Большой разбор: как на самом деле устроен рынок веб-студий, что происходит со взломанным сайтом изнутри, почему с 2025 года дырявая форма на сайте может стоить директору до 500 миллионов рублей — и что делать, пока не стало поздно.
Начнём с вопроса, от которого холодеют руки
Кто отвечает за ваш сайт прямо сейчас? Не кто нарисовал его год или три назад — а кто починит его сегодня ночью, если он ляжет. Кто заметит, что в него залили чужой код. Кто развернёт бэкап, когда «всё пропало». Кто возьмёт трубку в субботу в 22:00, когда заявки внезапно перестали приходить.
Если у вас нет мгновенного ответа — с именем и телефоном — новости плохие. Сайт, который живёт сам по себе, уже уязвим. Просто вы об этом ещё не знаете. Взлом почти никогда не бывает «вдруг»: риск копится месяцами — устаревший движок, дырявый плагин, забытая форма, бэкап, которого нет. До определённого дня этого не слышно.
Мы работаем на этом рынке каждый день: делаем сайты, лечим заражённые, проводим аудиты. И написали этот текст, потому что устали видеть одно и то же — бизнес узнаёт правду, только когда уже поздно.
Часть 1. Аудит рынка «сделать сайт»: четыре схемы, о которых вам не расскажут
За красивыми портфолио и «сайтами под ключ» прячется несколько неприятных, но абсолютно рабочих бизнес-моделей.
«Сделали и растворились». По отраслевым обзорам, у 40% заказчиков срываются сроки, а после подписания акта поддержка попросту заканчивается. Дальше — коронная фраза индустрии: «Поддержки нет, давайте лучше сделаем вам новый сайт». Вам ломают то, что работало, и продают починку как новую услугу. Это не сбой процесса. Это и есть процесс.
«Шаблон под видом разработки». Средний ценник студии — 150 000–250 000 ₽. За эти деньги нередко отдают перекрашенный шаблон на конструкторе. Причём сайт вам даже не принадлежит: перестали платить за аренду платформы — сайт исчез вместе с заявками, текстами и базой. А «переезд» на нормальный движок по факту равен разработке заново.
«Фрилансер-невидимка». Лендинг за 20 000–40 000 ₽ — это, как правило, один человек, который завтра может просто не ответить. Ни договора с SLA, ни ответственности, ни того, кто подхватит проект.
«Безопасность? Это не входило». И самая опасная. Почти никто не закладывает защиту на этапе разработки — её не видно в портфолио и за неё не платят на старте. Сайт сдаётся «красивым» и абсолютно голым. А дальше в дело вступает интернет.
Часть 2. Что реально происходит со взломанным сайтом
«Взломали сайт» звучит абстрактно, будто кто-то стёр главную страницу. В реальности всё тише и страшнее — вас грабят месяцами, а вы об этом не догадываетесь.
Бэкдор — чужой ключ от вашей двери. По данным Sucuri, почти у половины (49%) взломанных сайтов при обнаружении заражения уже стоял хотя бы один бэкдор — маленький скрипт под видом файла темы или плагина, дающий постоянный вход даже после смены паролей. Вы «почистили» сайт, а он всё ещё не ваш.
Веб-скиммер — кража карт прямо на кассе. В форму оплаты незаметно встраивают код, копирующий данные карт покупателей. Это Magecart, и попытка такой атаки происходит каждые ~16 минут; за полгода число заражений выросло на 103%, под угрозой — 6+ млн магазинов на WooCommerce. Покупатель платит у вас — деньги утекают мошенникам — удар по репутации прилетает вам.
SEO-спам с маскировкой. В сайт заливают тысячи скрытых страниц про казино и займы, показывая их только поисковику (клоакинг). Google решает, что вы теперь про казино, и выкидывает из выдачи. В 2025 году от SEO-спама пострадало 328 490 сайтов. Трафик падает, а вы неделями думаете, что «сезон не тот».
Редиректы, майнеры, ботнет. Посетителей молча перебрасывают на фишинг. Ваш сервер майнит крипту чужим людям. Или ваш сайт атакует других — а блокировки приходят вам. Во всех сценариях сайт «работает» и выглядит нормально. Именно поэтому проблему не замечают.
Часть 3. Откуда берутся дыры — и почему «мы на WordPress» это не защита
Проблема не в движке, а в том, что за ним никто не следит. Отчёт Patchstack за 2025 год: обнаружено 11 334 уязвимости, и 91% из них — в плагинах и темах, а не в ядре (в самом ядре WordPress за год — всего 6). Дальше арифметика не в вашу пользу:
- эксплойт запускают в среднем через 5 часов после публикации уязвимости — быстрее, чем вы о ней узнаёте;
- 43% дыр используются вообще без логина и пароля;
- у 46% на момент публикации ещё нет патча — закрывать надо руками.
