Защита интернет-магазина от взлома и DDOS для малого бизнеса: реальный минимум, который вы сделаете сами за вечер. Без паники и enterprise-решений.
«Существует два типа компаний: те, кого уже взломали, и те, кто об этом ещё не знает».
— Роберт Мюллер, экс-директор ФБР
Понедельник, 9:14. Владелец небольшого магазина косметики открывает админку — и видит на главной странице сайта баннер казино. Заказы за выходные испарились. Пароль не подходит. Хостер на линии говорит дежурное «обратитесь к разработчику», а разработчик уехал на майские в Анапу.
Знаете, что самое обидное в этой истории? Случилось это не с маркетплейсом, у которого служба безопасности. И не с банком. Случилось с человеком, который три месяца назад уверенно мне говорил: «Да кому я нужен, у меня двести посетителей в день».
За пятнадцать лет в студии я насмотрелся на такие сценарии. Скажу честно — в девяти случаях из десяти всё это можно было предотвратить за один вечер. Без курсов по информационной безопасности. Без enterprise-решений за двести долларов в месяц. Без найма штатного админа.
В этой статье — рабочий минимум защиты для интернет-магазина малого бизнеса. Что сделать самому. Что отдать на хостинг. Когда дешевле один раз позвать специалистов, чем потом восстанавливать сайт неделю. Без паники. По делу.
🎭 «Да кому я нужен»: главный миф малого e-commerce
Самый стойкий миф в малом e-commerce звучит так: «нас никто не будет ломать, мы слишком маленькие». На этом убеждении строятся (точнее, не строятся) все решения по безопасности. И вот тут — фундаментальное непонимание того, как работает массовое сканирование сети.
Почему именно малые магазины — лёгкая добыча
Боты не выбирают, чей сайт ломать. Их вообще не интересует, кто вы — модный нишевый магазин украшений ручной работы или семейное дело по продаже банных веников. Их интересует одна вещь: уязвимость. Если она есть, бот найдёт её через неделю-две после публикации сайта. Просто потому что массовое сканирование — это автоматика, и работает она 24/7, без выходных и без жалости.
Типичная цепочка такая. Битрикс из коробки + дефолтный адрес админки /bitrix/admin/ + логин admin + пароль уровня «Магазин2024!». Через пару недель в логах хостинга — попытки входа каждые 8–12 секунд. Бот не знает и знать не хочет, что вы малый бизнес. Он просто проверяет миллионы IP-адресов.
У вас нет посетителей. А у ботов — есть. И они уже стучатся в админку. Просто вы об этом не знаете, потому что в логи никто не смотрит. Знаете, в чём настоящая разница между «крупным» и «малым» бизнесом с точки зрения злоумышленника? Только в одном — у крупного смотрят логи. У малого — нет. Всё остальное одинаково.
Что вообще ищут злоумышленники в небольшом магазине
База клиентов. Телефоны, имена, адреса доставки — это товар. Продаётся пакетами, идёт на спам-обзвоны и фишинг. У вас тысяча клиентов в базе? Это уже интересно для перепродажи.
Чужой хостинг. Взломанный сайт превращается в платформу для рассылки спама, размещения фишинговых страниц, майнинга криптовалют. Ваши вычислительные ресурсы — чужой бизнес.
Подмена реквизитов. Особенно болезненно работает у тех, кто принимает оплату по счёту. Меняется одна цифра в банковском счёте на странице оплаты — и деньги клиента уходят на чужой счёт. Вы узнаёте об этом, когда клиент жалуется на отсутствие товара через неделю.
Звучит как сюжет дешёвого боевика. В логах хостинга, правда, всё выглядит куда скучнее — просто строчки с попытками входа и подменой файлов. Без музыки и спецэффектов. Просто рутинная работа автоматики.
Если хочется глубже разобрать тему — у нас есть отдельный материал 10 простых правил защиты сайта для малого бизнеса. Эта статья — про необходимый минимум, та — про расширенный набор практик.
🎯 Откуда бьют: 4 типа атак, с которыми сталкивается малый бизнес
Чтобы защищаться осмысленно, нужно понимать — от чего именно. Малый бизнес в реальности сталкивается с четырьмя типами атак. Не семнадцатью. Не пятьюдесятью. Четырьмя. Остальные сценарии — это уже про корпоративный сектор, банки и государство.
