У вас WordPress? Один Gmail в форме регистрации может стоить до 700 000 ₽
Пока все обсуждают крупные маркетплейсы и вход через Google, под раздачу внезапно могут попасть обычные владельцы сайтов на WordPress.
Да, те самые сайты на стандартной теме, WooCommerce, комментариях, личных кабинетах и плагинах регистрации.
Проблема в том, что у WordPress по умолчанию нет нормального фильтра, который бы отличал российскую почту от иностранной. А регистрация через gmail.com, icloud.com, outlook.com, yahoo.com и другие зарубежные сервисы для российских интернет-ресурсов теперь становится не просто технической мелочью, а потенциальным юридическим риском.
И самое неприятное: владелец сайта может даже не понимать, что у него эта регистрация вообще включена.
Что произошло
В России уже действует требование, по которому авторизация пользователей на российских сайтах должна проходить через разрешённые способы: российский номер телефона, Госуслуги, Единую биометрическую систему, российские сервисы авторизации или российскую электронную почту.
Отдельно подчёркивалось, что запрет касается сайтов, где есть регистрация и аутентификация пользователя: личные кабинеты, маркетплейсы, сервисы, приложения и другие ресурсы с пользовательскими аккаунтами.
Теперь к этому добавились штрафы.
Для юрлиц сумма может составить от 500 000 до 700 000 ₽. Для должностных лиц - от 30 000 до 50 000 ₽. Для граждан - от 10 000 до 20 000 ₽. При повторном нарушении штрафы выше.
И вот тут владельцам WordPress-сайтов стоит напрячься.
Почему именно WordPress
WordPress исторически создавался как гибкая CMS. В нём очень легко включить регистрацию пользователей, добавить личный кабинет, интернет-магазин, форум, закрытый раздел или форму входа.
Но в стандартной логике WordPress email - это просто email.
Система не думает:
- российская это почта или иностранная;
- можно ли через неё регистрировать пользователя;
- разрешён ли этот домен;
- не нарушает ли сайт требования к авторизации.
Пользователь ввёл user@gmail.com - WordPress принял.
Плагин WooCommerce создал аккаунт покупателя - всё работает.
Плагин комментариев разрешил регистрацию - всё работает.
Форма подписки или membership-плагин завёл пользователя - тоже всё работает.
С технической точки зрения всё хорошо. С юридической - уже не факт.
Где может быть опасность
Риск появляется не на каждом сайте.
Если у вас обычный информационный сайт: статьи, страницы, контакты, без регистрации и личных кабинетов - скорее всего, именно эта проблема вас почти не касается.
Но если на сайте есть хоть что-то из этого списка, лучше проверить настройки:
- регистрация пользователей WordPress;
- WooCommerce и аккаунты покупателей;
- личный кабинет;
- закрытые материалы;
- подписки;
- онлайн-курсы;
- форум;
- комментарии только для зарегистрированных;
- вход через Google, Apple ID, Facebook, GitHub и другие иностранные сервисы;
- плагины social login;
- восстановление доступа через иностранную почту.
Особенно опасная история - старые сайты, которые когда-то делались "на всякий случай". Владелец мог забыть, что регистрация включена. А боты и пользователи при этом спокойно создают аккаунты.
Самая неприятная ловушка
Многие думают: “Ну я просто запрещу Gmail, и всё”.
Не всё.
Во-первых, иностранных почтовых доменов огромное количество. Gmail — только самый очевидный пример.
Во-вторых, российская компания может использовать домен не в зоне .ru. Например, корпоративная почта может быть на .com, .net, .org, .io.
В-третьих, проверка только по доменной зоне не решает задачу. Домен .ru ещё не всегда означает, что это почтовый сервис, который подходит под требования. А домен не .ru не всегда автоматически означает иностранный сервис.
То есть простая логика "запретить всё, кроме .ru" будет грубой, неудобной и может отрезать нормальных пользователей.
А логика “запретить только gmail.com” будет слишком слабой.
Что владельцу сайта сделать прямо сейчас
Первое - зайти в админку WordPress.
Открыть:
Настройки → Общие
И проверить галку:
Любой может зарегистрироваться
Если регистрация на сайте не нужна — выключить её сразу.
