Как защитить блог и базу клиентов от взлома нейросетями: в опасности все

Щит перед сайтом, который видят россияне

Раньше тут стоял бы Cloudflare. Но с июня 2025 года Роскомнадзор ограничивает трафик до его сетей – первые 16 КБ ответа грузятся нормально, дальше скорость почти обнуляется – троттлинг. Ваши российские посетители либо ждут вечность, либо вовсе не открывают сайт. Поэтому для аудитории в РФ Cloudflare как прокси – плохой выбор.

Рабочие альтернативы, которые встают перед сайтом и фильтруют атаки: DDoS-Guard, StormWall, Selectel CDN+DDoS, Qrator, NGENIX. У DDoS-Guard и Selectel есть бесплатные тарифы для базовой защиты L3-L4, продвинутая защита от ботов и WAF – от 1500 руб в месяц. Оплата картой РФ, поддержка на русском, серверы в России.

Если ваша аудитория преимущественно зарубежная – Cloudflare всё ещё подходит. Если смешанная – проверьте через uptimerobot.com с российской точки доступа, что сайт открывается у тех, кому он нужен.

Никто не должен заходить в админку через интернет

Если у вас WordPress – переименуйте адрес входа с /wp-admin на нестандартный (плагин WPS Hide Login делает это в один клик). Лучше – ограничьте доступ по IP через настройки веб-сервера или WAF. Зайти можно будет только с вашего домашнего и рабочего интернета.

На Тильде включите двухфакторку в личном кабинете – это в настройках профиля. Без неё угнать сайт можно одним подобранным паролем.

Старый плагин – дыра, через которую заходят

Зайдите в админку, обновите движок, темы, плагины. Удалите всё, чем не пользуетесь – не отключите, а именно удалите. Каждый неиспользуемый плагин – это код, который никто не проверяет, но через него можно влезть.

Поставьте автообновления для критичных компонентов. На WordPress – встроенная функция, на Тильде эта проблема не стоит.

Капча на каждой форме

Любая форма захвата лида – это потенциальная точка слива. Через неё боты могут заваливать вашу базу мусором или, хуже, передавать вредоносные данные в CRM.

На Тильде капча включается в настройках формы за два клика. На своём сайте поставьте Yandex SmartCaptcha – 100 000 проверок в месяц бесплатно на стандартном лимите Yandex Cloud, дальше копейки за запрос, оплата картой РФ. Российским посетителям не нужен VPN, чтобы её увидеть. Альтернатива – Google reCAPTCHA v3, тоже работает в РФ, но ставится сложнее.

Никаких .env, .git, /backup в открытом доступе

Откройте в браузере: ваш-сайт.ру/.env, ваш-сайт.ру/.git/config, ваш-сайт.ру/wp-config.php.bak. Если хоть одна страница открылась – у вас проблема. Это базовый чек, через который AI-сканер находит ключи и пароли за секунду.

Если что-то открылось – сразу удалите файл с сервера и смените все пароли, которые в нём были. Потом настройте веб-сервер так, чтобы такие файлы он не отдавал.

Bitwarden – обязательно

Bitwarden бесплатный и полностью покрывает задачи эксперта: безлимит паролей, синхронизация между устройствами, генератор. Сайт открывается из РФ без VPN, мобильные приложения работают. Премиум-подписка не нужна – бесплатного достаточно.

1Password удобнее, но оплата из РФ только через посредников или зарубежную карту – для большинства это лишний геморрой. Аналогичный российский вариант для тех, кому важна локальная инфраструктура – Passwork (платный, для команд) или встроенные пароли в браузерах Яндекс/Атом.

Правило: каждый сервис – свой уникальный пароль длиной от 16 символов, сгенерированный самим менеджером. Не запоминать, не записывать в заметках, не отправлять себе в Telegram.

2FA на каждом важном сервисе

Что должно быть с 2FA уже сегодня:

• Почта (Gmail, Яндекс, mail.ru) – самое важное, через почту восстанавливают всё остальное
• Telegram – в настройках включить «Облачный пароль»
• Хостинг (Timeweb, Beget, любой)
• Регистратор домена
• CMS вашего сайта (админ-панель Тильды, WordPress)
• Notion, Яндекс Диск, Google Drive, Dropbox
• Банк-клиенты, Продамус, ЮKassa, эквайринги
• GitHub, если есть

Используйте приложение-аутентификатор: Aegis (Android), 2FAS (Android+iOS+desktop, открытый исходник), встроенный «Пароли» (iPhone) или Яндекс Ключ. Authy сейчас в подвешенном состоянии – Twilio закрыл десктоп Authy в марте 2024. Мобильные iOS/Android живы и поддерживаются – как 2FA сервис рабочий, но без Mac/Windows клиента. SMS как второй фактор – плохой вариант: сим-карту переоформляют через салон связи без вашего ведома, и это уже бывало.

