Большинство сайтов взламывают не из-за уникальной уязвимости, а через типовые дыры: устаревшие плагины, слабые пароли, открытые админки, неправильные права доступа на файлы. Эти проблемы решаются разово, после чего сайт перестаёт быть лёгкой целью для автоматизированных ботов, которые сканируют интернет в поисках жертв.
Веб-студия Enternet делает комплексную защиту сайтов: hardening CMS, настройку WAF, двухфакторную аутентификацию для админки, мониторинг изменений файлов. Работаем с WordPress, Joomla, OpenCart, Bitrix и кастомными проектами. Подход одинаково применим к корпоративным сайтам и к интернет-магазинам.
На уровне сервера настраиваем mod_security или ModEvasive для Apache, либо аналогичные модули для Nginx. Закрываем доступ к служебным файлам (.git, .env, wp-config.php, .htaccess) через серверную конфигурацию. Включаем Fail2ban для защиты SSH, FTP и панелей управления от подбора паролей.
Отдельно настраиваем HTTP-заголовки безопасности: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Эти заголовки усложняют атаки через подделку запросов и встраивание сайта в iframe.
Стандартный URL входа в WordPress (/wp-login.php) и Joomla (/administrator) - первое, что сканируют боты. Меняем эти адреса на нестандартные через плагин или серверный редирект. Дополнительно ограничиваем доступ к админ-разделу по списку IP или ставим перед ним basic-auth.
Включаем 2FA через приложение Google Authenticator или Authy. Для критичных проектов рекомендуем аппаратные ключи (YubiKey). Запрещаем использование одинаковых паролей и проверяем учётки на утечки через haveibeenpwned. Удаляем дефолтные аккаунты (admin, administrator) и используем нетипичные имена.
Сканируем сайт на известные уязвимости, проверяем версии CMS и плагинов, права на файлы.
Ставим Cloudflare или Wordfence, настраиваем правила фильтрации, включаем защиту от ботов.
Закрываем типовые уязвимости конкретной CMS, меняем дефолтные настройки.
Включаем двухфакторную авторизацию, обновляем пароли, чистим неиспользуемые аккаунты.
Подключаем уведомления об изменении критичных файлов и попытках входа.
Cloudflare закрывает значительную часть автоматических атак, фильтрует подозрительный трафик и защищает от DDoS. Но это не панацея: уязвимости внутри кода и слабые пароли он не закроет. Нужен комплексный подход.
Расскажите о задаче - подготовим решение и бесплатный расчёт стоимости. Без обязательств.