Сайт живёт сам по себе. А «разработчик», который его собрал, давно не берёт трубку

Сайт без поддержки: скрытые риски, взломы и штрафы 2026

Большой разбор: как на самом деле устроен рынок веб-студий, что происходит со взломанным сайтом изнутри, почему с 2025 года дырявая форма на сайте может стоить директору до 500 миллионов рублей — и что делать, пока не стало поздно.

Начнём с вопроса, от которого холодеют руки

Кто отвечает за ваш сайт прямо сейчас? Не кто нарисовал его год или три назад — а кто починит его сегодня ночью, если он ляжет. Кто заметит, что в него залили чужой код. Кто развернёт бэкап, когда «всё пропало». Кто возьмёт трубку в субботу в 22:00, когда заявки внезапно перестали приходить.

Если у вас нет мгновенного ответа — с именем и телефоном — новости плохие. Сайт, который живёт сам по себе, уже уязвим. Просто вы об этом ещё не знаете. Взлом почти никогда не бывает «вдруг»: риск копится месяцами — устаревший движок, дырявый плагин, забытая форма, бэкап, которого нет. До определённого дня этого не слышно.

Мы работаем на этом рынке каждый день: делаем сайты, лечим заражённые, проводим аудиты. И написали этот текст, потому что устали видеть одно и то же — бизнес узнаёт правду, только когда уже поздно.

Часть 1. Аудит рынка «сделать сайт»: четыре схемы, о которых вам не расскажут

За красивыми портфолио и «сайтами под ключ» прячется несколько неприятных, но абсолютно рабочих бизнес-моделей.

«Сделали и растворились». По отраслевым обзорам, у 40% заказчиков срываются сроки, а после подписания акта поддержка попросту заканчивается. Дальше — коронная фраза индустрии: «Поддержки нет, давайте лучше сделаем вам новый сайт». Вам ломают то, что работало, и продают починку как новую услугу. Это не сбой процесса. Это и есть процесс.

«Шаблон под видом разработки». Средний ценник студии — 150 000–250 000 ₽. За эти деньги нередко отдают перекрашенный шаблон на конструкторе. Причём сайт вам даже не принадлежит: перестали платить за аренду платформы — сайт исчез вместе с заявками, текстами и базой. А «переезд» на нормальный движок по факту равен разработке заново.

«Фрилансер-невидимка». Лендинг за 20 000–40 000 ₽ — это, как правило, один человек, который завтра может просто не ответить. Ни договора с SLA, ни ответственности, ни того, кто подхватит проект.

«Безопасность? Это не входило». И самая опасная. Почти никто не закладывает защиту на этапе разработки — её не видно в портфолио и за неё не платят на старте. Сайт сдаётся «красивым» и абсолютно голым. А дальше в дело вступает интернет.

Часть 2. Что реально происходит со взломанным сайтом

«Взломали сайт» звучит абстрактно, будто кто-то стёр главную страницу. В реальности всё тише и страшнее — вас грабят месяцами, а вы об этом не догадываетесь.

Бэкдор — чужой ключ от вашей двери. По данным Sucuri, почти у половины (49%) взломанных сайтов при обнаружении заражения уже стоял хотя бы один бэкдор — маленький скрипт под видом файла темы или плагина, дающий постоянный вход даже после смены паролей. Вы «почистили» сайт, а он всё ещё не ваш.

Веб-скиммер — кража карт прямо на кассе. В форму оплаты незаметно встраивают код, копирующий данные карт покупателей. Это Magecart, и попытка такой атаки происходит каждые ~16 минут; за полгода число заражений выросло на 103%, под угрозой — 6+ млн магазинов на WooCommerce. Покупатель платит у вас — деньги утекают мошенникам — удар по репутации прилетает вам.

SEO-спам с маскировкой. В сайт заливают тысячи скрытых страниц про казино и займы, показывая их только поисковику (клоакинг). Google решает, что вы теперь про казино, и выкидывает из выдачи. В 2025 году от SEO-спама пострадало 328 490 сайтов. Трафик падает, а вы неделями думаете, что «сезон не тот».

Редиректы, майнеры, ботнет. Посетителей молча перебрасывают на фишинг. Ваш сервер майнит крипту чужим людям. Или ваш сайт атакует других — а блокировки приходят вам. Во всех сценариях сайт «работает» и выглядит нормально. Именно поэтому проблему не замечают.

Часть 3. Откуда берутся дыры — и почему «мы на WordPress» это не защита

Проблема не в движке, а в том, что за ним никто не следит. Отчёт Patchstack за 2025 год: обнаружено 11 334 уязвимости, и 91% из них — в плагинах и темах, а не в ядре (в самом ядре WordPress за год — всего 6). Дальше арифметика не в вашу пользу:

  • эксплойт запускают в среднем через 5 часов после публикации уязвимости — быстрее, чем вы о ней узнаёте;
  • 43% дыр используются вообще без логина и пароля;
  • у 46% на момент публикации ещё нет патча — закрывать надо руками.

