Web Accessibility Рунета 2026 — WCAG аудит

Enterno.io Editorial Team

Accessibility (a11y) в Рунете 2026

Автор: Anatoly Oshmanovsky · Обновлено 18 апреля 2026

Коротко:

Enterno.io прошёл автоматизированный audit WCAG 2.2 AA (axe-core) для 500 топовых российских сайтов (март 2026). Только 27% проходят без critical violations. Самые частые проблемы: missing alt на images (62%), weak color contrast (58%), missing ARIA landmarks (51%), form inputs без labels (43%). Штрафы по ФЗ-181 (accessibility for disabled) возможны для госсектора и крупного business.

Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.

Попробовать бесплатно →

Ключевые результаты

Метрика	Pass/значение	Медиана	p75
Сайтов без critical violations	27%	—	—
Missing alt на images	62%	—	—
Weak color contrast (<4.5:1)	58%	—	—
Missing ARIA landmarks	51%	—	—
Form inputs без labels	43%	—	—
Keyboard navigation broken	34%	—	—
Отсутствует lang attribute на html	11%	—	—
Skip-to-content link	8%	—	—

Разбивка по платформам

Платформа	Доля	Деталь	—
Госсайты (.gov.ru)	10%	a11y pass: 42%	—
E-commerce (retail)	22%	a11y pass: 18%	—
Banking / Fintech	8%	a11y pass: 38%	—
Media / news	15%	a11y pass: 24%	—
SaaS / tech	12%	a11y pass: 47%	—
Landing / marketing	33%	a11y pass: 22%	—

Почему это важно

ФЗ-181 с 2023 требует accessibility для государственных и муниципальных сайтов. Штраф до 200 тыс. ₽
Google ранжирует accessible сайты выше (confirmed 2023). +5-10% rankings при доступности
Business: 15% российских пользователей имеют ту или иную disability — без a11y теряете segment
Автоматический axe-core catches 30-40% WCAG issues, manual testing обязателен для rest
Quick wins: alt для images (1 час), semantic HTML (nav/main/article), ARIA labels на forms

Методология

Топ-500 российских сайтов (SimilarWeb.ru). axe-core 4.x через Puppeteer. WCAG 2.2 AA rules. Classification по типу бизнеса через meta keywords + HTML structure. Скан только publicly accessible pages (homepage + 3 top-linked).

ЗаголовкиCSP, HSTS, X-Frame-Options и др.

SSL/TLSШифрование и сертификат

КонфигурацияСерверные настройки и утечки

Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP

рекомендации

15+

заголовков безопасности

<2с

результат

A–F

оценка безопасности

Как это работает

Введите URL сайта

Анализ заголовков безопасности

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

❌

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.

❌

Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.

❌

Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.

❌

X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.

❌

Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

✓

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.

✓

Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.

✓

Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.

✓

Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.

✓

Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Гайды

Глоссарий

Исследования

Альтернативы

Альтернативы Sentry

Часто задаваемые вопросы

Как проверить свой сайт?

Chrome DevTools → Lighthouse → Accessibility report. Или <a href="/security">Enterno Security Scanner</a> включает basic a11y checks (Pro: full axe-core).

WCAG 2.2 vs 2.1 — разница?

WCAG 2.2 добавил 9 new success criteria (Oct 2023): focus appearance, dragging movements, target size, consistent help. Backwards-compatible с 2.1.

Штрафы реально применяются?

Для госсектора — да, чаще прокурор уведомляет Минцифры. Частный business — редко, но risk есть через Роспотребнадзор (consumer protection).

Quick wins для low-effort compliance?

1) alt на images. 2) Semantic HTML (nav/main/article вместо div). 3) aria-label на icon buttons. 4) Color contrast проверка через WebAIM. Эти 4 закрывают ~60% автоматических violations.