Сколько занимает аудит?

Стандартный сайт - 2-4 дня. Крупный портал с кастомным кодом и большим количеством плагинов - 1-2 недели. После сдачи отчёта обсуждаем приоритеты исправлений.

Можете ли вы потом сами исправить найденные проблемы?

Да. После аудита можем взять устранение на себя - в рамках разовой работы или постоянной технической поддержки. Также передаём отчёт другому разработчику, если так удобнее.

Гарантирует ли аудит, что сайт не взломают?

Нет, и никто такого гарантировать не может. Аудит снижает риск, закрывая известные уязвимости. Защита от новых угроз требует постоянного мониторинга и обновлений после аудита.

Главная/Услуги/Аудит безопасности

Аудит безопасности сайта

Аудит безопасности - это проверка сайта на известные уязвимости до того, как их найдут злоумышленники. Большинство взломов происходит через типовые проблемы: устаревший плагин с публичной CVE-уязвимостью, открытая папка .git с исходным кодом, забытый .env с паролями от базы, слабые права на загрузки. Все эти вещи можно обнаружить за один аудит.

Веб-студия Enternet проводит аудиты безопасности с 2012 года для сайтов на WordPress, Joomla, Drupal, OpenCart, Bitrix и кастомных PHP-проектов. После работы заказчик получает структурированный отчёт с описанием найденных проблем, оценкой их критичности и конкретными рекомендациями по устранению.

Получить расчёт

Что мы проверяем

01Версии CMS, плагинов, тем, модулей - сверяем с базой известных уязвимостей (CVE, WPScan Vulnerability Database).

02Заброшенные плагины: те, что не обновлялись больше 1-2 лет и удалены из официальных репозиториев.

03Права доступа на файлы и папки: ищем 777, открытые на запись критичные файлы, неправильные владельцы.

04Открытые служебные файлы: .git, .env, .htaccess, wp-config.php, конфиги в открытом доступе.

05Дефолтные и слабые пароли в админских учётных записях.

06Открытые админские пути: /wp-admin, /administrator без ограничения по IP, без 2FA.

07Mixed content и проблемы с SSL: устаревшие протоколы, слабые шифры, истекающие сертификаты.

08HTTP-заголовки безопасности: их наличие и корректность.

09Возможности SQL-инъекций и XSS в формах и параметрах URL.

10Утечки информации: версия сервера в заголовках, подробные ошибки PHP, директории с listing.

Инструменты и методы

Для автоматизированного сканирования используем WPScan для WordPress, JoomScan для Joomla, droopescan для Drupal, Nuclei с базой шаблонов для общих веб-уязвимостей, Nikto для серверной части. Эти инструменты быстро находят известные публичные проблемы и значительно сужают поле ручного анализа.

Дальше идёт ручная проверка: смотрим конфигурационные файлы, анализируем код кастомных плагинов и шаблонов на наличие функций eval, include с переменными, неэкранированный вывод пользовательских данных. Проверяем .htaccess на корректные правила и отсутствие подозрительных редиректов.

Отдельно прогоняем сайт через SSL Labs (ssllabs.com) для оценки качества HTTPS-настроек, через Security Headers (securityheaders.com) для проверки HTTP-заголовков, через Mozilla Observatory для общей оценки конфигурации.

Что вы получаете в отчёте

Список найденных проблем

С указанием конкретного файла, плагина или настройки, где проблема обнаружена.

Оценка критичности

Каждая проблема классифицируется как critical, high, medium, low по реальной угрозе.

Описание риска

Что может произойти, если уязвимость будет использована: утечка данных, дефейс, спам, взлом.

Конкретные рекомендации

Что именно сделать для устранения: обновить, заменить, перенастроить, удалить.

Приоритет исправлений

С чего начать в первую очередь, что можно отложить, что критично закрыть сегодня.

Когда нужен аудит

Раз в год - как плановая профилактика для любого сайта, который обрабатывает заявки, заказы или данные пользователей. После любого инцидента или подозрения на взлом, даже если последствий пока не видно. Перед запуском важного маркетингового канала или рекламной кампании, когда вырастет трафик и внимание.

Также аудит имеет смысл при смене подрядчика по поддержке: новый исполнитель видит реальное состояние сайта, а заказчик получает независимую оценку того, что досталось в наследство. Это снимает много спорных моментов на старте сотрудничества.

Вопросы

Частые вопросы

Нет. Аудит проводится без вмешательства в работу сайта. Сканирование делается аккуратно, чтобы не нагрузить сервер. Если требуется проверка устойчивости к нагрузке, это согласовываем отдельно.

Похожие

Проверим сайт на уязвимости и дадим план исправлений

Расскажите о задаче - подготовим решение и бесплатный расчёт стоимости. Без обязательств.

Оставить заявку