Как проверить безопасность своего сайта: пошаговый чек-лист 2026 года

Зачем проверять безопасность сайта

Каждый день в мире взламываются тысячи сайтов. Веб-ресурсы постоянно подвергаются автоматизированным атакам, а обнаружение компрометации зачастую происходит спустя месяцы. При этом значительная часть кибератак направлена на малый и средний бизнес.

Регулярная проверка безопасности позволяет:

• Обнаружить уязвимости до того, как их найдёт злоумышленник
• Защитить данные пользователей и компании
• Соответствовать требованиям 152-ФЗ, PCI DSS, GDPR
• Сохранить репутацию и доверие клиентов
• Избежать штрафов от регуляторов

Ниже — подробный чек-лист из 20 пунктов, который поможет оценить текущий уровень защищённости вашего сайта.

SSL/TLS-сертификат и шифрование

1. Проверьте наличие и валидность SSL-сертификата

Что проверить:

• Сертификат установлен и не просрочен
• Цепочка сертификатов полная (включая промежуточные)
• Домен совпадает с указанным в сертификате
• Тип сертификата соответствует задачам (DV, OV, EV)

Почему важно: Без SSL данные передаются в открытом виде. Злоумышленник может перехватить логины, пароли, платёжные данные.

Инструмент: Проверить SSL-сертификат можно с помощью бесплатного инструмента Периметра.

2. Проверьте версии протоколов TLS

Что проверить:

• TLS 1.2 и TLS 1.3 включены
• TLS 1.0 и TLS 1.1 отключены
• SSL 2.0 и SSL 3.0 отключены

Почему важно: Старые версии протоколов содержат известные уязвимости (POODLE, BEAST, CRIME). PCI DSS требует минимум TLS 1.2.

3. Проверьте набор шифров

Что проверить:

• Используются шифры с Forward Secrecy (ECDHE)
• Отсутствуют слабые шифры (RC4, DES, 3DES, NULL)
• Поддерживается AEAD (AES-GCM, ChaCha20-Poly1305)

Почему важно: Слабые шифры могут быть взломаны, что позволит расшифровать перехваченный трафик.

HTTP-заголовки безопасности

4. Strict-Transport-Security (HSTS)

Что проверить:

• Заголовок Strict-Transport-Security присутствует
• max-age не менее 31536000 (1 год)
• Включена директива includeSubDomains

Почему важно: HSTS предотвращает SSL Stripping атаки.

Пример для nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

5. Content-Security-Policy (CSP)

Что проверить:

• Заголовок CSP установлен
• Запрещены inline-скрипты
• Указаны конкретные источники для script-src
• Есть директива default-src

Почему важно: CSP — главная защита от XSS-атак.

6. X-Frame-Options

Что проверить:

• Заголовок установлен в DENY или SAMEORIGIN

Почему важно: Защищает от clickjacking.

7. X-Content-Type-Options

Что проверить:

• Заголовок X-Content-Type-Options: nosniff установлен

Почему важно: Предотвращает MIME-sniffing.

8. Referrer-Policy

Что проверить:

• Установлен strict-origin-when-cross-origin или строже

9. Permissions-Policy

Что проверить:

• Отключены неиспользуемые API (камера, микрофон, геолокация)

Проверить все заголовки: инструмент проверки заголовков.

DNS и email-аутентификация

10. SPF-запись

Что проверить:

• SPF-запись существует
• Содержит все легитимные серверы отправки
• Заканчивается -all (hard fail) или ~all (soft fail)
• Не превышает лимит в 10 DNS-lookup

Почему важно: SPF предотвращает подделку адреса отправителя.

11. DKIM-подпись

Что проверить:

• DKIM-запись опубликована в DNS
• Ключ не менее 2048 бит
• Все исходящие письма подписываются

12. DMARC-политика

Что проверить:

• DMARC-запись опубликована
• Политика quarantine или reject
• Настроен приём отчётов (rua, ruf)

13. DNSSEC

Что проверить:

• DNSSEC включён для домена
• Цепочка подписей валидна

Проверить DNS: DNS-проверка.

Сетевая безопасность

14. Открытые порты и сервисы

Что проверить:

• Открыты только необходимые порты (80, 443)
• Административные порты (22, 3306, 5432) закрыты или ограничены по IP
• Нет устаревших сервисов (FTP, Telnet)

Инструмент: Проверка портов.

15. WAF (Web Application Firewall)

Что проверить:

• WAF установлен и активен
• Правила обновляются регулярно
• Настроена защита от SQL Injection, XSS, CSRF

16. DDoS-защита

Что проверить:

• Используется CDN или anti-DDoS сервис
• Настроены rate limits
• Реальный IP сервера скрыт

Утечки и уязвимости

17. Проверка на утечки данных

Что проверить:

• Email-адреса домена не в базах утечек
• Пароли сотрудников не скомпрометированы
• Нет данных на Pastebin, GitHub

18. Exposed paths и файлы

Что проверить:

• Нет доступа к .git, .env, wp-config.php, backup.sql
• Административные панели защищены
• Директории не листингуются

19. Устаревшее ПО и CVE

Что проверить:

• CMS, фреймворки и плагины обновлены
• Серверное ПО актуально
• Нет известных CVE

20. Cookies и сессии

Что проверить:

• Cookies имеют флаги Secure, HttpOnly, SameSite
• Сессионные токены достаточно длинные и случайные
• Реализована ротация сессий

Как автоматизировать проверки

Ручная проверка всех 20 пунктов занимает часы. Автоматизировать можно с помощью:

Бесплатные инструменты Периметра

• SSL-проверка — анализ SSL/TLS
• Проверка заголовков — HTTP security headers
• DNS-проверка — DNS и email-аутентификация
• Сканер портов — открытые порты

Комплексное сканирование

Периметр выполняет более 80 автоматических проверок и предоставляет AI-анализ с конкретными рекомендациями.

Как часто проверять

• Ежедневно: мониторинг утечек, новых CVE
• Еженедельно: SSL, заголовки, порты
• Ежемесячно: полное сканирование
• При изменениях: после деплоя, обновлений, смены хостинга

Следующие шаги

Безопасность сайта — непрерывный процесс. Используйте этот чек-лист для регулярных проверок. Начните с критичных пунктов — SSL, заголовки, порты — и постепенно внедряйте все 20 мер.

Главное правило: лучше проверить и не найти проблем, чем не проверить и стать жертвой атаки.