Безопасность сайта простыми словами

Ваш сайт работает, заявки идут, и вы про него почти не думаете. Так и должно быть — пока однажды не станет поздно.

За 2025 год правила тихо поменялись: сайты стали ломать массово и автоматически, а за утечку данных клиентов появились серьёзные штрафы. Покажем, что именно изменилось и как проверить себя за полчаса — без покупок.

Что изменилось за последние два года

Поменялись две вещи — и обе касаются вас, даже если сайт «просто работает»

1. Сайты ломают массово и автоматически

Боты сканируют интернет и бьют по любому необновлённому сайту — неважно, на каком он движке. Большинство атак идёт через типовые уязвимости, а не через что-то «гениальное».

в 4+ раза1выросли атаки на веб-ресурсы
предприятий за 9 мес. 2025
83%2компаний держат открытыми
админ-интерфейсы
2. За утечку данных клиентов теперь штрафуют

С мая 2025 действует новый режим штрафов. Касается любого, кто собирает через формы имена, телефоны и почты, — то есть почти каждого сайта с заявками или заказами.

118 утечек3баз данных зафиксировал
РКН за 2025 (52+ млн записей)
до 15 млн ₽4штраф за утечку
по закону
А теперь — про ваш сайт

Проблема в том, что владельцы узнают об этом последними

Взлом неделями остаётся незаметным. Сайт открывается, заявки приходят, а в фоне уже утекает база клиентов и появляются чужие страницы — ссылки на чужие товары, редиректы, иногда видимые только из поиска или только с телефона.

Чаще всего бизнес узнаёт о взломе не от себя: от клиента, которого «перекинуло на казино», или от поисковика, который пометил сайт как опасный. К этому моменту проблема уже не «обновить за вечер».

Во что это превращается

Одно пропущенное обновление → взлом → утечка → штраф

01

Необновлённый сайт

Старые компоненты и слабый контроль доступа.

02

Взлом

Часто незаметен неделями: редиректы, чужие страницы.

03

Утечка базы

Уходят данные клиентов из форм и заказов.

04

Штраф

На уведомление РКН — считанные часы. Сроки — в гайде.

Это не одна проблема. Это шесть статей расходов сразу

База клиентов

Контакты и заказы уходят к злоумышленникам и конкурентам.

Позиции в поиске

Сайт вылетает из выдачи с пометкой «может навредить».

Заявки и выручка

Каждый час простоя или редиректа — потерянные продажи.

Деньги на лечение

Экстренная чистка всегда дороже регулярной профилактики.

Штраф

Когда маховик правоприменения раскрутится — а это вопрос времени.

Репутация

Клиент, чьи данные утекли, второй раз заказ не оставит.

Честно о штрафах: пока суды лояльны — в 2025 за утечки оштрафовали лишь шесть компаний5, и часто дело заканчивается предупреждением. Но смягчают только тех, кто докажет, что занимался безопасностью до инцидента: обновления, аудиты, оперативное уведомление. Это окно открыто как раз для подготовки — и оно закрывается.

Если ваш сайт на 1С-Битрикс

Битрикс — отдельный разговор. Его ломают волнами три года подряд

Это самая массовая мишень в Рунете. И ровно с Битриксом мы работаем глубже всего — знаем, через что заходят, и закрываем эти двери.

2023 · Волна 1

Через уязвимости ядра

Массовые заражения сайтов на устаревших версиях 1С-Битрикс.

2024 · Волна 2

Через компоненты форм

Атаки сместились на уязвимые компоненты каталогов и форм.

с 03.02.2025 · Волна 36

Через шаблоны АСПРО

Самая масштабная. Около 150 000 сайтов остаются уязвимыми.7

Из практики JDPlex
Проблема

На сайте клиента на 1С-Битрикс постоянно внедрялись вредоносные скрипты, а база заказов наполнялась фальшивыми «левыми» заявками. Менеджеры тратили время на разбор фейков, обработка реальных заказов замедлялась, нагрузка на отдел росла.

Что сделали

Нашли и закрыли источник заражения, удалили вредоносный код и защитили сайт от повторного внедрения.

