Registration Email Blocker

406-ФЗ и регистрация на сайте – Registration Email Blocker

Posted on by altadmin

Практическое руководство для владельцев сайтов на WordPress и WooCommerce

В июле 2023 года был принят Федеральный закон № 406-ФЗ, который изменил правила авторизации пользователей на российских сайтах. Закон вступил в силу с 1 декабря 2023 года, но большинство владельцев сайтов на WordPress до сих пор используют стандартную email-регистрацию без каких-либо ограничений по доменам. Регистрация через Gmail, Yahoo или Outlook продолжает работать, но регуляторная среда вокруг этого меняется быстро — и в декабре 2025 года Госдума уже приняла в первом чтении законопроект о конкретных штрафах за нарушения.

В этой статье мы разберём, что именно требует 406-ФЗ, какие риски создаёт использование иностранных почтовых сервисов при регистрации, и какие практические шаги можно предпринять прямо сейчас — в том числе с помощью плагина Registration Email Blocker. 

Что требует Федеральный закон 406-ФЗ от владельцев сайтов

Кого затрагивает закон

406-ФЗ распространяется на всех владельцев сайтов, информационных систем и программ, которые являются российскими юридическими лицами или гражданами РФ, осуществляющими деятельность в интернете на территории России. Требования касаются любого ресурса, где есть авторизация пользователей — от интернет-магазинов до корпоративных порталов и форумов. Если ваш сайт на WordPress предусматривает регистрацию пользователей — это касается вас.

Отдельно стоит упомянуть WooCommerce-магазины: в них регистрация происходит не только на странице регистрации, но и при оформлении заказа. Покупатель указывает email при чекауте, и система автоматически создаёт аккаунт — то есть точка входа иностранных email-доменов не одна.

Допустимые способы авторизации по закону

Закон устанавливает четыре допустимых способа авторизации пользователей, находящихся на территории РФ:

  1. Абонентский номер российского оператора связи (телефон).
  2. ЕСИА — Единая система идентификации и аутентификации (Госуслуги).
  3. Единая биометрическая система.
  4. Иная информационная система, владелец которой — гражданин РФ или российское юридическое лицо.

Именно четвёртый пункт оставляет пространство для толкования. Яндекс и Mail.ru — это российские системы, которые можно рассматривать как «иные информационные системы». Gmail, Yahoo, Outlook — нет. Их владельцы — иностранные компании, и использование их почты для авторизации противоречит духу закона.

Где в этом всём email-регистрация

Важный нюанс: 406-ФЗ напрямую не запрещает email-регистрацию как таковую. Закон говорит о способах авторизации, а не о конкретных почтовых доменах. Однако использование иностранных почтовых сервисов при регистрации противоречит общей направленности закона на переход к российским системам авторизации. Это та «серая зона», которая может стать проблемой при проверке. 

Ответственность: что грозит за несоблюдение

Штрафы за нарушение правил авторизации — законопроект уже в Госдуме

До конца 2025 года прямой административной ответственности за нарушение требований 406-ФЗ об авторизации не существовало. Но 18 декабря 2025 года Госдума приняла в первом чтении законопроект, который вводит конкретные штрафы за неисполнение обязанности по проведению авторизации пользователей в соответствии с законодательством.

Законопроект внесён группой депутатов во главе с первым заместителем председателя комитета Госдумы по информполитике Антоном Горелкиным — тем самым, который ранее заявлял, что сначала оценят правоприменительную практику. Очевидно, оценили.

Предложенные размеры штрафов за авторизацию через зарубежные сервисы, включая иностранную электронную почту:

  • Первое нарушение: от 10 до 20 тыс. руб. для граждан, от 30 до 50 тыс. руб. для должностных лиц, от 500 до 700 тыс. руб. для юридических лиц.
  • Повторное нарушение: от 20 до 40 тыс. руб. для граждан, от 60 до 100 тыс. руб. для должностных лиц, от 1 до 1,4 млн руб. для юридических лиц.

Законопроект прошёл первое чтение. Окончательное принятие — вопрос времени, но направление однозначно: регулятор переходит от предупреждений к санкциям. 

