Содержание
Сайт на Тильде (Tilda Publishing) нельзя назвать небезопасным в общем смысле — это популярный конструктор с базовыми мерами защиты (SSL, защита от XSS и SQL-инъекций на уровне платформы). Однако у него есть уязвимости, связанные с архитектурой «чёрного ящика»: вы не можете контролировать сервер, устанавливать плагины безопасности или мониторить логи. Основные риски: компрометация вашей учётной записи (слабый пароль, фишинг), утечка данных из-за ошибок в правах доступа к страницам, возможность XSS-атак через вставку своего кода в Zero Block или HTML-блок, а также зависимость от безопасности самой платформы (если взломают Тильду — пострадают все сайты). В отличие от CMS (Joomla, WordPress), где вы можете закрыть уязвимость патчем, в Тильде вы полагаетесь на команду разработчиков.
Мифы о небезопасности Тильды (и что в них правда)
Рассмотрим популярные утверждения о небезопасности Тильды и разберём, где они обоснованы.
1. «Тильда не защищает от XSS-атак»
Правда частично. Тильда автоматически экранирует ввод в стандартных блоках (текст, кнопки). Однако если вы используете блок «HTML-код» или Zero Block (где можно вставить произвольный JavaScript), злоумышленник, получивший доступ к аккаунту, может внедрить вредоносный скрипт (например, кража кук). Кроме того, есть риск, что через уязвимость самой платформы (редко, но было) злоумышленник может внедрить код через форму обратной связи или комментарии. Но для этого нужно сначала взломать учётную запись администратора.
2. «Тильда не защищает от SQL-инъекций»
Неправда. Тильда — это закрытая платформа, её базы данных недоступны напрямую. Вы не можете написать произвольный SQL-запрос даже через API. SQL-инъекции возможны только в случае уязвимости в самой платформе, но за 10 лет существования Тильды публичных SQL-инъекций не было. Это не проблема пользователя.
3. «Тильда не имеет двухфакторной аутентификации (2FA)»
Правда. Долгое время 2FA в Тильде отсутствовала. По состоянию на 2026 год двухфакторная аутентификация всё ещё не реализована (только вход по логину/паролю и через соцсети). Это делает аккаунт уязвимым для подбора пароля (bruteforce) и фишинга. В отличие от Joomla, где вы можете включить 2FA через плагин (Google Authenticator), Тильда отстаёт.
| Тип угрозы | Уровень риска в Тильде | Уровень риска в CMS (Joomla) | |||
|---|---|---|---|---|---|
| XSS (через HTML-блок) | Средний (при наличии доступа к аккаунту) | Средний (при плохих плагинах) | |||
| SQL-инъекции | Низкий (платформа закрыта) | Средний (зависит от кода расширений) | Двухфакторная аутентификация | Нет (высокий риск взлома учётки) | Есть (ниже риск) |
Главная уязвимость Тильды — сам пользователь и права доступа
Самый частый сценарий взлома сайта на Тильде: злоумышленник подбирает пароль к учётной записи администратора (слабый пароль или логин admin@...). Либо получает доступ через фишинговое письмо. Затем он может:
- Изменить текст на сайте (оставить сообщение хакера).
- Подменить формы обратной связи и перенаправить заявки на свой email.
- Вставить вредоносный JavaScript в Zero Block или HTML-блок (воровство кук, редирект на фишинговый сайт).
- Удалить сайт (в Тильде есть функция удаления проекта без подтверждения).
Что вы можете сделать:
- Использовать сложный пароль (генератор паролей).
- Никому не передавать логин/пароль (давать доступ через «Поделиться проектом» с правами только на просмотр, а не на редактирование).
- Не подключать недоверенных соавторов.
- Не использовать один и тот же пароль для разных сервисов.
- Удалять учётные записи уволенных сотрудников.
Тильда не имеет встроенной системы логирования действий пользователя, поэтому вы не узнаете, кто и когда вносил изменения.
Защита данных клиентов (PCI DSS и GDPR)
Если вы собираете на Тильде платёжные данные (номера карт) — это грубое нарушение PCI DSS. Тильда не сертифицирована для хранения платёжных данных. Вы обязаны использовать платёжные агрегаторы (ЮKassa, Stripe, Tinkoff Pay), которые передают данные напрямую, минуя Тильду. Сам же сайт на Тильде подходит для сбора персональных данных (имя, телефон, email). Однако подпадает под требования GDPR (для европейских пользователей) и 152-ФЗ (Россия). Тильда предоставляет возможность добавить на сайт согласие на обработку данных, но не контролирует, как вы обрабатываете данные.
Рекомендация: если вы собираете чувствительные данные (паспортные данные, номера карт), Тильда не подходит. Используйте CMS с установкой на собственном сервере (например, Joomla) и сертификацию PCI DSS.
DDoS-атаки и доступность сайта
Тильда использует общую инфраструктуру. Если хакеры атакуют один из серверов Тильды, ваш сайт может стать недоступным, даже если лично к вам нет претензий. Вы не можете настроить собственный CDN или установить защиту от DDoS (Cloudflare) на уровне DNS, потому что не владеете сервером. Тильда имеет базовую защиту, но она не сравнима с возможностями выделенного сервера. Для критически важных проектов (онлайн-банкинг, госуслуги) это неприемлемо.
Инциденты безопасности в прошлом (что известно)
Публично известных массовых взломов Тильды не было. Однако сообщалось о единичных случаях компрометации аккаунтов через фишинг. В 2023 году был случай, когда злоумышленники заменили формы сбора заявок на фейковые в нескольких проектах, используя украденные пароли. Тильда рекомендовала включить оповещения о входе по email (есть в настройках). Также был инцидент, когда через уязвимость в Zero Block можно было вставить iframe с произвольным содержимым, но её быстро исправили.
В отличие от WordPress, где каждую неделю выходят обновления безопасности из-за тысяч уязвимых плагинов, Тильда более защищена от массовых атак, но менее прозрачна.
Как повысить безопасность сайта на Тильде (чек-лист)
Несмотря на ограничения, вы можете снизить риски.
- Включите уведомления о входе в аккаунт на email (Настройки → Уведомления).
- Не используйте блок «HTML-код» без крайней необходимости — любой скрипт может быть вредоносным.
- Регулярно проверяйте список соавторов и удаляйте тех, кто больше не работает.
- Периодически просматривайте исходный код страниц (Ctrl+U) на предмет посторонних скриптов (поищите незнакомые .js файлы).
- Используйте капчу (reCAPTCHA) на формах, чтобы защититься от ботов.
- Не храните в Тильде резервные копии с паролями (база данных не ваша, но вы можете экспортировать контент).
- При работе с подрядчиками давайте доступ только на просмотр (поделиться проектом) или на редактирование через отдельную учётную запись, которую потом удалите.
Резюме от эксперта
Сайт на Тильде не является «небезопасным» по своей природе — для 90% малого бизнеса (лендинги, портфолио, блоги, магазины до 100 товаров) риск взлома не выше, чем на Joomla или WordPress при грамотной настройке. Но главная проблема Тильды — отсутствие 2FA и контроля над сервером, что делает её уязвимой для взлома именно учётной записи администратора. Если вы используете сложный пароль и осторожно даёте доступ соавторам, вероятность инцидента невелика. Для проектов, требующих высокой безопасности (финансовые данные, медицинская тайна), Тильда не подходит — там нужен свой сервер и CMS с полным контролем.
