Войти
Регистрация
Войти

Почему это безопасно

ИИ-Финансист — это сервис учёта личных финансов и формирования отчётов. Мы проектируем его так, чтобы данные обрабатывались предсказуемо и безопасно: минимум лишних данных, серверная обработка, ограничение доступа и защита от типовых атак.

Перейти в личный кабинет Как это работает Важно: 100% защиты не существует, но риски можно существенно снизить
Коротко: мы не храним пароли в открытом виде, не отдаём секреты в браузер, защищаем вход и административную часть, а критичные операции выполняем только на сервере.

Базовые принципы безопасности

Эти принципы позволяют снизить риск утечек и взлома даже при росте нагрузки и аудитории.

Минимизация данных

Храним только то, что нужно для работы сервиса и ваших отчётов.

  • нет хранения «лишних» персональных полей
  • нет сохранения банковских паролей
  • сценарии «поделиться отчётом» — по токену и сроку

Серверная логика

Критичные операции выполняются на сервере, а не в браузере пользователя.

  • доступы проверяются на backend
  • обработчики ограничены правами пользователя
  • запросы защищены nonce/сессией

Ограничение доступа

Разделение ролей и закрытие страниц/маршрутов для неавторизованных.

  • закрытые разделы личного кабинета
  • защита админки и служебных страниц
  • контроль выдачи контента по подписке
Подход: безопасность — это не один «магический плагин», а совокупность ограничений, проверок доступа, обновлений и дисциплины в хранении секретов.

Какие данные мы храним, а какие — нет

Это помогает сразу снять ключевые опасения и правильно сформировать ожидания.

Мы храним

То, что вы вводите для учёта и анализа.

  • учёт: доходы/расходы, активы, обязательства, цели
  • настройки: диапазон месяцев, выбранные параметры
  • отчёты: результаты генерации (если предусмотрено функционалом)
  • транзакции: импортированные операции (если вы их загружаете)

Мы НЕ храним

Данные, которые увеличивают риск и не нужны сервису.

  • пароли от банка / брокера
  • данные банковских карт (их обрабатывает платёжный провайдер)
  • API-ключи внешних сервисов в браузере пользователя
  • доступ в ваш кабинет для «третьих лиц» без вашего участия
🔒 Пароли — только в хэшах 💳 Карты — у провайдера 🧠 ИИ-ключи — только на сервере

Доступ и авторизация

Здесь — что именно снижает риск «угнали аккаунт и увидели финансы».

Как устроен вход

Авторизация и сессии — стандартные механизмы WordPress с дополнительной защитой.

  • пароли не хранятся в открытом виде (используются хэши)
  • защищённые запросы в личном кабинете (nonce/сессия)
  • разграничение доступа на уровне страниц и API

Контроль действий

Для изменения данных важны серверные проверки.

  • API-эндпоинты требуют авторизацию пользователя
  • операции выполняются в рамках вашего user_id
  • попытки «подменить» пользователя блокируются проверками
Важно: даже если кто-то увидит страницу, доступ к вашим данным через API без вашей авторизации невозможен. Поэтому мы уделяем особое внимание защите входа и сессий.

Защита сайта от типовых атак

Мы используем несколько независимых слоёв защиты — это повышает устойчивость даже при росте атак.

Защита от брутфорса

Снижает риск подбора паролей.

  • лимит попыток входа
  • временные блокировки IP при подозрении
  • фильтрация по логам/правилам

Защита админ-доступа

Админка — цель №1 для атак.

  • ограничение доступа к админ-панели
  • усиление правил для админ-аккаунтов
  • мониторинг подозрительных логинов

Обновления и контроль

Большинство взломов — через устаревшие компоненты.

  • регулярные обновления WP/плагинов
  • минимизация лишних плагинов
  • резервные копии базы данных
Практика: мы закрываем типовые «точки входа» атак: подбор пароля, попытки доступа к админке, и эксплуатацию уязвимостей устаревших модулей.

Как мы храним API-ключи и секреты

Это отдельный важный пункт, потому что утечка ключа ИИ-сервиса или платёжных интеграций — одна из самых неприятных ситуаций.

Что мы НЕ делаем

То, что чаще всего приводит к утечкам.

  • не вшиваем ключи в JavaScript/страницы
  • не отдаём ключи в браузер пользователя
  • не публикуем ключи в репозитории/логах

Как правильно устроено

Секреты доступны только серверу и только там, где они нужны.

  • ключи хранятся на сервере (конфиг/ENV), не на клиенте
  • права доступа ограничены (минимально необходимый доступ)
  • при необходимости возможна ротация ключей
  • запрос к ИИ идёт через серверный эндпоинт, а не напрямую из браузера
Идея: пользователь взаимодействует только с интерфейсом и результатом, а секреты живут «за кулисами» — на сервере.

Что важно сделать пользователю

Часть безопасности — это ваши настройки. Самая частая причина взлома кабинетов — слабые пароли и повторное использование пароля на разных сайтах.

Рекомендуем

Это реально снижает риск доступа посторонних к вашему кабинету.

  • сложный пароль (12–16+ символов, буквы/цифры/символы)
  • уникальный пароль (не повторять с другими сайтами)
  • использовать менеджер паролей
  • не вводить пароль на чужих устройствах/в публичных сетях без необходимости

Не рекомендуем

Типовые ошибки, которые приводят к угону аккаунта.

  • пароль вида qwerty / 123456 / дата рождения
  • один пароль «на все сервисы»
  • передавать логин/пароль третьим лицам
  • хранить пароль в заметках без защиты
Если упростить: самый сильный вклад пользователя в безопасность — уникальный сложный пароль. Это перекрывает большую часть сценариев взлома «массовым подбором».

FAQ

Безопасно ли вводить сюда мои финансы?
Сервис предназначен для учёта и аналитики. Мы минимизируем набор данных, защищаем доступ, и не храним то, что обычно критично (например, данные банковских карт или пароли от банков). При этом важно помнить: безопасность зависит и от вашего пароля.
Вы видите мои данные?
Доступ к данным ограничен вашим аккаунтом. Административный доступ к серверу и базе данных — это отдельная зона контроля. В процессе тестирования возможны диагностика и исправления, но цель — свести любые ручные вмешательства к нулю.
Где хранятся API-ключи ИИ и другие секреты?
На сервере, а не в браузере. Ключи не размещаются в JavaScript и не «уезжают» на клиент. Запросы к ИИ проходят через серверный слой, который не раскрывает секреты пользователям.
Что если кто-то попробует подобрать пароль?
Против подбора пароля используются ограничения попыток входа и блокировки при подозрительной активности. Но лучшая защита — сложный и уникальный пароль (особенно если у вас часто атакуемая почта).
Можно ли «взломать» отчёты или получить доступ по ссылке?
Если у вас есть функция «поделиться отчётом», она должна использовать уникальный токен (как «секретная ссылка»), при необходимости — с ограничением по времени. Не публикуйте такие ссылки в открытом доступе.
Почему вы всё равно просите помнить про риски?
Потому что корректная коммуникация — часть безопасности. Нельзя обещать «абсолютную защиту», но можно честно описать меры и правила, которые реально снижают риск.

Готовы продолжить?

Если вы тестируете сервис — начните с внесения данных и проверьте, насколько понятны разделы и подсказки.

Перейти в «Личные финансы» Подписки В начало
Примечание: если вы заметили уязвимость или странное поведение — сообщите в тестовый чат с шагами воспроизведения и скриншотом.