Часто задаваемые вопросы

Полный аудит занимает 30–120 секунд в зависимости от скорости сервера и количества проверок. По завершении вы сразу получаете интерактивный отчёт с оценками по каждому направлению.

Если сайт не отвечает, аудит завершится с ошибкой подключения. Попробуйте повторить проверку позже. Если сайт защищён Cloudflare или WAF, некоторые проверки могут блокироваться — это отразится в отчёте как недоступные параметры.

Нет. AuditGuard выполняет пассивный аудит: делает обычные HTTP-запросы к публично доступным страницам, как это делает любой пользователь. Никакой нагрузки, брутфорса или инъекций — только чтение ответов сервера.

Аудит охватывает следующие направления:

• Security Headers — заголовки HSTS, CSP, X-Frame-Options, Permissions-Policy и др.
• HTTPS / TLS — версия протокола, шифры, сертификат, OCSP Stapling
• Exposure & Hardening — раскрытие технологий, server-токены, информационные утечки
• External Services — сторонние скрипты, трекеры, CDN-зависимости
• Server & Transport — HTTP/2, сжатие, кэширование, редиректы
• Technical Accessibility — доступность, robots.txt, sitemap, meta-теги
• Technical SEO — canonical, hreflang, структура URL, скорость
• GEO / AI Visibility — llms.txt, structured data, AI-crawler конфигурация
• Cybersecurity — WAF, DNSSEC, SPF/DKIM/DMARC, субдомен-сканирование

Каждое направление разбито на конкретные технические проверки. Например, только в блоке заголовков безопасности — 40 параметров: наличие заголовка, правильность директив, HTTPS-флаги, scope и т.д.

Для сравнения: Lighthouse проверяет ~70 параметров производительности, Observatory (Mozilla) — ~30 параметров безопасности. AuditGuard объединяет 438+ параметров из обоих областей плюс AI-видимость.

AuditGuard проверяет косвенные признаки уязвимостей: раскрытие версий CMS/сервера, устаревшие TLS-версии, отсутствие защитных заголовков. Прямого сканирования CVE по базам NVD нет — для этого рекомендуется Nuclei или Trivy.

Зато направление Exposure & Hardening выявляет конфигурации, которые упрощают эксплуатацию: открытые .git, .env, backup-файлы, листинг директорий.

Общий score — взвешенное среднее по всем 9 направлениям. Направления с более высоким влиянием на безопасность (Security Headers, HTTPS, Cybersecurity) имеют больший вес.

Каждый параметр имеет собственный вес: критические уязвимости снижают score сильнее, чем мелкие предупреждения.

Каждая находка в отчёте содержит:

• Что не так — конкретная проблема и её место
• Почему важно — реальный риск для пользователей или SEO
• Как исправить — готовый snippet для nginx/Apache/Node.js

Начинайте с критических находок в направлениях Security Headers и HTTPS — они наиболее влияют на безопасность.

Пока нет — отчёт доступен в интерактивном веб-формате. Вы можете распечатать страницу через браузер (Ctrl+P → Сохранить как PDF). Экспорт в PDF планируется в следующих обновлениях.

Отчёт доступен по уникальной ссылке 30 дней с момента создания. После этого он удаляется. Сохраните ссылку или результаты, если хотите сравнить динамику.

Content-Security-Policy (CSP) — ваша первая линия защиты от XSS-атак. Он указывает браузеру, с каких доменов можно загружать скрипты, стили, шрифты и медиа.

Без CSP любой внедрённый скрипт выполняется в контексте вашего сайта и может похитить куки, токены или перехватить форму. Рекомендуемый минимум:

default-src 'self'; script-src 'self'; object-src 'none'; base-uri 'self'

Strict-Transport-Security (HSTS) запрещает браузеру обращаться к сайту по HTTP. Это защищает от SSL-stripping атак, когда злоумышленник в той же сети понижает HTTPS до HTTP.

Рекомендуемое значение: max-age=31536000; includeSubDomains; preload. Для попадания в preload-список браузеров также подайте домен на hstspreload.org.

Раскрытие версии ПО в заголовке Server или X-Powered-By позволяет атакующему быстро найти CVE именно для вашей версии. Решение — убрать или заменить заголовок:

nginx: server_tokens off; в http-блоке конфига.

Apache: ServerTokens Prod + ServerSignature Off.

HTTPS — необходимый минимум, но не достаточный. Важно также:

• Использовать только TLS 1.2 и TLS 1.3 (TLS 1.0/1.1 — устаревшие, атакуемые)
• Иметь корректный chain сертификата (без промежуточных ошибок)
• Настроить OCSP Stapling — ускоряет проверку отзыва сертификата
• Отключить слабые шифры (RC4, 3DES, NULL)

AuditGuard проверяет всё это автоматически и выдаёт конкретные директивы для nginx/Apache.

Mixed content — это когда HTTPS-страница загружает ресурсы по HTTP (картинки, скрипты, фреймы). Браузер либо блокирует такие ресурсы, либо выдаёт предупреждение.

Для исправления: замените все http:// ссылки на https:// или протокол-относительные //. Заголовок Content-Security-Policy: upgrade-insecure-requests помогает принудительно апгрейдить ресурсы.

llms.txt — специальный файл в корне сайта, который помогает языковым моделям (ChatGPT, Claude, Perplexity) лучше понимать структуру вашего сайта при индексации.

Аналог robots.txt, но для AI-краулеров. AuditGuard проверяет наличие файла, правильный Content-Type и структуру секций.

Да, но технический SEO — один из 9 блоков, не основной фокус. AuditGuard проверяет:

• Canonical и hreflang теги
• robots.txt и sitemap.xml доступность
• Open Graph / Twitter Card мета-теги
• Core Web Vitals (LCP, CLS, FID)
• Структурированные данные (Schema.org JSON-LD)

Для глубокого SEO-аудита рекомендуем дополнительно использовать Screaming Frog или Ahrefs Site Audit.