Вы заказали сайт у фрилансера или AI-разработчика, получили готовый проект и готовы оплатить работу. Но прежде чем переводить деньги и открывать доступ пользователям, стоит убедиться, что сайт не содержит критических уязвимостей. В этой статье мы разберем, как проверить работу разработчика сайта на безопасность, какие вопросы задать исполнителю и на что обратить внимание при приемке.
1. Где хранятся доступы и как они защищены?
Первый и самый важный вопрос — кто имеет доступ к админке, хостингу, базам данных и FTP. Попросите разработчика предоставить полный список всех учетных записей, которые создавались в процессе работы. Убедитесь, что временные тестовые логины удалены, а пароли от административных панелей сложные и уникальные. Если разработчик использует общие пароли для всех клиентов — это серьезный риск.
2. Есть ли резервное копирование и как его восстановить?
Любой сайт может сломаться: из-за ошибки при обновлении, взлома или случайного удаления файлов. Спросите, настроено ли автоматическое резервное копирование. Важно не только наличие бэкапов, но и процедура восстановления. Попросите разработчика показать, как за сутки откатить сайт к рабочей версии. Если ответа нет — это повод задуматься.
3. Какие данные собирают формы на сайте?
Формы обратной связи, подписки, заказы — через них передаются персональные данные пользователей. Убедитесь, что данные шифруются при передаче (SSL-сертификат), хранятся в безопасности и не отправляются на сторонние серверы без вашего ведома. Спросите, куда именно уходят письма с формы, и проверьте, не дублируются ли они в открытом виде в логах.
4. Как настроены права доступа в админке?
Если у сайта будет несколько администраторов или редакторов, важно разграничить их права. Попросите разработчика создать тестовую учетную запись с минимальными правами и проверьте, может ли такой пользователь удалять страницы или менять настройки безопасности. Правильная настройка ролей предотвращает случайные и намеренные повреждения сайта.
5. Ведется ли логирование действий?
Логи — это записи о том, кто и когда заходил в админку, какие действия выполнял. Наличие логов помогает быстро найти причину проблемы, если сайт начал вести себя странно. Спросите, включено ли логирование, как долго хранятся записи и можно ли их просматривать. Если разработчик не знает, что такое логи, — это тревожный сигнал.
6. Какие уязвимости были найдены и устранены?
Попросите исполнителя рассказать, проводил ли он аудит безопасности после завершения работы. Даже простой автоматический сканер может выявить типовые проблемы: устаревшие библиотеки, открытые порты, незащищенные административные панели. Хороший разработчик всегда проверяет проект перед сдачей и может показать отчет. Если отчета нет — предложите провести независимую приемку SafeVibe перед финальной оплатой или публикацией.
7. Что произойдет, если я захочу передать сайт другому специалисту?
Рано или поздно вам может понадобиться сменить разработчика. Убедитесь, что у вас есть полные доступы к хостингу, домену, исходному коду, базе данных и всем сервисам (почта, CDN, аналитика). Попросите разработчика предоставить инструкцию по передаче. Если он отказывается или говорит, что «это сложно», — это повод не платить полную сумму до решения вопроса.
Приемка сайта — это не формальность, а важный этап, который защищает ваш бизнес от будущих проблем. Задайте эти вопросы, запишите ответы и не стесняйтесь просить доказательства. Если сомневаетесь в квалификации исполнителя, закажите независимый аудит — это дешевле, чем последствия утечки данных или поломки сайта.