Простой набор мер, который снижает шум от ботов и защищает ключевые точки (логин, поиск, корзина) без переписывания кода.
1) Включите защиту периметра: CDN/WAF
- Подключите CDN/WAF и примените стандартные правила для CMS и e-commerce.
- Включите «Under Attack/High Security» режим на период аномального трафика.
- Добавьте geo/IP-фильтры для админки и API.
2) Лимиты запросов и капча по триггерам
- Рейт-лимиты на POST к логину/регистрации/восстановлению пароля.
- Капча/челлендж только при аномалии: частые попытки входа, массовые добавления в корзину, парсинг каталога.
- Отключите «гостевой» поиск по огромным страницам: вводите пагинацию и ограничение глубины.
3) Скрывайте «сладкие» точки
- Переместите/скройте стандартные URL входа в админку; добавьте проверку по IP.
- Закройте индексацию служебных страниц (robots.txt, X-Robots-Tag).
- Ограничьте публичные эндпоинты API; выдавайте ключи с минимальными правами и коротким TTL.
4) Кэш и подготовка к пикам
- Включите композит/кеширование для «тяжёлых» страниц каталога и карточек, чтобы снизить нагрузку.
- Проведите нагрузочный тест перед акциями: найдите пределы CPU/RAM/БД.
- Подготовьте «план деградации»: упрощённая версия каталога при перегрузке (без тяжёлых виджетов).
5) Мониторинг и алерты
- Настройте оповещения: рост 4xx/5xx, всплеск трафика, замедление TTFB.
- Соберите контакты на случай атаки: хостинг, CDN/WAF, разработчик, ответственный менеджер.
- Храните последние бэкапы и доступ к переключению DNS/режимов WAF.
Шаблон правил (минимум)
| Зона | Мера | Эффект |
|---|---|---|
| Логин/восстановление | Рейт-лимиты + капча при 3–5 неудачах | Снижение брут-форса |
| Поиск | Пагинация, ограничение глубины, кеш | Меньше парсинга и нагрузки |
| Каталог | Композит/кеш, запрет «глубоких» фильтров ботам | Защита от массклика |
| Админка | IP-allowlist, скрытый URL, 2FA | Меньше авто-сканирования |