📊 Реальные результаты

Что находит AuditGuard на реальных сайтах

Анонимизированные примеры технических проблем, обнаруженных при аудите. Домены изменены.

87%
сайтов с критичными/высокими проблемами
86%
сайтов без Content-Security-Policy
445+
параметров проверки
<120с
среднее время полного аудита
3 критических 5 высоких Интернет-магазин

shop-example.ru — интернет-магазин электроники

Nginx 1.18, PHP 8.0, WooCommerce — аудит 2026

32
Score
КРИТ
Отсутствует Content-Security-Policy — страница оформления заказа принимает встроенные скрипты без ограничений. XSS уязвимость в comment-поле позволяет вставить iframe с phishing-страницей для кражи данных карты.
КРИТ
TLS 1.0 и 1.1 включены — сервер принимает соединения по устаревшим протоколам. Уязвим к атаке POODLE (CVE-2014-3566). Платёжные системы Stripe, ЮКassa требуют минимум TLS 1.2.
КРИТ
Source maps опубликованы в production — файлы *.js.map доступны публично. Атакующий видит оригинальный TypeScript-код, включая логику скидок и внутренние endpoint'ы.
ВЫСОК
Server: nginx/1.18.0 — раскрывается точная версия. Nginx 1.18.0 содержит известные уязвимости, доступные в NVD. Рекомендуется: server_tokens off.
ВЫСОК
Нет HSTS — HTTP-версия сайта не перенаправляет принудительно. Man-in-the-middle атаки на незащищённых сетях (кафе, аэропорт) позволяют перехватить сессию.
СРЕДН
Google Tag Manager загружается без SRI — если аккаунт GTM скомпрометирован, атакующий может внедрить произвольный JS на все страницы магазина.
2 высоких 4 средних SaaS / B2B

saas-crm-example.ru — CRM для малого бизнеса

React SPA, Node.js API, Cloudflare CDN — аудит 2026

61
Score
ВЫСОК
CORS: Access-Control-Allow-Origin: * на /api/v1/users — публичный эндпоинт возвращает список пользователей с email без аутентификации при CORS-запросе с любого домена.
ВЫСОК
Нет X-Frame-Options / frame-ancestors — страница входа может быть встроена в iframe. Clickjacking атака: пользователь думает что вводит данные на своём сайте, а на самом деле — в невидимый фрейм с CRM.
СРЕДН
CSP только для main.html, не для /login и /signup — политика применена непоследовательно, критические страницы незащищены.
СРЕДН
Robots.txt блокирует /api/ — это не защита. Robots.txt не скрывает от атакующих, только от добросовестных поисковиков. Реальная защита — аутентификация на уровне API.
НИЗК
Open Graph / meta description обновляются не для всех путей — /blog/* использует шаблонный description вместо уникального для каждой статьи. Влияет на CTR в поиске.
2 средних 5 низких Блог / СМИ

blog-media-example.ru — новостной портал

WordPress 6.4, nginx, Яндекс.Облако — аудит 2026

78
Score
СРЕДН
WordPress версия в генераторе Meta<meta name="generator" content="WordPress 6.4.1">. Атакующие сканируют этот тег для поиска версий с известными CVE. Рекомендуется: убрать тег через remove_action('wp_head', 'wp_generator').
СРЕДН
Нет Subresource Integrity (SRI) на внешних шрифтах — Google Fonts загружается без hash-проверки. При компрометации CDN возможна подмена файла.
SEO
23 страницы без явного canonical — WordPress генерирует дублирующийся контент по параметрам ?page=2, ?cat=1. Поисковик может понизить ценность оригиналов.
SEO
Изображения без атрибута alt (47 из 120) — поисковики не понимают контент изображений, снижается ранжирование по тематическим запросам. Кроме того — нарушение WCAG доступности.
GEO
Нет JSON-LD разметки Article на постах — поисковики Google и Яндекс используют структурированные данные для rich snippets. AI-системы (Perplexity, ChatGPT) доверяют размеченному контенту при цитировании.

Проверьте свой сайт

Аудит занимает меньше 2 минут. Вы сразу увидите — какие из этих проблем есть на вашем сайте.

Запустить бесплатный аудит →

📋 Что входит в технический аудит

🔒 Кибербезопасность
  • Security headers (CSP, HSTS, XFO)
  • TLS/SSL конфигурация
  • CVE в JS-зависимостях
  • CORS политика
  • Открытые порты (Shodan)
🔍 SEO и видимость
  • Meta теги и canonical
  • Structured data (JSON-LD)
  • Robots.txt и sitemap
  • Скорость и Core Web Vitals
  • GEO / AI-видимость
📡 DNS и инфраструктура
  • DNS записи (A, MX, NS)
  • SPF, DMARC, DKIM
  • WHOIS и срок домена
  • HTTP заголовки
  • Редиректы и цепочки
🔗 Третьи стороны
  • Внешние JS без SRI
  • Трекеры и аналитика
  • Шрифты и CDN
  • Пикселя рекламы
  • Передача данных за рубеж
⚖️ Нужен legal-аудит по 152-ФЗ?

AuditGuard проверяет технику. СайтПраво — юридическое соответствие: политика конфиденциальности, согласие, ERID, cookie-баннер.

Аудит по 152-ФЗ →