Только в октябре 2025-го из-за дыр в популярных плагинах под ударом оказались 150 000+ сайтов разом. Ваш сайт на «надёжном WordPress» надёжен ровно настолько, насколько свеж самый забытый плагин на нём.
Часть 4. Новая угроза, о которой многие ещё не знают: штрафы
Раньше взлом бил по выручке и нервам. С 30 мая 2025 года он бьёт напрямую по кошельку — законом. В России ввели оборотные штрафы за утечку персональных данных. А персональные данные — это ровно то, что собирает форма заявки, корзина и личный кабинет на вашем сайте.
3–15 млн ₽ за первую утечку · до 500 млн ₽ за повторную
Утечка данных ≥ 1 000 человек — 3–5 млн ₽; ≥ 10 000 — 5–10 млн ₽; > 100 000 — 10–15 млн ₽. Повторная утечка — оборотный штраф 1–3% годовой выручки, но не менее 20–25 млн и до 500 млн ₽.
Сайт за 150 тысяч, собранный «чтобы был» и брошенный без поддержки, теперь может стоить бизнесу сумму с шестью-восемью нулями. И фон подходящий: в 2025 году в России утекло около 1,5 млрд записей персональных данных (InfoWatch), а 74% всех утечек — это именно персональные данные людей.
Часть 5. Цифры, из-за которых стоит проверить свой сайт сегодня
60% небольших компаний закрываются в течение полугода после серьёзной атаки
43% всех кибератак в мире приходятся на малый и средний бизнес. Каждый пятый SMB разорится от ущерба всего в ~$10 000; больше половины — при $50 000 (VikingCloud, 2025). Средний инцидент обходится небольшой компании примерно в $120 000 с учётом простоя и восстановления.
Взлом убивает бизнес не эффектно. Он убивает его счётом за восстановление, штрафом, ушедшими клиентами и тремя неделями простоя, которые малый бизнес просто не переживает финансово.
Проверьте свой сайт за 30 секунд
- Когда последний раз обновляли CMS и все плагины?
- Есть ли свежий бэкап, который реально разворачивается, — а не лежит «где-то у прошлого подрядчика»?
- Кому вы позвоните в субботу в 22:00, если сайт лёг?
- Вы владеете кодом сайта — или арендуете его на чужой платформе?
- Защищены ли формы от утечек? Живой ли SSL? Кто отвечает за ваши персональные данные перед законом?
Хотя бы одно «не знаю» — повод проверить сайт уже сегодня.
Чем IT-Aegis отличается от тех, кто «рисует и пропадает»
Наше имя — Aegis, щит. Это не про картинки. Это про то, что за ваш сайт кто-то отвечает — постоянно, а не до подписания акта. Мы закрываем весь цикл одним подрядчиком: разработка → безопасность → поддержка. Бэкап делаем до любых работ, защиту закладываем на этапе разработки, а не «когда уже взломали».
| Что мы уже сделали | Результат |
|---|---|
| Сайтов сделано с нуля | 48+ |
| Заражённых сайтов вылечено | 32+ |
| Аудитов безопасности проведено | 58+ |
| Сайтов под постоянной защитой | 21+ |
| Часов поддержки оказано | 4200+ |
| Интеграций CRM / 1С | 18+ |
Работаем на реальном стеке, а не на конструкторах: Laravel, PHP, WordPress, Docker, Nginx, MySQL. Интеграции с amoCRM, Bitrix24, 1С. Среди клиентов — KOVALI, WS-Plast, Tools4Web, «Палитра».
Прозрачные цены — без «рассчитаем позже»
- Лендинг — от 20 000 ₽, 3 рабочих дня
- Экспресс-сайт — от 35 000 ₽, 5–10 дней
- Корпоративный — от 75 000 ₽
- Под ключ с интеграциями — от 135 000 ₽
- Аудит безопасности и лечение — от 25 000 ₽
- Поддержка — 1 200 ₽/час по факту, без абонентского «воздуха»
Каждый проект — договор с фиксированными сроками, объёмом и SLA. Всё с документами и чеками.
Что сделать прямо сейчас
Бесплатная проверка сайта по 12 пунктам
Скорость, безопасность, SSL, бэкапы, известные уязвимости плагинов, защита форм и персональных данных, мобильная версия. Честно скажем, где именно у вас слабые места — без запугивания и впаривания.
Ваш сайт либо работает на вас — либо однажды подведёт в самый неподходящий момент. Время работает против вас. Вопрос один: кто будет рядом, когда это случится.
Источники данных: Patchstack «2025 WordPress Security Report»; Sucuri «Hacked Website & Malware Threat Report»; Malwarebytes / Silent Push (Magecart, 2025–2026); StrongDM и VikingCloud (атаки на SMB, 2025); ЭАЦ InfoWatch (утечки данных в России, 2025); КонсультантПлюс (оборотные штрафы за ПДн с 30.05.2025).