Технический аудит сайта в 2026 году: что проверяет AuditGuard
Технический и кибер-аудит — это проверка не документов, а инфраструктуры: SSL/TLS, security headers, DNS-безопасность, уязвимости CMS, открытые порты, доступность и поисковый технический контур. Рассказываем, что мы проверяем и почему это важно.
Запустить бесплатный аудитЧто такое технический аудит сайта
Технический аудит сайта — автоматическая проверка публичного контура веб-ресурса по параметрам безопасности, надёжности и соответствия современным стандартам. В отличие от ручного пентеста, автоматический аудит охватывает сотни параметров за 2–5 минут и не требует специальных прав доступа.
AuditGuard проверяет только публично доступные элементы сайта — то, что видит любой браузер и сканер. Мы не взламываем сайт и не получаем несанкционированного доступа.
12 направлений проверки AuditGuard
🔐 SSL/TLS
Версия протокола (TLS 1.2/1.3), набор шифров, срок действия сертификата, цепочка доверия, HSTS, OCSP stapling. Флагируем слабые шифры (CBC, RC4), устаревшие протоколы (SSLv3, TLS 1.0/1.1).
🛡️ Security Headers
Наличие и корректность: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CORS. Отдельно — report-uri для логирования нарушений CSP.
📧 DNS-безопасность
SPF, DKIM, DMARC — защита домена от email-спуфинга. CAA-записи — ограничение выдающих сертификаты CA. DNSSEC, TTL критичных записей.
🌐 SEO-технический контур
robots.txt, sitemap.xml, canonical, noindex/nofollow, hreflang, Open Graph, структурированные данные Schema.org, скорость загрузки, Core Web Vitals.
♿ Доступность (a11y)
WCAG 2.1 AA: alt-тексты, ARIA-метки, контраст, фокус-навигация, семантическая разметка. Используем pa11y для автоматических проверок.
⚠️ Уязвимые зависимости
Проверка JavaScript-библиотек (jQuery, Bootstrap, vue.js) на известные CVE через retire.js. Обнаружение устаревших версий с публичными эксплойтами.
🔍 Разведка поверхности атаки
Поддомены, открытые директории, публичные .git, .env, резервные копии. Проверка утечек через OSINT-источники: URLhaus, AbuseIPDB, PhishTank.
🌱 Экология и углеродный след
Проверка по реестрам зелёного хостинга. Оценка углеродного следа страницы (граммы CO₂ на посещение).
🔒 WAF и защита от атак
Обнаружение WAF, WAF-fingerprinting. Rate limiting, защита API-эндпоинтов, SSRF-protection, блокировка сканеров.
🖥️ Серверный контур
Определение стека (nginx/Apache/Caddy), версий CMS (WordPress, Bitrix, Tilda), фреймворков. Server tokens, раскрытие технического стека в заголовках.
🔗 Внешние сервисы
Инвентаризация 100+ внешних трекеров, аналитических систем, CDN, платёжных провайдеров. Проверка согласованности с политикой ПДн.
🤖 XSS и инъекции
Passive XSS detection через dalfox, поиск отражённых параметров в URL без активной эксплуатации. Сигналы SQLi-exposure по косвенным признакам.
Почему технический аудит важен в 2026 году
Требования к безопасности веб-ресурсов ужесточаются с каждым годом:
- Регуляторы: Роскомнадзор, ФСБ, ФСТЭК вводят требования к защите персональных данных на техническом уровне (не только документальном).
- Поисковики: Google и Яндекс понижают сайты с устаревшим SSL, без HTTPS, с медленной загрузкой и плохой доступностью.
- Атаки: По данным Positive Technologies, 60%+ успешных атак на российские компании использовали известные уязвимости, которые не были устранены.
- Репутация: Появление в базах фишинговых сайтов (PhishTank, URLhaus) без вашего ведома блокирует трафик и вызывает предупреждения в браузерах.
Разница между техническим и юридическим аудитом
| Параметр | Технический аудит (AuditGuard) | Юридический аудит (SitePravo) |
|---|---|---|
| Что проверяет | Сервер, код, инфраструктура | Документы, формы, согласия |
| Нарушения | CVE, слабые шифры, открытые директории | ФЗ-152, ЗоЗПП, ЕАЭС, 38-ФЗ |
| Штрафы за нарушения | Взлом, блокировка, репутационный ущерб | До 500 000 ₽ за каждое нарушение |
| Кому нужен | Разработчик, DevOps, CTO | Юрист, владелец, маркетолог |
| Периодичность | После каждого деплоя или ежемесячно | При изменении документов или законодательства |
Идеально — проводить оба аудита одновременно. AuditGuard включает базовый legal-контур (ПДн, cookie, формы), поэтому многие риски покрываются в одном отчёте.
Как AuditGuard читает результаты
Каждый finding в отчёте содержит:
- ID и категория — где именно проблема (ssl, security, dns, seo и т.д.)
- Severity: critical high medium — по шкале реального риска эксплуатации
- Evidence — конкретные данные: версия протокола, название шифра, CVE-номер
- Fix — что именно сделать: конкретная nginx-директива, команда, ссылка на документацию
- MITRE ATT&CK — маппинг на тактику и технику атаки для критичных findings
Типичные проблемы по результатам аудита
🔴 Критичные (требуют немедленного исправления)
- TLS 1.0/1.1 включён (POODLE, BEAST)
- Слабые шифры RC4 или CBC без patch
- Открытый .git или .env в публичном доступе
- jQuery < 3.0 (CVE-2019-11358 и другие)
- Сайт в базах URLhaus/PhishTank/AbuseIPDB
🟡 Средние (исправить в течение месяца)
- Отсутствует Content-Security-Policy
- CSP без report-uri (нарушения не логируются)
- Нет DMARC или p=none (домен уязвим к спуфингу)
- Нет CAA-записи (любой CA может выпустить сертификат)
- Server: nginx/1.18 раскрывает версию ПО
Как часто нужен технический аудит
- После каждого деплоя — если добавляли новые зависимости, меняли конфигурацию nginx/Apache, обновляли CMS
- Ежемесячно — плановая проверка: срок SSL, новые CVE в используемых библиотеках
- После инцидента — взлом, фишинговая кампания от имени домена, жалобы пользователей
- Перед запуском — новый сайт или значимое обновление
- По регуляторному требованию — аудиты для compliance (PCI DSS, ФЗ-187, ГОСТ Р ИСО/МЭК)