Маленький бизнес часто думает: «Кого взламывать моё ООО?» Оказалось — всех и сразу. Хакеры не читают названия компаний. Они запускают скрипт, который за час прочёсывает десятки тысяч сайтов, ищет одинаковые уязвимости. А маленькие сайты — это часто кладбище старых плагинов, дефолтных паролей и форм без защиты.

Форма записи как открытая дверь

Самая частая проблема маленьких салонов — форма онлайн-записи. Туда вбивают имя, телефон, выбирают услугу. Если форма написана без защиты, злоумышленник может в поле телефона вставить SQL-код, который сервер выполнит как команду. Например, извлечь из базы данных все записи клиентов: имена, телефоны, историю услуг.

Для салона это означает: утечка персональных данных клиентов. Штрафы по закону о персональных данных, репутационный ущерб, клиенты уходят к конкуренту.

Админка по адресу /admin

Второй бич маленьких сайтов — админ-панель без должной защиты. По статистике, около 20% малых сайтов на WordPress имеют хотя бы один устаревший плагин с известной уязвимостью. Скрипт автоматически находит такие сайты и получает доступ к управлению.

Что дальше? Размещение фишинговых страниц, рассылка спама от имени компании, кража данных клиентской базы. Владелец узнаёт последним — когда приходит письмо от хостинга о блокировке или когда клиенты начинают жаловаться.

Чек-лист для владельца маленького салона

Хорошая новость: большинство уязвимостей закрываются базовыми действиями. Не нужно быть программистом.

  • Форма записи на сайте — проверить, что в ней есть защита от SQL-инъекций. Спросить у разработчика сайта.
  • Пароль от админки — сменить с дефолтного, сделать сложным (буквы, цифры, спецсимволы).
  • Платформа сайта — обновлять CMS и плагины. Если сайт на конструкторе — это делается автоматически.
  • SSL-сертификат — должен быть включён (зелёный замок в браузере). Если его нет — данные клиентов передаются открытым текстом.
  • У хостинга спросить: есть ли бэкапы и как быстро можно восстановить сайт при взломе.