Распечатайте и положите в сейф

Когда включаете 2FA – сервис показывает 8–10 одноразовых кодов на случай, если потеряете телефон. Их нужно сохранить. Не в облако, не в заметки на самом телефоне. Распечатайте на принтере и положите туда, где у вас лежат паспорта.

Без них при потере телефона вы потеряете доступ ко всему сразу. Это худший день в году эксперта, который не позаботился заранее.

Не собирайте лишнего

В лид-форме оставьте только то, что нужно для следующего касания: имя, телеграм. Почта и телефон – только если без них процесс встанет. Чем меньше полей – тем меньше ущерб при сливе и тем выше конверсия (бонус).

Старые базы, которыми вы давно не пользуетесь, удалите или анонимизируйте. Лиды двухлетней давности уже не конвертятся, но при сливе принесут вам штраф по 152-ФЗ.

Подрядчику – только то, что нужно для работы

Если ассистент работает с базой через GetCourse, выдайте ему отдельную учётку с правами «менеджер», а не админ. Если SMM-щику нужен доступ в Telegram-канал, добавьте его как админа с ограничениями (без права удалять других админов).

Раз в месяц проходите по списку «у кого есть доступы» и удаляйте всех, кто давно не работает. Бывшие подрядчики – самая частая точка утечки в малом бизнесе.

Документы, фото паспортов, договоры – только в зашифрованном виде

Если храните сканы паспортов клиентов или договоры, пакуйте их в ZIP с паролем (через 7-Zip) перед загрузкой в облако. Пароль храните в менеджере, не в той же папке.

Облака уровня Google Drive и Dropbox – нормальный выбор, если сами они защищены 2FA. Локальный жёсткий диск без шифрования – плохой: ноутбук украдут вместе с данными.

Не привязывайте свою основную карту напрямую

Заведите отдельную карту, которую используете только для онлайн-сервисов, и держите на ней минимальный баланс. Если её скомпрометируют – потеряете 5 тысяч, а не зарплату за месяц.

Для приёма оплат работайте через эквайринг банка или Продамус, а не «через мою карту, скиньте перевод». Любая прямая переписка с реквизитами – это материал для социальной инженерии.

Три копии, два носителя, одна вне дома

Три копии данных. На двух разных типах носителей (например, локальный диск + облако). Одна копия физически в другом месте (например, на внешнем диске у родственников или в банковской ячейке).

Это звучит избыточно для эксперта, но базу клиентов и архив курсов так хранить нужно. Один пожар или один шифровальщик-вирус – и без второй копии вы остались ни с чем.

Автоматический бэкап раз в неделю

Сайт на хостинге – большинство хостингов (Timeweb, Beget, Reg.ru) делают бэкапы автоматически, проверьте только, что они включены и хранятся минимум 30 дней. На WordPress можно поставить плагин UpdraftPlus – он будет складывать бэкапы в Dropbox или Google Drive.

База подписчиков – выгружайте раз в неделю в CSV, складывайте в зашифрованную папку в облаке. База – это и есть главный актив, который кормит автоворонку эксперта на 5 этапов: потерять её больнее, чем потерять сайт. Уроки и контент – тоже регулярная синхронизация.

Бэкап без проверки – это не бэкап

Раз в три месяца берите свой бэкап и пробуйте развернуть его на тестовой площадке. Если в момент аварии окажется, что архивы битые или паролей от них вы уже не помните – толку от них ноль.

Поставьте напоминание в календаре. Январь, апрель, июль, октябрь – пятнадцатого числа: «проверка бэкапов». 15 минут раз в квартал.

Бесплатный сторож, который пишет в Telegram

Регистрация на uptimerobot.com, добавляете свой сайт, цепляете Telegram-чат для уведомлений. Если сайт упал, изменился ответ сервера, отвалился SSL – через минуту вам в личку прилетает алерт.

Проверьте отдельно: главную, страницу оплаты, форму захвата. Если злоумышленник подменит платёжную страницу, UptimeRobot это поймает по контрольному слову на странице.

Включите уведомления о входе с нового устройства

В Gmail, Telegram, банк-клиентах, хостинге – проверьте, что включены пуши и письма «вход с нового устройства». Если кто-то залогинился ночью с непонятного IP – вы узнаете в первую минуту, а не через неделю.

Раз в месяц проходите в настройках Gmail и Telegram по разделу «Активные сессии» и выкидывайте всё, что вы не узнаёте.

