Безопасность и доступы к личному кабинету Вайлдберриз

Личный кабинет WB — это не просто «панель для карточек». Здесь сходятся деньги (выплаты и реквизиты), юридические документы (оферта, акты, ЭДО), бренд (права и контент), рекламные бюджеты и логистика. Любая ошибка с доступами превращается в прямые убытки: сменённые реквизиты — потерянные выплаты, неверные права — удалённые карточки, «общий логин» — невозможность доказать, кто сделал критичное действие. Защититься можно не «железной стеной», а здравой организацией: минимум прав, понятные роли, включённая 2FA, журналирование и дисциплина онбординга/оффбординга.

Подрядчики и сотрудники должны видеть только то, что нужно для их задачи — и не на минуту больше. Это принцип «минимально необходимого доступа». Его дополняют три простых правила: отдельные учётки (никаких «общих логинов»), подтверждение личности при входе (2FA) и регулярные ревизии прав. Плюс — соглашение о конфиденциальности и технология: чистый браузер для финансовых операций, запрет расширений, которые могут перехватывать данные.

Ниже — практичные ответы: как выдать доступы контент‑менеджеру и агентству по рекламе, что делать при утечке пароля, как наблюдать за действиями в ЛК и как грамотно выводить человека из проекта, не оставляя «хвостов».

Часто задаваемые вопросы

• Как настроить роли, чтобы подрядчик не видел финансы?
• Как ограничить доступ агенту по рекламе/контенту?
• Что делать при утечке логина/пароля?
• Как отслеживать действия пользователей в ЛК?
• Как правильно увольнять сотрудника с отзывом доступа?

Как настроить роли, чтобы подрядчик не видел финансы?

Начните не с кнопок, а с описания задач подрядчика: что именно он делает в ЛК — редактирует карточки, грузит фото/видео, отвечает на отзывы, переписывается с поддержкой, готовит поставки? Только потом назначайте роли.

Рабочая схема:

• Заводите отдельную учётку подрядчику с включённой 2FA.

• В «Пользователи и роли» выдайте доступы к «Карточки/Контент/Отзывы/Поддержка», избегая секций «Выплаты/Реквизиты/Финансы/Документы ЭДО».

• Проверьте, что у этой роли нет права менять реквизиты и видеть отчёты по выплатам.

• Ставьте срок действия доступа (дата пересмотра), чтобы не забыть ревизировать права.

Где смотреть в ЛК: ЛК → «Настройки / Пользователи и роли», ЛК → «Выплаты / Реквизиты» (проверка, что у подрядчика нет доступа), ЛК → «Документы».

Коротко и по делу: матрица ролей для подрядчиков + чек‑лист ревизии прав — в телеграм канале @Astrakov_PRO. Меньше доступа → больше контроля.

Как ограничить доступ агенту по рекламе/контенту?

Агентству нужна видимость трафика и рекламных инструментов — и минимум остального. Это достигается комбинацией ролей и регламентов.

С роли снимайте всё лишнее: финансы, реквизиты, акты. Оставляйте доступ к аналитике и рекламным инструментам, карточкам и медиа. С регламентами работайте через «двухэтапный запуск»: агент готовит кампанию и присылает на согласование, запуск/паузы/лимиты подтверждает ответственный с вашей стороны. Финансовые лимиты фиксируйте в отдельном документе и контролируйте через ежедневную выжимку.

Что добавить к роли, чтобы избежать «перелива бюджета»:

• Правило: ни одной кампании без карточки согласования (цель, ставка, лимит/дневной бюджет, KPI, срок).

• Доступ агентства к отчетности — только чтение, а к платежам — никакой.

• Отдельный «рабочий» браузер/профиль без лишних расширений — снижает риск утечек.

Где смотреть в ЛК: ЛК → «Настройки / Пользователи и роли», ЛК → «Продвижение/Реклама», ЛК → «Аналитика».

Лимиты под замком, кампания — по плану. Шаблон согласования рекламы и роли для агентства заберите в телеграм канале @Astrakov_PRO. Хотите высоких продаж на Wildberries — держите бюджет под правилами, а не под эмоциями.

Что делать при утечке логина/пароля?

