Клиент пришёл с запросом: «Сайт нужен солидный, чтобы клиенты видели — фирма серьёзная». Стандартная задача. Но когда начала спрашивать про безопасность — выяснилось, что ни один подрядчик за последние три года этот вопрос не поднимал.

Это типичная история для охранного бизнеса. Владелец агентства отлично разбирается в физической охране, но в сайтах — как потребитель, не как эксперт. И опирается на то, что «выглядит солидно».

Что «солидный» не значит

Большой экран с логотипом на полстраницы, золотые буквы, визитка с эмблемой — это про визуум, не про защиту. Реальные уязвимости сайта среднего охранного агентства:

  • форма входа с паролем admin/admin — встречается чаще, чем хочется признавать
  • устаревшая CMS без обновлений — открытый путь для автоматических атак
  • отсутствие SSL-сертификата — данные клиентов передаются открытым текстом
  • файлы конфигурации доступные по прямой ссылке
  • пароли к базе данных в публичных репозиториях

Ни одна из этих проблем не видна снаружи. Сайт может выглядеть презентабельно и при этом быть дырявым.

Что спрашивать у подрядчика до оплаты

Вот контрольный список, который я составляю для каждого проекта в этой нише:

1. Как организована авторизация? Если в ответ слышите что-то кроме «двухфакторная аутентификация» — это звоночек.

2. Как часто обновляется платформа? WordPress и другие CMS требуют регулярных обновлений. Если подрядчик говорит «поставили и забыли» — это риск.

3. Есть ли резервное копирование? И главное — как быстро можно восстановить сайт после атаки?

4. Кто имеет доступ к хостингу? Одно дело — сотрудники агентства. Другое — бывший программист, который уволился полгода назад, а аккаунт так и не отозвали.

5. Как обрабатываются заявки с сайта? Если данные уходят на почту без шифрования или в открытую CRM — это тоже уязвимость.

Чек-лист для быстрой самопроверки

Даже без технического бэкграунда можно сделать две вещи:

  • Зайти на observatory.mozilla.org и проверить свой домен — бесплатный инструмент, даёт оценку по основным параметрам.
  • Проверить сайт на haveibeenpwned.com — был ли email компании в утечках.

Если хотя бы один из пунктов возвращает проблему — это повод поговорить с подрядчиком предметно. Не чтобы ругаться, а чтобы понимать план действий.

Что в итоге

Охранное агентство отвечает за безопасность объектов, людей, информации. Сайт — это витрина, но витрина с уязвимостями создаёт ложное впечатление и может стать точкой входа для атаки на всю репутацию.

Доверить сайт случайному подрядчику — все равно что нанять охранника без проверки документов. Пара вопросов в начале экономит много нервов потом.