Брутфорс админки
Автоматический подбор паролей. Бот пробует тысячи комбинаций «логин/пароль». Если адрес админки типовой, логин admin, пароль из топ-1000 — матч произойдёт в течение недели. Грамотный злоумышленник, получив доступ, не ломает сайт сразу: ставит закладку и ждёт месяц-два. А потом сайт внезапно рассылает спам, и хостер блокирует аккаунт.
Уязвимости в коде и модулях
Старая редакция Битрикса без обновлений — это известные дыры, описанные в публичных базах CVE. Любой школьник с гайдом из YouTube ими воспользуется. Каждый раз, когда я открываю админку клиента и вижу там 47 модулей непонятного происхождения с торрентов — у меня дёргается глаз. Пиратские модули — частая входная точка.
DDOS — забивание канала
Бот-сеть посылает миллионы запросов в секунду. Сервер не справляется. Сайт лежит. Цели атакующих обычно три: вымогательство («заплати биткоинами — отстанем»), конкурентный удар в сезон, политически мотивированная акция. Малый бизнес чаще страдает не от целевой атаки, а от «случайной» — попал в чей-то скрипт.
Подмена данных и кардинг
Внедрение скрипта на страницу оплаты. Скрипт молча копирует данные банковских карт клиентов и отправляет на чужой сервер. Заказ оформляется, товар приходит. А через неделю с карты клиента списываются деньги в другой стране. У B2B-магазинов работает ещё подмена реквизитов на странице оплаты по счёту.
Взломанный сайт улетает из поисковой выдачи Яндекса за неделю. Поисковики помечают такие сайты как небезопасные, и пользователи получают предупреждение прямо на странице выдачи. Возвращать позиции потом — это месяцы работы, переиндексация и заново оплачиваемое SEO-продвижение. Так что вопрос защиты — это ещё и вопрос сохранения трафика, который вы зарабатывали годами.
🛡️ Минимум защиты, который вы сделаете сами за вечер
Принцип Парето работает в безопасности так же, как и в продажах: двадцать процентов усилий закрывают восемьдесят процентов типовых атак. Никаких enterprise-решений за двести долларов в месяц. Никакого Cloudflare Enterprise. Просто базовая гигиена, на которую обычно жалко вечера. А зря — это, пожалуй, лучший вечер, который вы инвестируете в свой магазин за весь год.
Чек-лист базовой гигиены
Восемь действий, каждое — от пяти до пятнадцати минут. Можно за вечер. Никакой магии.
☐ Сменить адрес админки. Битрикс позволяет переименовать /bitrix/admin/ через настройки. Сделали — половина ботов сразу проходит мимо.
☐ Поставить нормальный пароль. Шестнадцать символов, генератор, менеджер паролей (Bitwarden, 1Password — оба бесплатны для базового использования). «Магазин2024!» — это не пароль, это приглашение войти.
☐ Включить двухфакторную аутентификацию. Битрикс умеет из коробки, нужно один раз настроить — пять минут.
☐ Удалить неактивных пользователей. Бывший сотрудник, который ушёл год назад, до сих пор с правами администратора? Знакомая история?
☐ Обновить редакцию Битрикса и модули. Заплатки безопасности выходят регулярно. Большинство массовых атак идут по старым известным дырам, которые давно закрыты в обновлениях.
☐ Включить проактивную защиту в Битриксе. Кнопка есть прямо в настройках. Многие про неё не знают, а зря — фильтрует львиную долю автоматических атак.
☐ Установить HTTPS-сертификат. Бесплатный Let's Encrypt у любого нормального хостера, ставится в один клик. Заодно плюс к SEO.
☐ Настроить резервное копирование. Об этом — отдельный раздел дальше.
Что нужно от хостинга
Половина проблем безопасности решается не на стороне сайта, а на стороне хостинга. И это, пожалуй, единственное место, где экономия за двести рублей в месяц превращается в потери за пятьдесят тысяч за один взлом.
Защита от DDOS
У нормальных хостеров есть базовая фильтрация трафика на уровне провайдера. У хостинга за 150 рублей в месяц — нет.
Изолированная среда
Не shared с тысячей соседей, где один взломанный сайт может потянуть остальных. VPS или специализированный shared под Битрикс.
Автобэкапы провайдера
Не как ваш основной бэкап (это всегда ваша собственная копия), а как первая линия обороны при сбоях.