Смежные риски — реальные штрафы уже сейчас

Даже до принятия нового закона использование иностранных почтовых сервисов при регистрации создаёт риски по смежному законодательству о персональных данных (152-ФЗ), где штрафы уже действуют:

  • Нарушение правил обработки персональных данных (ст. 13.11 КоАП): с 30 мая 2025 года штрафы для организаций выросли до 150–300 тыс. руб. за первое нарушение. За повторную утечку персональных данных — оборотные штрафы от 1 до 3% годовой выручки.
  • Нарушение правил трансграничной передачи данных: с 1 июля 2025 года штрафы от 1 до 6 млн руб. за первое нарушение, от 6 до 18 млн руб. — за повторное. Когда пользователь регистрируется через Gmail, вы фактически передаёте персональные данные через инфраструктуру иностранного сервиса.
  • Отсутствие уведомления Роскомнадзора о начале обработки персональных данных: штраф 100–300 тыс. руб.

Регуляторная среда ужесточается каждый год. Роскомнадзор уже активно рассылает предписания владельцам сайтов за использование иностранных сервисов (например, Google Analytics). Ожидать, что вопрос авторизации останется без внимания — нереалистично. 

Какие практические шаги предпринять владельцу сайта

Полное соответствие 406-ФЗ требует комплексного подхода. Не существует одного инструмента, который решит всё за вас. Но есть конкретные шаги, которые можно сделать прямо сейчас:

  1. Ограничить email-домены при регистрации — заблокировать иностранные почтовые сервисы или разрешить только российские. Это самый быстрый шаг.
  2. Провести аудит существующих пользователей — выявить всех, кто зарегистрирован с иностранными email-адресами, и уведомить их о необходимости смены почты.
  3. Добавить авторизацию по телефону — это основное требование закона. Для WordPress существуют плагины SMS-верификации.
  4. Проконсультироваться с юристом — для оценки полного перечня требований к вашему конкретному сайту.

Первые два пункта можно реализовать прямо сейчас с помощью плагина Registration Email Blocker. 

Registration Email Blocker: как работает плагин

Два режима работы

Плагин предлагает два режима контроля email-доменов, и выбор зависит от вашей ситуации.

Чёрный список (blacklist) — блокирует конкретные домены. Подходит, если вы хотите закрыть самые очевидные иностранные сервисы (gmail.com, yahoo.com, outlook.com и т.д.), но оставить остальные. Менее строгий вариант, но может пропустить менее известные иностранные почтовые сервисы.

Белый список (whitelist) — разрешает регистрацию только с указанных доменов. Более строгий и надёжный подход: вы указываете разрешённые российские домены (mail.ru, yandex.ru, rambler.ru и др.), и всё остальное автоматически блокируется. Рекомендуем именно этот режим для максимального соответствия.

Кроме того, плагин поддерживает два уровня строгости: жёсткая блокировка (пользователь не сможет завершить регистрацию) или предупреждение (пользователь увидит рекомендацию сменить почту, но сможет продолжить). Для постепенного перехода можно начать с предупреждений и позже переключиться на жёсткую блокировку.

Администраторы по умолчанию исключены из проверок. Это важно: без этой настройки можно случайно заблокировать себе доступ к собственному сайту. 

Аудит существующих пользователей — ключевая функция

Блокировка новых регистраций — это полдела. Главная проблема для большинства действующих сайтов — уже зарегистрированные пользователи с иностранными email-адресами. На сайте, работающем несколько лет, таких пользователей могут быть сотни или тысячи. Искать их вручную через базу данных — долго и ненадёжно.

Registration Email Blocker решает это автоматически. Вкладка «Проблемные пользователи» показывает полный список зарегистрированных пользователей с email-адресами, не соответствующими вашим настройкам доменов. Плагин анализирует всю базу пользователей WordPress и группирует результаты по доменам — вы сразу видите, сколько пользователей зарегистрировано через Gmail, сколько через Yahoo и так далее.

Что можно сделать с этим списком:

  • Массовая рассылка уведомлений. Плагин позволяет отправить всем «проблемным» пользователям email с просьбой сменить адрес на почту российского сервиса. Текст письма полностью настраивается, доступны переменные для подстановки: {site_name}, {user_name}, {user_email}, {allowed_domains}, {profile_url}. Пользователь получает письмо со ссылкой на свой профиль, где может обновить email.
  • Экспорт в CSV. Для отчётности или передачи юристу — полный список пользователей с несоответствующими email в формате CSV.
  • Статистика по доменам. Плагин показывает, какие email-домены используют ваши пользователи и в каком количестве. Это даёт понимание масштаба проблемы до начала каких-либо действий.