Второе — проверить плагины, которые могут создавать пользователей:
- WooCommerce;
- Ultimate Member;
- BuddyPress;
- bbPress;
- MemberPress;
- WP User Manager;
- LearnDash;
- Tutor LMS;
- плагины подписок;
- плагины social login;
- любые формы регистрации и личного кабинета.
Третье — проверить, нет ли кнопок:
- "Войти через Google";
- "Войти через Apple";
- "Войти через Facebook";
- "Войти через GitHub";
- "Войти через Discord".
Если сайт ориентирован на российских пользователей и принадлежит российскому владельцу, такие способы входа теперь лучше не оставлять без юридической оценки.
Почему это проблема именно малого бизнеса
Крупные сервисы, скорее всего, уже давно держат юристов, разработчиков и отдельные команды безопасности.
А вот у малого бизнеса всё иначе.
Сайт на WordPress мог делать фрилансер три года назад. Потом поставили WooCommerce. Потом добавили личный кабинет. Потом подключили плагин входа через Google, потому что "так удобнее пользователям".
И всё.
Сайт работает, заказы идут, владелец ничего не трогает.
Но технически на сайте может быть возможность регистрации через иностранный email или иностранную систему авторизации. А ответственность может прилететь уже не разработчику, который когда-то поставил плагин, а владельцу ресурса.
Что с этим делать нормально
На мой взгляд, для WordPress нужен отдельный защитный слой.
Не просто “запретить Gmail”.
А нормальный плагин, который:
- проверяет email при регистрации;
- блокирует явно иностранные почтовые домены;
- ведёт белый список разрешённых доменов;
- позволяет добавлять корпоративные исключения;
- показывает пользователю понятное сообщение;
- пишет событие в журнал;
- работает с WooCommerce;
- работает со стандартной регистрацией WordPress;
- по возможности перехватывает регистрацию популярных membership-плагинов;
- не ломает сайт;
- даёт владельцу простую админку: включил, настроил, забыл.
Потому что вручную править код темы — плохая идея.
Сегодня тема одна, завтра обновление, послезавтра другой плагин регистрации. А ответственность остаётся.
Важный момент
Это не юридическая консультация. Законодательство нужно оценивать по конкретному сайту, владельцу, аудитории, способу регистрации и фактической модели работы ресурса.
Но как технический риск для владельцев WordPress-сайтов проблема абсолютно реальная.
Особенно если сайт:
- российский;
- принимает пользователей из РФ;
- имеет регистрацию;
- создаёт личные кабинеты;
- использует WooCommerce;
- принимает email как идентификатор пользователя;
- разрешает вход через зарубежные сервисы.
Что будет дальше
Я решил разобрать эту проблему практически.
В следующей статье покажу концепцию WordPress-плагина, который закрывает самый очевидный риск: регистрацию через иностранные email-сервисы.
Разберём, как он должен работать, какие домены блокировать, почему нельзя ограничиваться только .ru, как сделать белый список, что делать с корпоративной почтой и как не сломать WooCommerce.
Потому что проблема неприятная, но технически решаемая.
И лучше потратить вечер на нормальную защиту регистрации, чем потом объяснять, почему обычный сайт на WordPress внезапно стал источником штрафного риска.
Чтобы эта статья не осталась просто страшилкой про штрафы, мы с CODEX уже делаем практическое решение — бесплатный плагин для WordPress, который поможет закрыть самый очевидный риск с регистрацией через иностранные email. Плагин будет в свободном доступе, а вместе с ним я опубликую полное ТЗ на разработку: его можно будет взять, переделать под себя, расширить под WooCommerce, личные кабинеты, формы регистрации и конкретные требования своего проекта. За ходом разработки, первыми версиями и разбором нюансов можно следить на моём сайте https://autotools.ru/ru/ и в Telegram-канале .
ЗЫ: Мне тут правильно накидали в комментариях. Сам почтовый адрес не обязательно является нарушением. Вопрос как он к вам в базу сайта попал. Если через авторизацию с иностранного сервиса - проблема. Если просто введен в форму регистрации как контактный - допустимо. Эти сценарии будут учтены в плагине. Уже работаем с CODEX по отработке сценариев и тестированию.