Каждый раз, когда я вижу магазин на дешёвом shared-хостинге за полтора стакана кофе в месяц, мне хочется задать один вопрос: а во сколько вы оцениваете свою базу клиентов? Разница между нормальным хостингом для Битрикса и таким — это меньше тысячи рублей в месяц. У нас в каталоге решений можно собрать готовый сайт сразу с подобранным хостингом для 1С-Битрикс — среда уже настроена под CMS, и проблема экономии на ровном месте отпадает.
💾 Бэкапы: единственное, что реально спасает в момент Х
Этот раздел — про самое скучное в безопасности и одновременно самое важное. Расскажу один обобщённый случай из практики (без имён и подробностей, владелец магазина до сих пор не любит вспоминать).
Понедельник, утро. Сайт открывается с переадресацией на казино. В админку не зайти — пароль сменён. Хостер хранит автобэкапы неделю, но они уже заражены тем же скриптом, что и рабочий сайт. Собственный бэкап у владельца есть — двухлетней давности. То есть нет.
Восстанавливали с нуля. Пять рабочих дней. Потерянные заказы за выходные. Просевшие позиции в поиске. И самое обидное — клиенты, которые случайно увидели взломанный сайт, потом ещё месяц звонили и спрашивали: «вы вообще нормальный магазин или как?».
Каждый раз, когда я слышу «у меня же хостер делает бэкапы», у меня внутри что-то умирает. Хостер делает свои бэкапы для своей инфраструктуры. Эти бэкапы могут пропасть вместе с вашим аккаунтом при блокировке за подозрительную активность. Могут оказаться повреждёнными. Могут быть удалены автоматически через сутки. Ваш бэкап — это ВАША копия в ВАШЕМ месте. Точка.
Правило 3-2-1: стандарт, который запоминается за минуту
Этот принцип придумали не вчера и не для энтерпрайза. Малому бизнесу его достаточно с лихвой.
Как настроить бэкапы в Битриксе
В Битриксе из коробки есть модуль резервного копирования. Расписание и хранение в облаке настраиваются за пятнадцать минут. Дальше — три привычки, которые отделяют рабочую систему бэкапов от видимости спокойствия:
— Включить автобэкап раз в сутки (заказы, контент, база данных)
— Скачивать копию локально хотя бы раз в неделю. Это пять минут вашего времени
— Проверять восстановление раз в квартал. Бэкап, который не разворачивается, это не бэкап — это иллюзия
Подробная пошаговая инструкция — в нашей статье «Как сделать резервную копию сайта на 1С-Битрикс». А все готовые интернет-магазины из нашего каталога идут с предварительно настроенной системой бэкапов — одной задачей меньше при запуске.
🚨 DDOS на голову: что делать, когда трафик убивает сайт
DDOS — это как наводнение. Вы не остановите воду заслонкой из газеты. Но можно построить дамбу заранее. Или хотя бы знать, кому звонить, когда уровень начнёт подниматься. А вот тащить газету уже бесполезно.
Как понять, что это DDOS, а не наплыв клиентов
📊 Резкий скачок трафика без рекламной кампании. Вы ничего не запускали, рассылки не делали — а посетителей в десять раз больше обычного.
🌍 Запросы из стран, нетипичных для аудитории. Бангладеш, Вьетнам, Турция — а у вас магазин товаров для дачи в Подмосковье.
👻 Сайт лежит, а в Яндекс.Метрике — ноль реальных пользователей. Потому что Метрика считает людей, а боты её не загружают.
📞 Хостер пишет про превышение нагрузки и ставит ограничение, чтобы не положить соседей по серверу.
Что можно сделать на лету
Когда сайт уже падает, времени читать инструкции нет. По шагам.
Подключить бесплатный Cloudflare
Регистрация, перевод DNS на Cloudflare, включение режима фильтрации Layer 7. Базовый план бесплатный и отсеет большую часть «случайных» атак.
Включить «режим под атакой» в Cloudflare
Суровый, но рабочий. Каждый посетитель проходит проверку браузером — реальные люди пройдут, боты отсеются. На время восстановления — самое то.
Связаться с хостером
У нормальных провайдеров есть штатные средства подавления — они активируют их по запросу. Имейте контакты в телефоне заранее, не в файле на сайте, который сейчас лежит.