Рекомендация: не блокируйте доступ существующим пользователям сразу. Дайте им время на переход — отправьте уведомления, установите разумный срок (например, 30–60 дней), и только после этого при необходимости принимайте более строгие меры. 

Журнал событий

Все попытки регистрации с заблокированными доменами фиксируются в журнале: email-адрес, IP-адрес, дата и время. Это полезно не только для мониторинга, но и для демонстрации того, что вы предпринимаете меры по соответствию — в случае проверки наличие аудит-лога работает в вашу пользу. 

Пошаговая настройка плагина

Установка

Автоматическая: в панели WordPress перейдите в «Плагины» → «Добавить новый», найдите «Registration Email Blocker», нажмите «Установить» и «Активировать».

Ручная: загрузите папку плагина в /wp-content/plugins/, затем активируйте через меню «Плагины». 

Настройка за 5 минут

  1. Перейдите в «Registration Email Blocker» → «Настройки».
  2. Выберите режим работы. Для максимального соответствия рекомендуем белый список с российскими доменами.
  3. Настройте список доменов. Плагин уже содержит предустановленные списки популярных иностранных сервисов (для чёрного списка) и российских сервисов (для белого списка): mail.ru, yandex.ru, rambler.ru, bk.ru, list.ru, inbox.ru и другие. Вы можете дополнить их корпоративными доменами ваших клиентов или партнёров.
  4. Настройте текст уведомления для пользователей — используйте переменные {site_name}, {user_name} и {profile_url}, чтобы письмо выглядело персонализированным.
  5. Сохраните настройки.

Важно: WordPress по умолчанию отправляет письма через PHP mail(), которые часто попадают в спам. Для надёжной доставки уведомлений установите SMTP-плагин (WP Mail SMTP или Easy WP SMTP). Registration Email Blocker фиксирует все попытки отправки в журнале, так что вы сможете отследить доставку. 

После настройки

Перейдите на вкладку «Проблемные пользователи» — плагин уже проанализировал вашу базу и покажет список пользователей, чьи email-адреса не соответствуют новым настройкам. Оцените масштаб, при необходимости скорректируйте списки доменов, и когда будете готовы — отправьте уведомления. 

Интеграция с WooCommerce

Для интернет-магазинов на WooCommerce плагин особенно важен, потому что контролирует email-домены в двух точках: при стандартной регистрации пользователя и при оформлении заказа (checkout). Без этого контроля каждый новый покупатель с Gmail-адресом автоматически создаёт запись в базе данных с иностранным email.

Интеграция работает из коробки — дополнительная настройка не требуется. После активации плагина проверка доменов будет применяться ко всем формам WooCommerce, где пользователь вводит email. 

Чего плагин не делает — и почему это важно понимать

Мы сознательно акцентируем этот раздел, потому что не хотим создавать ложных ожиданий.

Registration Email Blocker — это инструмент контроля email-доменов при регистрации и аудита существующих пользователей. Он закрывает один конкретный аспект соответствия 406-ФЗ: предотвращает использование иностранных почтовых сервисов.

Плагин не заменяет полноценные механизмы авторизации, требуемые законом. Он не реализует авторизацию по номеру телефона, не интегрируется с ЕСИА (Госуслуги), не обеспечивает биометрическую идентификацию. Это отдельные задачи, которые требуют отдельных технических решений.

Думайте о плагине как об одном из нескольких шагов в процессе приведения сайта в соответствие. Он закрывает конкретную брешь — и делает это хорошо. Но ответственность за полное соответствие законодательству остаётся на владельце сайта. 

Итог

Закон 406-ФЗ действует с декабря 2023 года. Штрафы за его нарушение уже прошли первое чтение в Госдуме — до 700 тыс. руб. для юрлиц за первое нарушение, до 1,4 млн руб. за повторное. Смежные штрафы по 152-ФЗ за нарушения в области персональных данных достигают миллионов рублей и уже применяются.

Ограничение email-доменов при регистрации и аудит существующих пользователей — один из конкретных шагов, который можно сделать прямо сейчас. Плагин Registration Email Blocker решает обе задачи: блокирует новые регистрации с иностранных доменов и помогает перевести существующих пользователей на российскую почту.

Это не заменяет консультацию с юристом и не снимает необходимости внедрения полноценной авторизации по телефону. Но это шаг, который занимает 5 минут — и закрывает одну конкретную зону риска.

Скачать плагин: Registration Email Blocker в каталоге WordPress

По вопросам и предложениям: main@mail-altcreative.ru