Результат

Поток фейковых заявок прекратился. Менеджеры перестали тратить время на их разбор, а скорость обработки и оформления реальных заказов вернулась к норме.

Почему мы занимаемся безопасностью сайтов

Мы видим эти взломы изнутри — и устали смотреть, как бизнес теряет сайты на ровном месте

Мы занимаемся вебом с 2019 года. И постоянно видим одно и то же: заказчик хочет сделать сайт один раз и забыть про него — но так это не работает. Сайт без присмотра медленно превращается в риск.

Чаще всего бизнес узнаёт о взломе не от себя, а от своих клиентов — уже потеряв деньги или данные. Поэтому мы и занялись поддержкой и безопасностью: чтобы было кому следить за сайтом, пока вы занимаетесь делом.

Как мы закрываем эти «открытые двери»:

Обновляем движок, модули и компоненты — закрываем главный вектор атак.
Мониторим сайт и реагируем на инциденты, пока они не стали катастрофой.
Делаем бэкапы вне хостинга и проверяем, что из них реально можно восстановиться.
Приводим к 152-ФЗ — оформляем согласия, политику и документы по защите данных, чтобы у вас был порядок.
Что входит в набор

Набор для самопроверки — всё, что нужно, чтобы оценить свой сайт

Гайд

Сайт под ударом

Почему риск реален именно сейчас, как устроены массовые взломы и цепочка «взлом → утечка → штраф». С источниками — всё можно проверить.

Чек-лист

Безопасность сайта · 27 пунктов

Самопроверка по обновлениям, доступам, бэкапам и защите. Считаете «нет» — получаете свою зону риска.

Чек-лист

Соответствие 152-ФЗ · 15 пунктов

Что проверят при жалобе или проверке: уведомление РКН, согласия, формы, хранение данных.

Протокол

Первые 24 часа при взломе

Пошаговый план, когда думать уже некогда: остановить ущерб, оценить утечку, вылечить.

Справочник

Таблица штрафов 2025–2026

Сколько стоит каждое нарушение — с диапазонами и ссылками на источники.

Часть проблем вы вполне закроете сами

Поэтому это и набор, а не «купите у нас». Вот инструменты — проверьте себя. Что-то почините за вечер своими руками. А если дыр окажется больше, чем времени, — будет с чем прийти.

Нет времени проверять самому?

Закажите экспресс-аудит JDPlex

За 2–3 дня проверим сайт по обоим чек-листам, покажем уязвимости и риски по 152-ФЗ и дадим план устранения с оценкой. Дальше — почините сами или передадите нам на поддержку.

Узнать про аудит
Почему нам можно доверить сайт

JDPlex — разработка, поддержка и сопровождение сайтов

Работаем с веб-проектами с 2019 года. Поддержка после запуска, отчётность на всех этапах, работа под NDA.

AGIMAФРАМNutNetMONGEO

«Команда проявила высокий уровень профессионализма, ответственности и оперативности. Результаты оказались выше наших ожиданий».

— Генеральный директор ООО «ФРАМ», С.В. Чиненков

Источники данных

  1. Рост атак на веб-ресурсы российских предприятий за 9 мес. 2025 — CNews / WMX: safe.cnews.ru
  2. 83% компаний оставляют открытыми админ-интерфейсы — CNews / «Инфосистемы Джет»: safe.cnews.ru
  3. 118 утечек баз ПДн, 52+ млн записей за 2025 — ComNews / InfoWatch: comnews.ru
  4. Штрафы за утечку (до 15 млн ₽), режим с 30.05.2025 — КонсультантПлюс: consultant.ru
  5. Шесть штрафов за утечки в 2025, динамика практики — Sostav: sostav.ru
  6. Третья волна взломов сайтов на 1С-Битрикс (с 03.02.2025) — Digital Rocket: digitalrocket.ru
  7. ~150 000 уязвимых сайтов на 1C-Bitrix (окт. 2025) — Anti-Malware: anti-malware.ru
Получить набор
Заполните — отправим файлы на указанную почту
Made on
Tilda