В 2025 году средний интернет-магазин на российском хостинге получает около 2 800 попыток взлома в сутки. Не целенаправленных — автоматических. Бот сканирует уязвимости, пробует стандартные пароли к админке, проверяет устаревшие плагины. Если пароль «admin123» — сайт скомпрометирован в течение 4 часов после публикации. Это не теория, это статистика из логов реальных проектов моих клиентов.

Что на самом деле делает «хакер» при атаке на малый бизнес

Никакого голливудского взлома. Типичная атака — это скрипт из 200 строк на Python, который перебирает пароли к /wp-admin по словарю из 10 миллионов самых популярных комбинаций. Параллельно другой бот проверяет версию CMS: если у вас WordPress 5.4, а вышла 6.4 — он знает, какие дыры есть именно в вашей версии, и эксплуатирует их за миллисекунды.

Самое частое заблуждение: «У меня маленький магазин, кому я нужен». Ботам всё равно, сколько вы зарабатываете. Им нужен любой сервер, чтобы рассылать спам, майнить крипту или хранить фишинговые страницы. Ваш сайт для них — ресурс, а не цель.

Три вектора, через которые ломают 80% сайтов малого бизнеса

  • Слабые учётные данные — пароли без второго фактора. Бот получает доступ к админке и заливает веб-шелл за 40 секунд.
  • Устаревшие компоненты — плагины, темы, библиотеки, которые не обновлялись 2–3 года. В них давно есть известные уязвимости, и эксплойты лежат в открытом доступе.
  • Открытые служебные файлы.env, phpinfo.php, дампы баз данных в публичных папках. Разработчик забыл, а бот нашёл за 3 запроса.
Люди думают, что безопасность — это антивирус и SSL-сертификат. На деле это вопрос гигиены: обновлений, паролей и того, что лежит в корне вашего сайта.

Как устроена защита изнутри: что реально работает

Работающая защита — это слои. Первый слой: двухфакторная аутентификация на вход в админку. Это отсекает 95% ботов, потому что они не умеют вводить код из SMS. Второй слой: автоматическое обновление всего стека раз в неделю. Да, бывают конфликты — но стоимость взлома выше, чем стоимость часа разработчика на починку.

Третий слой — принцип минимальных привилегий. У каждого пользователя только те права, которые нужны для работы. Менеджеру магазина не нужны права на установку плагинов. Контент-менеджеру не нужен доступ к базе данных. Чем меньше поверхность атаки — тем меньше шансов, что один скомпрометированный аккаунт обрушит всё.

Что делать прямо сейчас: чек-лист на 30 минут

  • Включите двухфакторку для всех администраторов сайта и хостинга.
  • Проверьте версии CMS и плагинов: всё, что старше года — в зоне риска.
  • Поищите в корне сайта файлы .env, wp-config.php.bak, dump.sql. Если они доступны по прямой ссылке — удалите немедленно.
  • Смените пароли везде и поставьте менеджер паролей (Bitwarden, 1Password, KeePass — любой).
  • Проверьте логи доступа: если видите сотни запросов к /wp-login.php с разных IP — вас уже сканируют.

Безопасность веб-приложения — это не разовая акция, а привычка. Как чистка зубов: занимает 5 минут в день, но спасает от очень дорогих последствий. Большинство атак на малый бизнес — это не талантливые хакеры, а автоматизация, которая находит тех, кто забыл закрыть дверь. Закройте её сегодня.