У моей знакомой, которая ведёт свадебное агентство, сайт работает на старой CMS. Красивые фото, удобная форма заявки, интеграция с мессенджерами. Клиентов много, всё устраивает. А потом однажды утром она обнаружила, что база контактов — все невесты, все женихи, все их номера телефонов — лежит на каком-то левом сервере.

Никто не взламывал. Никто не подбирал пароли. Просто кто-то нашёл в интернете ссылку на тестовую версию её сайта, где форма обратной связи писала все данные в открытый текстовый файл.

Откуда это взялось: краткая история веб-угроз

Когда в девяностых появились первые веб-страницы, никто не думал о безопасности. сайты были визитками — показал информацию и всё. протокол HTTP не шифровался, пароли хранились в открытом виде, базы данных лежали рядом с кодом.

Первые атаки были примитивными. SQL-инъекции появились, когда разработчики стали встраивать данные пользователя прямо в запросы к базе без проверки. Злоумышленник писал в поле ввода что-то вроде ' OR '1'='1 и получал доступ ко всем записям.

XSS — межсайтовый скриптинг — работает иначе. Злоумышленник размещает на странице JavaScript-код, который исполняется в браузере других пользователей. В контексте свадебного сайта это означает, что данные банковских карт гостей, заполняющих форму подарка, могут утечь.

CSRF-атаки используют доверие сайта к браузеру пользователя. Если невеста залогинена в кабинете агентства, атакующий может от её имени изменить данные заказа или отменить бронь.

Что изменилось с приходом AI

Раньше для взлома нужно было разбираться в коде. Сегодня AI-модели генерируют фишинговые письма, которые не отличить от настоящих. Они подделывают голоса, создают поддельные документы и автоматически сканируют тысячи сайтов в поисках уязвимостей.

Для свадебного агентства это означает: письмо от «журналиста», который хочет сделать материал о площадке, может оказаться фишингом. Запрос на «быструю оплату через новый сервис» от пары, которая уже внёсла предоплату, может быть попыткой выманить оставшуюся сумму.

AI-инструменты для взлома стали доступны за несколько сотен рублей в месяц. Если раньше атаковали только крупные компании, то теперь в зоне риска любой сайт с формами, базой клиентов или онлайн-оплатой.

Что делать практически

Проверить, используется ли HTTPS. Это не панацея, но без шифрования данные передаются в открытом виде, и любой, кто находится в той же сети, может их перехватить. Браузеры уже помечают такие сайты как небезопасные.

Обновить CMS и плагины. Устаревшее программное обеспечение — главная причина успешных атак. Многие взломы происходят не через сложные схемы, а через известные уязвимости в старых версиях.

Настроить резервное копирование. Если что-то пойдёт не так — атака, сбой или ошибка сотрудника — должна быть возможность восстановить данные. Для свадебного агентства это особенно важно: график свадеб потерять нельзя.

Ограничить доступ сотрудников. Бухгалтеру не нужен полный доступ к сайту. Менеджеру — доступ только к заявкам. Принцип минимальных привилегий.

Моя знакомая после того случая перенесла сайт на новую платформу, настроила резервное копирование и провела аудит всех форм. С тех пор прошло полгода — инцидентов нет. Но она теперь всегда спрашивает разработчиков про безопасность до того, как начинают работу.