Что нужно подготовить ЗАРАНЕЕ
Лучшая DDOS-защита — та, что включена до атаки. Список короткий: CDN или WAF настроены до того, как припрёт, а не во время паники. Канал коммуникации с клиентами на случай простоя — Telegram, рассылка, страница-заглушка с другим адресом. Контакты техподдержки записаны где-то, кроме самого сайта.
Я люблю такие звонки: «Здравствуйте, у нас DDOS, надо что-то срочно». Срочно — это вчера. Сейчас вы можете только перетерпеть и оплатить премиум-план Cloudflare за двадцать долларов, чтобы хотя бы остановить кровь. Это самый дешёвый из возможных сценариев. В рамках технической диагностики сайта мы смотрим конфигурацию защиты и подбираем минимум, имеющий смысл именно для вашей нагрузки — без избыточных enterprise-планов.
🛠️ Когда дешевле позвать техподдержку, чем чинить самому
Малый бизнес часто разрывается между двумя крайностями: «всё сделаю сам» и «передам подрядчику и забуду». Обе позиции в чистом виде — путь к проблемам. Истина, как обычно, где-то посередине. И эта середина передвигается в зависимости от ситуации.
Где проходит граница «сам vs. специалист»
— Сменить пароли, удалить лишних пользователей
— Включить проактивную защиту Битрикса
— Настроить регулярные бэкапы по инструкции
— Подключить бесплатный Cloudflare
— Обновить редакцию и модули
— Сайт уже взломан, нужна очистка и восстановление
— Аудит безопасности после инцидента
— Подменены реквизиты, утекли данные клиентов
— Целевой DDOS, нужна корпоративная защита
— Подозрение на заражение в коде
Сколько это стоит в реальности
Чтобы без сюрпризов. Разовый аудит безопасности — точечная работа, обычно от двух до четырёх часов. Восстановление после взлома — от одного до пяти рабочих дней, зависит от ущерба и состояния бэкапов (если они есть — быстрее, нет — дольше). Постоянная техподдержка с мониторингом — подписочная модель, для малого магазина обычно избыточна, для растущего — может быть оправдана.
Скажу честно. Мы не из тех студий, что пытаются продать абонентскую техподдержку каждому, кто пришёл на консультацию. Малому магазину чаще хватает разового аудита и настройки — после этого контрольный осмотр раз в полгода закрывает остальные потребности. Иначе это превращается в «платите нам ежемесячно за то, что у вас всё в порядке». Сомнительная история.
Как это организовано у нас
Готовые решения сразу настраиваются с базовой защитой — это входит в установку. Сменённый адрес админки, включённая проактивная защита, настроенные бэкапы, рекомендованный хостинг. За доработки и аудит — гибкая схема, итерациями, не оптом. Подробнее про подход к поддержке — в нашей статье «Гарантии и поддержка: что должна обеспечить веб-студия».
✅ Защита магазина: что сделать в ближайшую неделю
Помните понедельник из самого начала статьи? Владелец магазина косметики, баннер казино, нерабочий пароль, разработчик в Анапе. Так вот — у того владельца было всё, что нужно для предотвращения этой истории. У большинства из вас тоже всё это есть. Не хватает только одного — выделить вечер.
Короткий план на семь дней
Сменить пароли и включить двухфакторку
15 минут работы. Закрывает большую часть массовых атак на админку.
Настроить бэкапы по правилу 3-2-1
Полчаса на настройку, плюс пять минут раз в неделю на скачивание копии.
Подключить Cloudflare и обновить Битрикс
Бесплатный план Cloudflare + актуальная редакция CMS. Час работы.
Пройти весь чек-лист из раздела про минимум
Адрес админки, проактивная защита, HTTPS, удалить старых пользователей.
Запланировать аудит безопасности у специалиста
Раз в полгода — нормальная частота для малого магазина.
Безопасность — это не разовый проект. Это привычка. Как мыть руки, как закрывать дверь, когда уходишь из дома. Скучно, рутинно, никто не замечает — пока однажды не замечают катастрофически.
Запутались, с чего начать?
Запишитесь на бесплатную консультацию — посмотрим на ваш магазин, скажем честно, где дыры и какой минимум нужен именно вам. Без втюхивания «абонентки за всё». Или выбирайте готовое решение из каталога — там базовая защита уже настроена из коробки.
Материал подготовлен студией Hrustalev. 15+ лет работы с 1С-Битрикс, 200+ запущенных проектов.