Только в октябре 2025-го из-за дыр в популярных плагинах под ударом оказались 150 000+ сайтов разом. Ваш сайт на «надёжном WordPress» надёжен ровно настолько, насколько свеж самый забытый плагин на нём.

Часть 4. Новая угроза, о которой многие ещё не знают: штрафы

Раньше взлом бил по выручке и нервам. С 30 мая 2025 года он бьёт напрямую по кошельку — законом. В России ввели оборотные штрафы за утечку персональных данных. А персональные данные — это ровно то, что собирает форма заявки, корзина и личный кабинет на вашем сайте.

3–15 млн ₽ за первую утечку · до 500 млн ₽ за повторную

Утечка данных ≥ 1 000 человек — 3–5 млн ₽; ≥ 10 000 — 5–10 млн ₽; > 100 000 — 10–15 млн ₽. Повторная утечка — оборотный штраф 1–3% годовой выручки, но не менее 20–25 млн и до 500 млн ₽.

Сайт за 150 тысяч, собранный «чтобы был» и брошенный без поддержки, теперь может стоить бизнесу сумму с шестью-восемью нулями. И фон подходящий: в 2025 году в России утекло около 1,5 млрд записей персональных данных (InfoWatch), а 74% всех утечек — это именно персональные данные людей.

Часть 5. Цифры, из-за которых стоит проверить свой сайт сегодня

60% небольших компаний закрываются в течение полугода после серьёзной атаки

43% всех кибератак в мире приходятся на малый и средний бизнес. Каждый пятый SMB разорится от ущерба всего в ~$10 000; больше половины — при $50 000 (VikingCloud, 2025). Средний инцидент обходится небольшой компании примерно в $120 000 с учётом простоя и восстановления.

Взлом убивает бизнес не эффектно. Он убивает его счётом за восстановление, штрафом, ушедшими клиентами и тремя неделями простоя, которые малый бизнес просто не переживает финансово.

Проверьте свой сайт за 30 секунд

  1. Когда последний раз обновляли CMS и все плагины?
  2. Есть ли свежий бэкап, который реально разворачивается, — а не лежит «где-то у прошлого подрядчика»?
  3. Кому вы позвоните в субботу в 22:00, если сайт лёг?
  4. Вы владеете кодом сайта — или арендуете его на чужой платформе?
  5. Защищены ли формы от утечек? Живой ли SSL? Кто отвечает за ваши персональные данные перед законом?

Хотя бы одно «не знаю» — повод проверить сайт уже сегодня.

Чем IT-Aegis отличается от тех, кто «рисует и пропадает»

Наше имя — Aegis, щит. Это не про картинки. Это про то, что за ваш сайт кто-то отвечает — постоянно, а не до подписания акта. Мы закрываем весь цикл одним подрядчиком: разработка → безопасность → поддержка. Бэкап делаем до любых работ, защиту закладываем на этапе разработки, а не «когда уже взломали».

Что мы уже сделалиРезультат
Сайтов сделано с нуля48+
Заражённых сайтов вылечено32+
Аудитов безопасности проведено58+
Сайтов под постоянной защитой21+
Часов поддержки оказано4200+
Интеграций CRM / 1С18+

Работаем на реальном стеке, а не на конструкторах: Laravel, PHP, WordPress, Docker, Nginx, MySQL. Интеграции с amoCRM, Bitrix24, 1С. Среди клиентов — KOVALI, WS-Plast, Tools4Web, «Палитра».

Прозрачные цены — без «рассчитаем позже»

  • Лендинг — от 20 000 ₽, 3 рабочих дня
  • Экспресс-сайт — от 35 000 ₽, 5–10 дней
  • Корпоративный — от 75 000 ₽
  • Под ключ с интеграциями — от 135 000 ₽
  • Аудит безопасности и лечение — от 25 000 ₽
  • Поддержка — 1 200 ₽/час по факту, без абонентского «воздуха»

Каждый проект — договор с фиксированными сроками, объёмом и SLA. Всё с документами и чеками.

Что сделать прямо сейчас

Бесплатная проверка сайта по 12 пунктам

Скорость, безопасность, SSL, бэкапы, известные уязвимости плагинов, защита форм и персональных данных, мобильная версия. Честно скажем, где именно у вас слабые места — без запугивания и впаривания.

Ваш сайт либо работает на вас — либо однажды подведёт в самый неподходящий момент. Время работает против вас. Вопрос один: кто будет рядом, когда это случится.

Источники данных: Patchstack «2025 WordPress Security Report»; Sucuri «Hacked Website & Malware Threat Report»; Malwarebytes / Silent Push (Magecart, 2025–2026); StrongDM и VikingCloud (атаки на SMB, 2025); ЭАЦ InfoWatch (утечки данных в России, 2025); КонсультантПлюс (оборотные штрафы за ПДн с 30.05.2025).

Напишите нам «АУДИТ» — бесплатно проверим ваш сайт и честно скажем, где слабые места.

Оставить заявку Услуги