Веб-сайт — это не просто набор файлов и страниц. Это часто бизнес, репутация, деньги, данные клиентов. И всё это можно потерять за считаные минуты — из-за уязвимости в коде, в настройках или в хостинге. Даже при использовании надёжного VPS риск остаётся — важно, как настроена защита.
Большинство атак на сайты происходят не из-за «гениального взлома», а из-за забытых паролей, устаревших скриптов или халатности в настройках. При этом ответственность делится: часть рисков лежит на пользователе, часть — на провайдере.
В этой статье собраны самые распространённые уязвимости: от проблем с доступом и конфигурацией до скрытых угроз на стороне хостинга. Мы покажем, где чаще всего допускаются ошибки, и что можно сделать, чтобы не стать лёгкой мишенью.
Уязвимости на стороне сайта
Даже если хостинг хорошо защищён, слабое место может оказаться в самом сайте. Ниже — распространённые ошибки, из‑за которых сайты чаще всего взламывают.
Небезопасные пароли и отсутствие 2FA

Брутфорс и подбор пароля — до сих пор одни из самых эффективных способов взлома. Пароль вроде Admin123 или qwerty2023 подбирается за секунды. Если такой же пароль используется ещё и в панели управления или почте — риски возрастают в разы.
Что делать:
- Использовать генераторы надёжных паролей (длина от 12 символов, спецсимволы).
- Хранить пароли в менеджерах (например, KeePassXC, Bitwarden).
- Включать двухфакторную аутентификацию во всех точках входа: CMS, панель, почта.
Устаревшие движки, плагины, темы
Уязвимости в CMS, модулях и шаблонах — один из самых частых векторов атак. Особенно опасны заброшенные плагины и «взломанные» версии без обновлений.
Риски:
- Дыры в безопасности старых версий.
- Сторонние библиотеки без поддержки.
- Самописные скрипты без валидации входных данных.
Что делать:
- Подписаться на уведомления о новых версиях CMS и модулей.
- Тестировать обновления на копии сайта.
- Удалять всё неиспользуемое.
Права доступа и открытые директории
Ошибочные права на файлы и каталоги позволяют злоумышленнику получить доступ к важным данным: config.php, .env, SQL-дампам, административным скриптам. Особенно опасны оставленные .git/, backup/, old/, dev/ и прочие технические директории.
Что проверять:
- права доступа: 644 для файлов, 755 для директорий;
- недоступность служебных файлов и архивов (например, .git/, backup/, .env);
- настроена ли защита с помощью файла .htaccess (для Apache) или конфигурации Nginx (для nginx-серверов).
Неочищенные данные и забытые скрипты
Во время работы над сайтом остаются временные формы, скрипты разработчиков, демо-панели и старые API. Всё это может стать точкой входа для атаки, если забыто и не удалено.
Что делать:
- Периодически проводить ревизию файлов и каталогов.
- Удалять устаревшие панели администратора и тестовые интерфейсы.
- Проверять активные задачи cron и фоновые процессы.
Уязвимости на стороне пользователя
Даже при хорошо настроенном сайте и надёжном хостинге атака может начаться с самого пользователя. Ошибки в обращении с доступами, беспечность в переписке и игнорирование тревожных сигналов — всё это делает сайт уязвимым, даже если техника под контролем.
Фишинг и атаки через почту
Один из самых простых и при этом эффективных способов получить доступ — выманить логин и пароль с помощью обмана. Злоумышленник может прислать письмо, которое выглядит как уведомление от хостинга, службы поддержки или даже вашей CMS.
Как это выглядит:
- Письмо с просьбой «срочно подтвердить аккаунт» или «обновить платёжную информацию».
- Ссылка ведёт на поддельную страницу авторизации.
- Введённые данные сразу уходят злоумышленнику.
Что делать:
- Проверять адрес отправителя и домен ссылки.
- Не вводить логины и пароли по ссылке из письма — заходить вручную через проверенный адрес.
- Настроить DMARC, SPF и DKIM — это защитит и вашу рассылку от подделки.
Хранение паролей и доступов
Иногда уязвимость — это просто скриншот с логином в Telegram-чате. Или файл passwords.txt на рабочем столе. Даже случайно отправленный токен доступа в переписке может привести к серьёзным последствиям.
Частые ошибки:
- Использование мессенджеров и заметок для хранения критичных данных.
- Передача всех доступов подряд (хостинг, CMS, домен) подрядчику «на всякий случай».
- Оставленные токены в скриптах и конфигурациях.
Что делать:
- Хранить пароли и доступы только в менеджерах с шифрованием.
- Делить доступы по уровням: кому-то нужен только FTP, а не root.
- Удалять доступы, которые больше не используются.
Игнорирование логов и уведомлений
Многие атаки можно заметить — если вы смотрите логи. Повторяющиеся попытки входа, странные IP, всплески активности — всё это видно в системных и веб-логах. Но чаще всего они либо отключены, либо никто их не читает.
Признаки возможного взлома:
- Входы в админку с незнакомых адресов.
- Изменения в файлах сайта без вашего участия.
- Неожиданная нагрузка на сервер, резкий рост трафика.
Что делать:
- Настроить логирование авторизаций и активности.
- Подключить уведомления об изменениях (например, через Fail2Ban, Logwatch, Monit).
- Периодически проверять логи FTP, CMS и панели управления.
