📊 Реальные результаты
Что находит AuditGuard на реальных сайтах
Анонимизированные примеры технических проблем, обнаруженных при аудите. Домены изменены.
87%
сайтов с критичными/высокими проблемами
86%
сайтов без Content-Security-Policy
445+
параметров проверки
<120с
среднее время полного аудита
3 критических
5 высоких
Интернет-магазин
shop-example.ru — интернет-магазин электроники
Nginx 1.18, PHP 8.0, WooCommerce — аудит 2026
32
Score
КРИТ
Отсутствует Content-Security-Policy — страница оформления заказа принимает встроенные скрипты без ограничений. XSS уязвимость в comment-поле позволяет вставить iframe с phishing-страницей для кражи данных карты.
КРИТ
TLS 1.0 и 1.1 включены — сервер принимает соединения по устаревшим протоколам. Уязвим к атаке POODLE (CVE-2014-3566). Платёжные системы Stripe, ЮКassa требуют минимум TLS 1.2.
КРИТ
Source maps опубликованы в production — файлы *.js.map доступны публично. Атакующий видит оригинальный TypeScript-код, включая логику скидок и внутренние endpoint'ы.
ВЫСОК
Server: nginx/1.18.0 — раскрывается точная версия. Nginx 1.18.0 содержит известные уязвимости, доступные в NVD. Рекомендуется:
server_tokens off.ВЫСОК
Нет HSTS — HTTP-версия сайта не перенаправляет принудительно. Man-in-the-middle атаки на незащищённых сетях (кафе, аэропорт) позволяют перехватить сессию.
СРЕДН
Google Tag Manager загружается без SRI — если аккаунт GTM скомпрометирован, атакующий может внедрить произвольный JS на все страницы магазина.
2 высоких
4 средних
SaaS / B2B
saas-crm-example.ru — CRM для малого бизнеса
React SPA, Node.js API, Cloudflare CDN — аудит 2026
61
Score
ВЫСОК
CORS: Access-Control-Allow-Origin: * на /api/v1/users — публичный эндпоинт возвращает список пользователей с email без аутентификации при CORS-запросе с любого домена.
ВЫСОК
Нет X-Frame-Options / frame-ancestors — страница входа может быть встроена в iframe. Clickjacking атака: пользователь думает что вводит данные на своём сайте, а на самом деле — в невидимый фрейм с CRM.
СРЕДН
CSP только для main.html, не для /login и /signup — политика применена непоследовательно, критические страницы незащищены.
СРЕДН
Robots.txt блокирует /api/ — это не защита. Robots.txt не скрывает от атакующих, только от добросовестных поисковиков. Реальная защита — аутентификация на уровне API.
НИЗК
Open Graph / meta description обновляются не для всех путей — /blog/* использует шаблонный description вместо уникального для каждой статьи. Влияет на CTR в поиске.
2 средних
5 низких
Блог / СМИ
blog-media-example.ru — новостной портал
WordPress 6.4, nginx, Яндекс.Облако — аудит 2026
78
Score
СРЕДН
WordPress версия в генераторе Meta —
<meta name="generator" content="WordPress 6.4.1">. Атакующие сканируют этот тег для поиска версий с известными CVE. Рекомендуется: убрать тег через remove_action('wp_head', 'wp_generator').СРЕДН
Нет Subresource Integrity (SRI) на внешних шрифтах — Google Fonts загружается без hash-проверки. При компрометации CDN возможна подмена файла.
SEO
23 страницы без явного canonical — WordPress генерирует дублирующийся контент по параметрам ?page=2, ?cat=1. Поисковик может понизить ценность оригиналов.
SEO
Изображения без атрибута alt (47 из 120) — поисковики не понимают контент изображений, снижается ранжирование по тематическим запросам. Кроме того — нарушение WCAG доступности.
GEO
Нет JSON-LD разметки Article на постах — поисковики Google и Яндекс используют структурированные данные для rich snippets. AI-системы (Perplexity, ChatGPT) доверяют размеченному контенту при цитировании.
Проверьте свой сайт
Аудит занимает меньше 2 минут. Вы сразу увидите — какие из этих проблем есть на вашем сайте.
Запустить бесплатный аудит →📋 Что входит в технический аудит
🔒 Кибербезопасность
- Security headers (CSP, HSTS, XFO)
- TLS/SSL конфигурация
- CVE в JS-зависимостях
- CORS политика
- Открытые порты (Shodan)
🔍 SEO и видимость
- Meta теги и canonical
- Structured data (JSON-LD)
- Robots.txt и sitemap
- Скорость и Core Web Vitals
- GEO / AI-видимость
📡 DNS и инфраструктура
- DNS записи (A, MX, NS)
- SPF, DMARC, DKIM
- WHOIS и срок домена
- HTTP заголовки
- Редиректы и цепочки
🔗 Третьи стороны
- Внешние JS без SRI
- Трекеры и аналитика
- Шрифты и CDN
- Пикселя рекламы
- Передача данных за рубеж
⚖️ Нужен legal-аудит по 152-ФЗ?
AuditGuard проверяет технику. СайтПраво — юридическое соответствие: политика конфиденциальности, согласие, ERID, cookie-баннер.