8 быстрых проверок сайта: безопасность, скорость, доступность и приватность — без магии
Пошаговый чек-лист для владельцев и редакторов: что проверить за вечер, какие инструменты использовать и как понять, что ваш сайт не подводит людей.
Этот список — не про «хакеров в чёрных худи», а про базовую гигиену сайта. Наша цель — чтобы люди спокойно читали, записывались к врачу и платили за услуги, а не боролись с формами и ошибками.
1) Безопасность соединения и страниц
Что проверяют: HTTPS, принудительный HTTPS (HSTS), политика выполнения скриптов (CSP), флаги безопасности у cookie (Secure/HttpOnly/SameSite), запрет встраивания страницы (frame-ancestors/X-Frame-Options).
Почему важно: снижается риск кражи сессии, подмены страницы и XSS.
Что заметит пользователь: адрес https:// без предупреждений, формы работают стабильно.
Что делает владелец:
- Включает HTTPS и HSTS; проверяет на SSL Labs.
- Настраивает CSP (хотя бы Report-Only) — см. MDN: Content Security Policy.
- Ставит Secure/HttpOnly/SameSite — см. MDN: Cookies.
- Запрещает встраивание:
frame-ancestors— см. MDN: X-Frame-Options / frame-ancestors.
2) Доступность/аптайм (сайт «жив» или «лежит»)
Что проверяют: сайт стабильно отвечает, быстро восстанавливается.
Почему важно: запись к врачу/школе и оплата не должны зависеть от удачи.
Проверить:
- Подключить аптайм-мониторинг (например, UptimeRobot).
- Следить за статусом инцидентов.
3) Производительность (скорость)
Что проверяют: скорость отрисовки, «вес» картинок и скриптов, подлагивания интерфейса.
Проверить и улучшить:
- PageSpeed Insights / Lighthouse.
- Сжать изображения/шрифты, откладывать тяжёлые скрипты, использовать CDN.
Полезно: web.dev — Performance.
4) Доступность интерфейса (для разных пользователей и устройств)
Что проверяют: контраст, читаемость, alt-тексты, навигацию с клавиатуры, корректные подписи для скринридеров.
Инструменты:
- WAVE / axe DevTools.
- Руководство: WCAG и MDN: Accessibility.
5) Приватность и трекинг
Что проверяют: какие пиксели/счётчики стоят, есть ли запись сессий, куда уходят данные.
Почему важно: вы контролируете, кто и что собирает о посетителях.
Что делать владельцу:
- Оставить только нужную аналитику (Plausible/Fathom/Umami).
- Для куки — честное согласие (GDPR). База: gdpr.eu.
- Проверять сетевые запросы в DevTools — сторонние домены видны сразу.
6) DNS и почтовые настройки
Что проверяют: корректность DNS, наличие DNSSEC, записи почты (SPF/DKIM/DMARC).
Инструменты:
- DNSSEC: Verisign DNSSEC Analyzer.
- Почта: MXToolbox (SPF/DKIM/DMARC).
7) Валидность разметки и битые ссылки
Что проверяют: ошибки HTML/CSS, «битые» ссылки, неверные коды ответов.
Инструменты:
- HTML: W3C Validator.
- Ссылки: любой линк-чекер, например
broken-link-checkerв CI.
8) Структурированные данные (rich results)
Что проверяют: корректная разметка schema.org для статей, событий, товаров и т.д.
Проверить:
Короткий итог (можно распечатать)
- Безопасность: HTTPS/HSTS/CSP/cookie/встраивание — защита аккаунтов и данных.
- Аптайм и скорость: экономия времени и нервов.
- Доступность: сайт понятен всем, без исключений.
- Приватность: меньше лишнего слежения.
- DNS/почта, валидность, structured data: надежность и предсказуемость работы.
Мини-чек-лист на вечер
- A+ на SSL Labs, включён HSTS
- CSP (хотя бы Report-Only) и безопасные cookie
- 1 аптайм-монитор + алерты
- PageSpeed отчёт и сжатые ассеты
- Базовая проверка WCAG (контраст, alt, клавиатура)
- Лишние трекеры удалены; согласие корректное
- SPF/DKIM/DMARC и DNSSEC (если доступно)
- Валидатор HTML и тест на rich results