые пароли в JS

✓Уязвимые библиотеки — старый jQuery, WordPress, плагины

✓Файлы и каталоги — открытый .git, бэкапы, /admin/, robots.txt

✓Защита форм — капча, лимит запросов, защита от ботов

✓Загрузка файлов — можно ли загрузить вирус как фотографию

✓API endpoints — доступ без авторизации, утечки

✓Сессии и cookie — флаги Secure, HttpOnly, SameSite

✓Восстановление пароля — устойчивость к перебору

✓Защита от DDoS — есть ли у вас вообще

Тарифы — Безопасность

3 уровня глубины

От быстрой проверки за 15 тыс до полного pentest с эксплуатацией найденных уязвимостей.

Лайт

от15 000 ₽

базовая проверка · 1–2 дня

Сканирование автоматизированными инструментами
Проверка HTTPS и заголовков
Анализ открытых портов
Проверка устаревших библиотек
PDF-отчёт со списком уязвимостей
Ручной анализ
Исправление дыр

Заказать

Стандарт

от60 000 ₽

ручной аудит + исправления · 5–7 дней

Всё из «Лайт»
Ручная проверка форм, API, админки
Попытка обойти авторизацию
Проверка бизнес-логики
Исправление критичных дыр
Настройка безопасных заголовков
Защита от DDoS на постоянку

Заказать

Полный pentest

от150 000 ₽

всё включено + год сопровождения

Всё из «Стандарт»
Эксплуатация найденных уязвимостей (с разрешения)
Социальная инженерия (фишинг тест)
Проверка серверной инфраструктуры
Внедрение системы мониторинга
WAF + защита от DDoS на год
Реагирование на инциденты 24/7

Обсудить

Как работаем

4 простых этапа

Для любого из 3 аудитов процесс одинаковый. Никакого формализма и бумажек — всё в Telegram и по email.

Бриф

15 минут в Telegram. Расскажете про сайт, кто клиенты, какие формы и платежи есть. Сразу скажу что вижу.

Аудит

1–7 дней (зависит от тарифа). Проверяю по чек-листу. Готовлю PDF-отчёт с пояснениями простыми словами.

Согласование

Обсуждаем что нашлось. Решаем что критично, что — нет. По «Фикс» и «Под ключ» — план исправлений.

Внедрение

Если выбрали тариф с исправлениями — устраняю проблемы. Передаю обновлённые документы и доступы.

Частые вопросы

FAQ

Не нашли ответа — спросите в Telegram.

Что такое 152-ФЗ простыми словами?

Это закон о персональных данных. Если ваши клиенты оставляют на сайте имя, телефон, email, адрес — это персональные данные. Закон требует, чтобы вы это правильно собирали, хранили и защищали. Иначе — штрафы до 18 млн ₽, а с 2024 года введён оборотный штраф до 500 млн ₽ за повторное нарушение.

Зачем мне аудит безопасности, если сайт работает?

Сайт может работать, но при этом иметь дырки в безопасности, через которые хакер скачает базу клиентов или подменит реквизиты на странице оплаты. Аудит — это профилактика: ищем проблемы до того, как ими воспользуются. Один взлом обычно стоит дороже годового аудита.

Что проверяет юридический аудит?

Все юридические тексты на сайте: оферту, пользовательское соглашение, политику возвратов, рекламные тексты (38-ФЗ), обязательные реквизиты. Защищает от исков клиентов и штрафов Роспотребнадзора, ФАС, налоговой.

Сколько времени занимает аудит?

От 1 до 7 рабочих дней в зависимости от тарифа и сложности сайта. Простые лендинги — 1–2 дня. Крупные интернет-магазины с личными кабинетами — до 7 дней.

Можно ли заказать 2–3 аудита со скидкой?

Да. При заказе любых 2 аудитов — скидка 10%, при заказе всех 3 — скидка 20%. Обсудим в Telegram.

Можно ли проверить без доступа к админке?

Да, базовый аудит делается со стороны посетителя — проверяем что видно публично. Для глубокого аудита и устранения нарушений нужен доступ.

С каким договором работаете?

ИП Дарижапова Рыгзема Баировна (ИНН 031101842043, ОГРНИП 326750000005553). Заключаем договор оказания услуг с актами выполненных работ. Безналичная оплата на расчётный счёт ИП.

Что если у нас уже есть предписание Роскомнадзора?

Берём в работу срочно — приоритет 1. Аудит делаем за 24 часа, исправления параллельно. Срок исполнения предписания РКН обычно 10 дней — мы укладываемся.

Не знаете с чего начать?

Напишите в Telegram. За 15 минут разберёмся какой аудит вам сейчас актуальнее, и какой тариф подойдёт. Это бесплатно и без обязательств.

Написать в Telegram →

* Цены «от» — финальная стоимость зависит от размера сайта, сложности и срочности. Уточняем после брифа. Информация не является публичной офертой.