10 признаков, что прежний подрядчик что-то прячет на сайте

В архиве часто лежит вся файловая структура сайта, дамп базы данных, пароли в конфигах, выгрузки заявок клиентов. Скачать может кто угодно — без авторизации, не оставляя следов в логах CMS.

Откройте в браузере по очереди:

• вашсайт/public_html.zip
• вашсайт/backup.zip, /www.zip, /site.zip
• вашсайт/wp-content.zip (для WordPress)
• вашсайт/bitrix.zip (для Bitrix)

Любой ответ кроме «404 Not Found» — критическая утечка. Сохраните файл локально как доказательство, затем срочно удалите с сервера.

Скрипт без авторизации, лежащий в корне сайта, может выполнять любую команду на сервере по одному HTTP-запросу. Реальный пример из практики: скрипт spread.php в корне Bitrix-сайта при каждом обращении сбрасывал пароль главного администратора на значение, прописанное прямо в коде этого скрипта и известное только бывшему подрядчику.

По FTP откройте корневую директорию сайта (часто /public_html/ или /www/). Сверьте PHP-файлы со стандартной поставкой вашей CMS. Подозрительные имена: spread.php, fixit.php, info.php, shell.php, cmd.php, test.php, любые случайные буквы. Любой PHP в корне, который вы не можете объяснить — повод для аудита.

Подменённый счётчик Яндекс.Метрики или Google Analytics направляет всю статистику и данные о визитах в чужой кабинет. Владелец сайта видит «свою» картину, но накопление поведенческих факторов (для целей раскрутки или перепродажи) идёт в чужой контур.

Откройте сайт → правый клик → «Просмотр кода страницы». Поиск по странице (Ctrl+F): ym( для Метрики, gtag('config' для GA. Сверьте номер счётчика с тем, что у вас в личном кабинете metrika.yandex.ru или analytics.google.com. Несовпадение = подмена.

Боты могут «накручивать» формы, чтобы создавать видимость роста заявок и оправдывать продолжение оплаты SEO. Реальный пример: 87 заявок в одном месяце при норме 2-13 в остальные месяцы того же года.

В админке CMS откройте таблицу заявок (для Bitrix — раздел «Веб-формы», результаты). Постройте график помесячно. Резкие пики в один-два месяца с последующим возвратом к норме = вероятный наплыв ботов. Дополнительно: сравните содержимое — если в пиковый месяц много одинаковых имён, фейковых телефонов («111-11-11»), тестовых адресов — это подтверждение.

На сайт можно установить сторонний модуль, который перехватывает исходящие письма с уведомлениями о новых заявках. Технически это выглядит как «настройка SMTP» — но эффект: клиент оставил заявку, а владелец бизнеса об этом не знает. Реальный пример: 20 заявок за полгода, ноль доставленных уведомлений.

Заполните любую форму на собственном сайте (с тестовыми данными — реальное имя, реальная почта). Подождите 5 минут. Если уведомление не пришло на ту почту, на которую должно — есть проблема. Проверьте также папку «Спам» и фильтры в почтовом ящике.

После расторжения договора учётные записи прежнего подрядчика часто остаются активными. Имена вроде support@*, webmaster@*, bitrix_*, FTP-аккаунты *_dev, *_test, *_admin — могут принадлежать команде, у которой больше нет прав на работу с сайтом.

В админке CMS → раздел «Пользователи» / «Сотрудники». Сверьте каждую активную учётку с реальным сотрудником вашей компании. Особое внимание: дата последнего входа, права (admin/editor), email привязки. Незнакомые → удалить или сделать неактивными. Параллельно — проверить FTP-аккаунты в панели хостинга.

Корректный robots.txt запрещает поисковикам индексировать служебные пути CMS: /bitrix/, /wp-admin/, /admin/. Если запрет снят — поисковая выдача начинает содержать прямые ссылки на админ-формы, что облегчает злоумышленникам поиск точек входа.

Откройте вашсайт/robots.txt. Должны быть строки Disallow: /bitrix/ (для Bitrix) или Disallow: /wp-admin/ (для WordPress). Если нет — это симптом небрежного обслуживания. Сам по себе риск низкий, но в комбинации с другими пунктами этого списка — повод для тщательной проверки.

Без записи DMARC в DNS любой человек в интернете может слать письма «от имени» вашего домена с подменой отправителя. Подрядчик, имевший доступ к вашему сайту, мог использовать ваш домен в спам-рассылке для своих целей — а пострадает деловая репутация владельца.

Откройте mxtoolbox.com/dmarc.aspx → введите ваш домен. В ответе должна быть запись вида v=DMARC1; p=reject; или p=quarantine. Если запись отсутствует или установлено p=none — защита не настроена.

В день расторжения договора подрядчик может скачать полный снимок вашей базы данных и кода. Это может быть представлено как «сохранение результатов работы», но фактически даёт ему копию всех ваших клиентских данных и переписки в формате, удобном для последующего анализа или передачи третьим лицам.

В админке CMS посмотрите журнал входов (для Bitrix — «Журнал визитов» в настройках). Найдите дату последнего входа учётки прежнего подрядчика. Затем проверьте директорию резервных копий (/bitrix/backup/ или эквивалент в вашей CMS): если в эту же дату появился большой архив — данные были скачаны.

Если на странице «Политика обработки персональных данных» нет реквизитов оператора (для РФ — ИНН, ОГРН, юридический адрес; для РБ — УНП и регистрационные данные ИП или юрлица) — она не идентифицирует оператора и не выполняет требования 152-ФЗ (РФ) либо Закона №99-З (РБ). При проверке регулятора (Роскомнадзор для РФ, Национальный центр защиты ПД cpd.by для РБ) это автоматический штраф. Часто подрядчики оставляют шаблонную «политику» с плейсхолдерами вместо реквизитов клиента — и забывают подставить настоящие данные.

Откройте на сайте страницу /privacy, /policy, /personal-data или ссылку «Политика обработки ПД» из футера. Найдите свой основной идентификатор (ИНН для РФ, УНП для РБ) поиском Ctrl+F. Если его нет в тексте, или вместо реквизитов стоят шаблонные фразы вроде «Наименование организации» — политика дефектна. Это решается за час правильной правкой текста.