Уязвимости на стороне хостинга
Даже если ваш сайт и администрирование выстроены грамотно, остаётся третья зона риска — инфраструктура хостинга. Не все уязвимости можно проконтролировать самостоятельно, особенно при использовании общего хостинга. Важно понимать, что именно может пойти не так на стороне провайдера.
Отсутствие изоляции и общее окружение
На виртуальном хостинге сайты разных клиентов размещаются на одном сервере, в одном окружении. Это удобно и дёшево, но может быть опасно: если один из сайтов на сервере скомпрометирован, злоумышленник может попытаться получить доступ и к вашему.
Чем это грозит:
- Просмотр содержимого соседних аккаунтов.
- Эскалация прав через уязвимости ядра.
- Массовые заражения при заражённой системе.
Что делать:
- Не хранить чувствительные данные на shared-хостинге.
- При необходимости переходить на VPS, где окружение полностью изолировано.
Уязвимости в панелях управления
Панели управления (ISPmanager, VestaCP, cPanel и другие) регулярно становятся целью атак — особенно при появлении 0-day-уязвимостей. Многие пользователи не обновляют их вовремя, а провайдеры — не уведомляют о рисках.
Как атакуют:
- Используют публично известную уязвимость в старой версии панели.
- Подбирают пароли через веб-интерфейс.
- Загружают вредоносный код через форму импорта/настроек.
Что делать:
- Проверять, актуальна ли установленная панель.
- Ограничивать доступ к панели по IP.
- Использовать отдельный логин и пароль для панели, не совпадающий с CMS.
Открытые порты и устаревшие протоколы
Если сервер или хостинг допускает работу через устаревшие и нешифрованные протоколы (например, FTP без SSL или старые версии TLS), это делает передаваемые данные уязвимыми для перехвата.
Что может быть опасно:
- FTP, Telnet, POP3 без шифрования (SSL/TLS).
- Доступ к панели через HTTP, а не HTTPS.
- Поддержка TLS 1.0 или 1.1.
Что делать:
- Отключить небезопасные протоколы.
- Заставить использовать только SFTP, FTPS, HTTPS.
- Проверить конфигурацию SSL через внешние сервисы (например, SSL Labs).
Почему VPS — безопаснее, если всё настроено верно
Виртуальный сервер (VPS) — это изолированная среда, где вы контролируете всё: от операционной системы до уровня доступа. В отличие от общего хостинга, на VPS нет соседей, которые могут скомпрометировать систему, и нет ограничений в инструментах защиты.
Преимущества VPS для безопасности:
- Полный контроль над системой. Вы сами выбираете, какие службы работают, какие порты открыты, как настроены файлы конфигурации.
- Изоляция. Никакие чужие сайты не работают на вашем сервере, значит — меньше рисков заражения от «соседа».
- Гибкость в защите. Можно настроить файрвол (например, UFW), антибрут (Fail2Ban), установить антивирус, ограничить SSH по ключу и IP, настроить бекапы и мониторинг.
Важно
- VPS требует знаний. Если вы не настраиваете сервер — вы уязвимы по умолчанию.
- Нужно следить за обновлениями ОС, правами доступа, логами, политиками безопасности.
Для тех, кто не хочет тратить время на первичную настройку, можно выбрать VPS с предустановленной базовой защитой.
Быстрая проверка безопасности: чек‑лист
Если у вас уже есть сайт, и вы не уверены, насколько он защищён — пройдитесь по этому списку. Он поможет выявить слабые места и исправить ошибки до того, как ими воспользуются.
Пароли и доступы:
- Все пароли — уникальные и сложные (не хранятся в заметках и скриншотах).
- Включена двухфакторная аутентификация (CMS, почта, панель, SSH).
- У подрядчиков только те доступы, которые действительно нужны.
CMS и код:
- CMS, плагины, темы — обновлены до актуальных версий.
- Неиспользуемые расширения удалены.
- Отсутствуют открытые директории и служебные файлы (например, .git/, backup/, .env).
Сервер и окружение:
- Отключены незащищённые протоколы (FTP без SSL, Telnet).
- Панель управления защищена: работает по HTTPS, вход ограничен по IP.
- Установлены файрвол и защита от перебора паролей (например, UFW и Fail2Ban).
Мониторинг и логи:
- Включены логи входов, действий и ошибок.
- Есть уведомления о подозрительной активности (например, через Fail2Ban или внешние системы).
- Логи хранятся хотя бы 30 дней и периодически проверяются.
Резервные копии:
- Автоматические бекапы настроены (сайта и базы данных).
- Есть копии вне хостинга (например, в облаке или на другом сервере).
- Время восстановления проверено — бекапы работают.
Заключение
Большинство атак на сайты происходят не из-за хитроумных схем, а из-за забытых обновлений, слабых паролей и игнорирования очевидных рисков. Безопасность — это не абстрактное понятие и не разовая настройка. Это регулярная практика: проверять, обновлять, ограничивать, фиксировать.
Полностью защититься от всех рисков невозможно, но можно сделать сайт неудобной целью — и этого зачастую достаточно, чтобы вас обошли стороной. Проверяйте, где вы уязвимы, и закрывайте эти дыры не тогда, когда уже поздно, а заранее. Хостинг — это платформа. А защищённый сайт — это результат работы с этой платформой.
Читайте в блоге:
- Безопасность WordPress на VPS: как защитить сайт от DDoS и хакеров
- Управление пользователями и их правами в Ubuntu 22.04: создание, настройка и безопасность
- Безопасность при аренде VPS сервера