Представь: мастер по дереву тратит месяцы на продвижение сайта, вкладывает в контент и рекламу. А потом обнаруживает, что база контактов ушла конкурентам, а сайт не пускает настоящих клиентов — только боты заполняют формы. Это не фантастика. Это типичная ситуация для малого бизнеса, который работает на WordPress без настройки защиты.

1. Данные из форм лежат без пароля

Когда клиент отправляет заявку через форму на сайте, данные попадают в базу данных. Во многих CMS — без шифрования, без пароля на саму базу, без ограничения доступа. Хакер сканирует сайт, находит open SQL-порт или уязвимую форму, и выгружает все заявки за год. Имя, телефон, email, текст запроса — всё утекает.

Что делать: ограничить доступ к базе данных паролем, включить SSL-сертификат на хостинге, не хранить данные форм в открытом виде дольше, чем нужно. Для заявок на простых сайтах — использовать внешний сервис вроде Telegram-бота, который принимает заявки и сразу пересылает вам, не оставляя следа на сервере.

2. Админка на стандартном адресе

WordPress по умолчанию открывает админку по адресу /wp-admin/. Любой бот в интернете знает этот адрес и начинает подбирать пароль. Даже если пароль сложный, атака перебором создаёт нагрузку на сервер и замедляет сайт для живых клиентов.

Что делать: сменить адрес входа на нестандартный, включить двухфакторную аутентификацию, поставить плагин для ограничения попыток входа. Если мастерская работает на самописном сайте — спросить у разработчика про эти три шага. Это базовая гигиена, которая закрывает 90% атак.

3. Устаревшее ПО на сервере

CMS, плагины, темы — всё требует обновлений. Каждое обновление часто закрывает уязвимость, которую уже используют хакеры. Малый бизнес ставит сайт и забывает про него на год. Потом находит в логах записи о попытках взлома — и это если повезёт найти.

Что делать: включить автообновления для CMS и плагинов, хотя бы раз в месяц заходить в панель управления и проверять наличие новых версий. Если сайт на конструкторе — убедиться, что хостинг автоматически обновляет базовую платформу.

4. Нет защиты от ботов в формах

Форма обратной связи, запись на замер, калькулятор стоимости — всё это боты заполняют автоматически. Результат: сотни фейковых заявок, на которые мастер тратит время. А когда приходит реальный клиент, его заявку можно пропустить среди мусора.

Что делать: подключить Google reCAPTCHA или альтернативную капчу к форме. Это не идеально, но закрывает 90% ботов. Если не хочется зависеть от Google — кастомные вопросы или скрытое поле, которое заполняется только ботами.

5. Платежи без защиты

У столярных мастерских редко есть интернет-магазин, но те, кто принимает оплату онлайн, сталкиваются с требованиями безопасности. Хранить данные карт — незаконно без специальной сертификации. Принимать платежи через свой сайт в обход платёжных систем — риск.

Что делать: использовать готовые платёжные агрегаторы — ЮKassa, Сбербанк Эквайринг, Тинькофф. Они берут на себя хранение данных карт и соответствие требованиям. Это не требует технических знаний и закрывает основные риски.