Старые сайты любят хакеры не из ностальгии, а потому что там старые библиотеки, слабые пароли админки, открытые формы без защиты, FTP «как раньше». В 2026 автоматические сканеры обходят интернет дешевле, чем вы думаете, ищут известные дыры. Если у вас «просто лендинг» - всё равно может быть форма, база, доступ к почте домена.
Ниже - базовый минимум, который мы закладываем по умолчанию, без лекции про криптографию.
Обновления и зависимости
CMS, плагины, фреймворки - план обновлений, тестовый контур, бэкапы до клика «обновить всё». Иначе одна кнопка превращается в выходные без сна.
Доступы
Двухфакторка на админку, отдельные пользователи, минимальные права. Общий пароль sales2020 - не смешно, это приглашение.
Формы и вебхуки
Защита от ботов, rate limit, валидация на сервере, а не только «required» в HTML. Вебхуки с подписью, а не «секрет в URL».
Мониторинг
Логи ошибок, алерт на всплеск 500-х, проверка SSL. Простое и спасает репутацию.
Что делать, если сайт «наследие»
Инвентаризация, отключить лишнее, закрыть дыры, потом план модернизации. Не «сначала красивый редизайн», а сначала не стыдно показывать безопаснику.
Резервные копии
База, файлы, конфиги. Проверка восстановления раз в квартал, а не «вроде бэкап включён». Иначе при инциденте выяснится, что бэкап пустой, и это будет очень не смешной анекдот.
Зависимости фронта
Старые npm-пакеты, CDN с чужими скриптами без целостности - отдельный класс риска. Обновляйте цепочку сборки так же серьёзно, как сервер.
Инцидент-менеджмент
Кто тушит, кто коммуницирует с клиентами, где статус-страница. Заранее написанные шаблоны писем дешевле паники в три ночи.
Учётки и принцип наименьших привилегий
Отдельные сервисные аккаунты для CI, для бэкапов, для мониторинга. Пароль админа «на всех» в чате — классика взлома через социальную инженерию.
Регулярный пересмотр списка людей с sudo/админкой в облаке. Уволенный сотрудник с живым ключом дороже, чем подписка на SSO.
Логи и хранение
Централизованные логи с ретеншном и алертами по аномалиям. Без ротации диск забьётся в самый неподходящий день.
Инвентаризация активов
Список доменов, поддоменов, старых лендингов, сервисов на отдельных портах. Забытый поддомен — классика входа для бота.
Патчи и EOL
PHP, Node, библиотеки CMS — план обновлений с окнами и откатом. «Нельзя трогать» на год превращается в уязвимость с известным эксплойтом.
Секреты и доступы
Ротация ключей, vault, запрет секретов в репозитории. Утечка .env на GitHub — не «мелочь», а полный компромисс.
WAF, rate limit, боты
Базовая защита от перебора и скрейпинга снимает шум и даёт время реагировать. Не замена фиксу коду, но подушка.
Резервные копии и проверка восстановления
Бэкап без теста восстановления — декорация. Проводите учения, фиксируйте RTO/RPO, храните копии офлайн от продакшена.
Инцидент-менеджмент
Контакты 24/7, сценарий коммуникации с клиентами, юридический шаблон. Паника дешевле, когда заготовлена.
Аудит и план - GERS.