Have I Been Pwned

Зайдите на haveibeenpwned.com, введите свой основной email. Сервис покажет все известные утечки, в которых засветился ваш адрес. Если что-то всплыло – тот пароль, который был у этого сервиса, нужно сменить везде, где вы его повторно использовали.

Подпишитесь там же на уведомления. Когда ваш email окажется в новой утечке – вам придёт письмо.

Запрет на трансфер домена

В личном кабинете регистратора (Reg.ru, Timeweb, Beget) найдите опцию «Запрет на передачу» или «Domain Lock». Включите. Без этого даже при компрометации аккаунта домен можно перевести к другому регистратору за 5 дней.

Не делайте корпоративную почту через хостинг

Если у вас почта вида info@вашсайт.ру привязана к хостингу – при компрометации хостинга вы теряете и почту. Заведите её через Yandex 360 для бизнеса – от 569 руб/мес за пользователя на минимальном тарифе (по данным апреля 2026, плюс анонсировано повышение с мая), оплата картой РФ, поддержка на русском, есть 2FA через Яндекс Ключ. Полностью бесплатного тарифа сейчас нет (раньше был, осенью 2024-го убрали).

Если ваша основная аудитория и оплаты идут из-за рубежа, и есть зарубежная карта – подойдёт Google Workspace (от $7/мес за пользователя на тарифе Business Starter). Но из РФ оплачивать его сейчас фактически нельзя без посредников.

Главное – чтобы почта, на которую приходят восстановления паролей со всех сервисов, была не там же, где сам сервис.

Подпись DNS-записей

Если регистратор поддерживает (Reg.ru, REG-RU, многие другие поддерживают) – включите DNSSEC. Это защищает от подмены DNS-ответов на пути к вашему сайту.

Опция обычно в разделе «DNS» или «Управление доменом». Включается одним переключателем.

Сгенерируйте ключ и отключите вход по паролю

На своём компьютере: ssh-keygen -t ed25519. Скопируйте публичный ключ на сервер: ssh-copy-id root@your-ip. После этого зайдите на сервер и в файле /etc/ssh/sshd_config поставьте PasswordAuthentication no. Перезапустите SSH: systemctl restart sshd.

Дальше зайти на сервер сможет только тот, у кого ваш приватный ключ. Подобрать пароль больше нельзя в принципе.

Закройте все порты, кроме нужных

На Ubuntu: ufw default deny incoming, ufw allow ssh, ufw allow http, ufw allow https, ufw enable. Всё, что не разрешено явно – закрыто.

Если у вас подняты дополнительные сервисы (база данных, админка чего-то) – их порты не открывайте наружу. Доступ к ним только через SSH-туннель.

Автоматический бан IP, который перебирает пароли

Установите: apt install fail2ban. Дальше он сам начнёт следить за неудачными попытками входа и банить наглые IP. Это снижает фоновый шум сканеров с тысяч попыток в час до нуля.

Чтобы критичные патчи ставились без вас

На Ubuntu: apt install unattended-upgrades, потом dpkg-reconfigure unattended-upgrades, выбираете «Yes». Сервер сам будет ставить обновления безопасности и больше ничего, что могло бы случайно сломать ваш сайт.

Остановить дальнейший ущерб

1. Сменить пароль почты (главный) – с компьютера, на котором точно нет вирусов
2. Завершить все активные сессии Telegram, кроме текущей
3. Сменить пароль хостинга, регистратора домена, WAF-провайдера
4. Заблокировать карты, привязанные к скомпрометированным сервисам
5. Уведомить второго админа канала и подрядчиков, чтобы не реагировали на «новые инструкции от вас»

Понять масштаб

1. Проверить логи: что и когда было изменено, какие IP заходили
2. Скачать резервную копию базы и сайта на чистый компьютер
3. Связаться с поддержкой хостинга и регистратора, попросить заморозить любые изменения от любого, кроме вас лично
4. Если утекли клиентские данные – подготовить честное письмо клиентам. По 152-ФЗ при утечке вы обязаны уведомить Роскомнадзор в течение 24 часов о самом факте, и в течение 72 часов – результаты внутреннего расследования

Восстановиться и закрыть исходную дыру

1. Развернуть сайт из чистого бэкапа (того, который точно был сделан до взлома)
2. Найти и закрыть точку входа: какой пароль утёк, какой плагин был дырявым, какая учётка скомпрометирована
3. Сменить все остальные пароли в менеджере – не только те, что точно утекли
4. Включить всё, что было выключено: 2FA, файрвол, мониторинг
5. Сделать постмортем: записать в Notion, что случилось и почему. В следующий раз эта запись сэкономит дни