Главное — действовать как при инциденте безопасности, а не «менять пароль и надеяться». Цель — остановить доступ, восстановить контроль и понять масштаб.

План реагирования:

• Немедленно смените пароль владельца и включите/перевыпустите 2FA.

• В «Пользователи и роли» отключите подозрительные учётки, закройте лишние сеансы.

• Проверьте «Выплаты / Реквизиты» и историю изменений: не менялись ли счёт/банк.

• Посмотрите активные кампании в «Реклама»: не запущены ли лишние или с завышенными ставками.

• Пройдите карточки товаров на предмет несанкционированных правок.

• Заведите тред в «Поддержка» с пометкой «безопасность», опишите действия и попросите зафиксировать контрольные точки.

Где смотреть в ЛК: ЛК → «Настройки / Пользователи и роли», ЛК → «Выплаты / Реквизиты», ЛК → «Продвижение/Реклама», ЛК → «Поддержка».

Инцидент‑план на одну страницу — в телеграм канале @Astrakov_PRO. Скачайте, распечатайте, положите рядом: утечка не станет катастрофой.

Как отслеживать действия пользователей в ЛК?

Полноценный аудиторский след у площадки ограничен, поэтому используйте смесь того, что даёт WB, и ваших регламентов.

Включите уведомления по ключевым событиям и заведите ежедневную выжимку от ответственных: что создано/изменено/запущено. Для финансов сделайте правило «двух глаз»: один готовит изменения (реквизиты, лимиты), второй подтверждает и фиксирует в журнале. Раз в неделю — короткая ревизия ролей: кому выдано лишнее, кого пора отключить.

Мини‑набор контроля:

• Журнал правок: таблица дата/кто/что изменил/ссылки на карточки, хранится у вас.

• Ежедневная проверка «Выплаты/Реквизиты» + снимок экрана с датой.

• Еженедельная ревизия «Пользователи и роли».

• Правило: новые роли выдаются только по заявке с утверждением руководителя.

Где смотреть в ЛК: ЛК → «Уведомления», ЛК → «Выплаты / Реквизиты», ЛК → «Настройки / Пользователи и роли», ЛК → «Продвижение/Реклама».

Журнал изменений + заявка на доступ — готовые шаблоны ждут в телеграм канале @Astrakov_PRO. Контроль станет рутиной. Хотите высоких продаж на Wildberries — дисциплина выигрывает каждый день.

Как правильно увольнять сотрудника с отзывом доступа?

Оффбординг — самый недооценённый этап безопасности. Ошибка — оставить уволенному «хвосты»: доступ к почте, резервные коды 2FA, авторизацию в браузере.

Идём по чек‑листу в день увольнения: отключаем учётку в ЛК и все связанные права; меняем пароли владельца/админов и регенерируем резервные коды 2FA; проверяем, что у сотрудника нет доступа к корпоративной почте/диску/чатам, через которые можно восстановить вход; закрываем открытые треды в поддержке или перевешиваем на действующего ответственного; утверждаем финальный отчёт по переданным задачам/кампаниям.

Что обязательно закрыть в первый день:

• ЛК WB: деактивация пользователя, проверка ролей.

• Почта/мессенджеры/диск: отключение и перенос владения.

• 2FA: новые резервные коды у админов, замена привязанных устройств.

• Реклама: смена ролей/доступов, перенос кампаний на текущих ответственных.

• Внутренний журнал: отметка «доступы закрыты», ссылки на подтверждения.

Где смотреть в ЛК: ЛК → «Настройки / Пользователи и роли», ЛК → «Поддержка», ЛК → «Продвижение/Реклама», ЛК → «Выплаты / Реквизиты».

Чистый оффбординг без хвостов: чек‑лист увольнения и письма‑шаблоны — в телеграм канале @Astrakov_PRO. Один файл — минус десятки рисков.

Пора прощаться…

Уважаемый читатель, понравилась моя статья? Меня зовут Астраков Дмитрий, я основатель WBStat.PRO, автор тренинга «WILDBERRIES – ПРОРЫВ». Хотите узнать, КАК ПОДНЯТЬ ПРОДАЖИ НА WILDBERRIES? Подпишитесь на мой бесплатный Telegram-канал: @Astrakov_PRO – там каждый день выходит самая крутая информация о WildBerries: