AzimutLine — интернет-магазин EVA-ковриков для лодок

Задача

Клиент 6 лет производит EVA-коврики для ПВХ-лодок и продаёт их на маркетплейсах. Главная боль — высокие комиссии и невозможность работать с покупателем напрямую: маркетплейс не отдаёт контакты, нельзя сделать клуб клиентов, нельзя оперативно собрать индивидуальный заказ под нестандартную лодку. Задача — собственный магазин, который полностью заменит площадки и при этом будет соответствовать требованиям онлайн-приёма платежей.

Решение

Стек: WordPress + WooCommerce как ядро магазина, всё остальное — с нуля. Тема собрана под бренд, кастомизатор позволяет владельцу самому менять контент главной, баннеры, блоки. Бизнес-логика вынесена в собственные плагины.

Что сделано:

• Каталог + конфигуратор подбора по модели лодки. Покупатель выбирает марку и модель ПВХ-лодки → видит коврик, точно подогнанный под её геометрию. ~150 моделей в каталоге.
• Оплата ЮKassa — карты, СБП, автоматическая выдача чеков по 54-ФЗ через агентскую схему. Webhooks подписаны и проверяются. Данные карт не сохраняются на сервере (PCI-DSS).
• Доставка СДЭК — интеграция с API. На странице доставки выбор города идёт через /v2/location/suggest/cities (с дебаунсом и санитизацией ввода), расчёт тарифа склад–склад автоматически.
• AES-шифрование API-токенов СДЭК в БД — токены не лежат в открытом виде, дамп БД не даёт доступа к интеграциям.
• Защита от спама — Contact Form 7 с whitelist допустимых полей: попытка отправить лишние поля (стандартная техника спам-ботов) блокируется на сервере.

Админ-панель под менеджера, а не под программиста

Отдельная история — что видит владелец магазина, заходя в админку. Стандартный интерфейс WordPress + WooCommerce был обчищен и переработан: оставлены только нужные пункты меню, добавлены кастомные разделы под бизнес-процесс — например, «Заявки на ковёр» для нестандартных заказов, идущих в обход обычной корзины. На карточке заказа сразу видно платёжные данные ЮKassa (включая UUID транзакции), статус накладной СДЭК, источник трафика (Yandex / VK / прямой) и тип устройства покупателя — менеджер не лазит за этим в Метрику.

• Безопасность по принципу «глубокой обороны» — 11 независимых слоёв: фильтры хостинга, Wordfence WAF, скрытый URL входа в админку, защита от брутфорса в два слоя, уникальный логин админа, отключённый XML-RPC, 2FA. Каждый слой ловит то, что прошло предыдущий — нет единой точки отказа.
• Миграция с азимутлайн.рф на azimut-line.ru — 301-редиректы со старого домена с проверкой Host-заголовка, жёсткая привязка WP_HOME / WP_SITEURL к новому домену в wp-config.php, повторный аудит безопасности после миграции.

SEO

Полная техническая настройка под Яндекс и Google — без затрат на платные плагины:

• Rank Math SEO (бесплатная версия, по функционалу превосходит платный Yoast Premium): шаблоны Title для главной / товара / категории / страницы / статьи, OnlineStore-разметка, локальные данные организации (адрес, телефон, часы работы) для региональной выдачи.
• Schema.org JSON-LD: Organization, OnlineStore, WebSite, WebPage, Article, ImageObject, Place. Open Graph + Twitter Cards для красивых превью при шаринге.
• Sitemap из 5 разделов: статические страницы, статьи, рубрики блога, товары, категории товаров. Адрес sitemap прописан в robots.txt, отправлен в Яндекс.Вебмастер и Google Search Console.
• Robots.txt: закрыты /wp-admin/, технические файлы WooCommerce, параметры корзины (?add-to-cart=); открыт admin-ajax.php для скриптов.
• Аккуратная индексация: открыты главная, товары, категории товаров, страницы, статьи, рубрики блога. Закрыты дубли — метки, архивы по датам/авторам, поиск, корзина / чекаут / личный кабинет.
• Хлебные крошки с микроразметкой и автоматическая подстановка alt-атрибутов на изображения.
• Перенос SEO-сигналов при миграции: в Яндекс.Вебмастере оформлен «Переезд сайта», в Google Search Console — Change of Address (передача сигналов ~180 дней). 301-редиректы со всех вариантов старого домена (включая www.).
• Аналитика: Яндекс.Метрика № 109046325 с включёнными модулями Вебвизор, Карта кликов, Электронная коммерция (отслеживание покупок WooCommerce), отслеживание внешних ссылок и точный показатель отказов.

Результат

Магазин запущен на собственном домене с реальным приёмом платежей. После миграции и повторного аудита закрыты все обнаруженные уязвимости (8 пунктов) — от пробросов в формах до устаревших Customizer-настроек.

Главная бизнес-победа: клиент перестал платить маркетплейсам комиссию с каждого заказа и получил прямой канал связи с покупателями. Возможность принимать заказы под нестандартные лодки без посредников окупает стоимость сайта за месяцы.

Стек технологий

• CMS: WordPress 6.9 + WooCommerce 10.7
• Backend: PHP 8.2, MySQL, кастомные плагины (must-use), AES-шифрование чувствительных данных
• Платежи: ЮKassa (карты, СБП, чеки 54-ФЗ через агента)
• Доставка: СДЭК API (расчёт тарифов, suggest-города, треккинг)
• Безопасность: Wordfence + Limit Login Attempts + WPS Hide Login + 2FA, отключён XML-RPC на уровне Nginx и WP, форсированный HTTPS на checkout
• Хостинг: reg.ru (shared, ежедневные бэкапы), Let’s Encrypt SSL с автообновлением
• Аналитика: Яндекс.Метрика с целями на оформление заказа и завершение оплаты