Аудит безопасности - это проверка сайта на известные уязвимости до того, как их найдут злоумышленники. Большинство взломов происходит через типовые проблемы: устаревший плагин с публичной CVE-уязвимостью, открытая папка .git с исходным кодом, забытый .env с паролями от базы, слабые права на загрузки. Все эти вещи можно обнаружить за один аудит.
Веб-студия Enternet проводит аудиты безопасности с 2012 года для сайтов на WordPress, Joomla, Drupal, OpenCart, Bitrix и кастомных PHP-проектов. После работы заказчик получает структурированный отчёт с описанием найденных проблем, оценкой их критичности и конкретными рекомендациями по устранению.
Для автоматизированного сканирования используем WPScan для WordPress, JoomScan для Joomla, droopescan для Drupal, Nuclei с базой шаблонов для общих веб-уязвимостей, Nikto для серверной части. Эти инструменты быстро находят известные публичные проблемы и значительно сужают поле ручного анализа.
Дальше идёт ручная проверка: смотрим конфигурационные файлы, анализируем код кастомных плагинов и шаблонов на наличие функций eval, include с переменными, неэкранированный вывод пользовательских данных. Проверяем .htaccess на корректные правила и отсутствие подозрительных редиректов.
Отдельно прогоняем сайт через SSL Labs (ssllabs.com) для оценки качества HTTPS-настроек, через Security Headers (securityheaders.com) для проверки HTTP-заголовков, через Mozilla Observatory для общей оценки конфигурации.
С указанием конкретного файла, плагина или настройки, где проблема обнаружена.
Каждая проблема классифицируется как critical, high, medium, low по реальной угрозе.
Что может произойти, если уязвимость будет использована: утечка данных, дефейс, спам, взлом.
Что именно сделать для устранения: обновить, заменить, перенастроить, удалить.
С чего начать в первую очередь, что можно отложить, что критично закрыть сегодня.
Раз в год - как плановая профилактика для любого сайта, который обрабатывает заявки, заказы или данные пользователей. После любого инцидента или подозрения на взлом, даже если последствий пока не видно. Перед запуском важного маркетингового канала или рекламной кампании, когда вырастет трафик и внимание.
Также аудит имеет смысл при смене подрядчика по поддержке: новый исполнитель видит реальное состояние сайта, а заказчик получает независимую оценку того, что досталось в наследство. Это снимает много спорных моментов на старте сотрудничества.
Нет. Аудит проводится без вмешательства в работу сайта. Сканирование делается аккуратно, чтобы не нагрузить сервер. Если требуется проверка устойчивости к нагрузке, это согласовываем отдельно.
Расскажите о задаче - подготовим решение и бесплатный расчёт стоимости. Без обязательств.