Веб-безопасность — это та область, где ты думаешь, что всё понятно, пока не начнёшь копать. И тогда обнаруживаешь, что сам делал вещи, за которые ругаешь клиентов.

Ошибка 1: пароли по умолчанию в админке

Когда я разворачивала интернет-магазин на быстром хостинге, установщик предложил пароль для админки. Я нажала «сгенерировать» — и система выдала что-то вроде admin1234. Я не поменяла. Через три дня саппорт хостера написал, что на сервер идёт брутфорс. Оказалось — моя же админка была в списке целей.

Фикс простой: сразу после установки сменить пароль на сложный и включить двухфакторную аутентификацию.

Ошибка 2: HTTP вместо HTTPS на старом проекте

У одного моего клиента форма обратной связи работала через HTTP. Клиент пришёл в панике: данные утекали через публичный WiFi. Я видела эту проблему в его коде, но не обратила внимания — «временное решение». Временное стало постоянным на два года.

Перевод на HTTPS теперь бесплатный через Let's Encrypt. Нет причин не делать.

Ошибка 3: открытый S3-бакет с резервными копиями

Самая неприятная. Я настраивала бэкапы для клиента через AWS S3 и по ошибке выставила бакет публичным. Через неделю случайно нашла его в поисковике. Там были базы клиентов. Повезло, что нашёл я, а не кто-то другой.

Правило: все бакеты с данными — private. Всегда. Даже если кажется, что там «ничего важного».

Что из этого вынесла

Безопасность — это не про идеальный код. Это про привычки. Проверять настройки сразу, не откладывать «на потом», думать о данных клиентов как о своих собственных. Одна ошибка в продакшене стоит десяти идеальных архитектурных планов.