Продвижение порталов и интернет-магазинов - Леонид Гроховский
Шрифт:
Интервал:
Закладка:
Более редкий, но тоже распространенный случай – потеря домена из-за недобросовестности регистратора или реселлера. Такое обычно бывает с людьми, которые не знают веб-мастерской кухни. В погоне за экономией новоиспеченный владелец или создатель портала может заказать регистрацию домена в сервисе, который зарегистрирует его на свои данные либо просто исчезнет как сервис, сайт и контактное лицо. То, что многие регистраторы и хостеры прекращают свою деятельность накануне первого сентября, – шутка лишь в малой степени.
Защититься от подобных рисков сравнительно несложно – доверяйте домены только проверенным регистраторам с хорошей репутацией. Если вы не знаете всей кухни, проконсультируйтесь с опытным оптимизатором, он наверняка имеет немалый опыт.
Более сложная группа рисков – риски, связанные с судебным и несудебным прекращением администрирования. Это чрезвычайно обширная и при этом очень сложная тема: законодательство и правоприменительная практика в отношении Интернета пока проработаны плохо, и некоторые судебные решения ставят в тупик даже опытных юристов. В связи с этим приведем лишь самые общие рекомендации по защите своего портала.
□ Одна из самых надежных и сложных для юридической атаки схем – регистрация домена на юридическое лицо, которое предоставляет право пользования другому юридическому лицу. Если проект велик и вы можете позволить себе подобные траты, это будет неплохим вариантом.
□ Регистрируйте домен не только в зоне .ru, но и в международных зонах и зонах, к которым ваш бизнес имеет или может иметь отношение. Все домены должны быть склеены. Даже если вы лишитесь главного домена, его место займет один из зеркальных. Разумеется, такой перенос не пройдет безболезненно, но потеря не станет смертельной для проекта.
□ Регистрируйте все домены с похожим написанием: два корня слитно, два корня через дефис, полный перевод, правильный и неправильный транслиты и т. д. Это поможет избежать неприятных ситуаций, когда кто-то зарегистрирует домен и торговую марку с очень похожим написанием.
□ Если бюджет позволяет, регистрируйте торговую марку, совпадающую по написанию с написанием домена.
Риски, связанные с хостингом и потерей данных
Примерно раз в два года в русскоязычном сегменте Рунета разыгрывается очередная драма, связанная с пожаром в дата-центре, отключением серверов крупного хостинг-провайдера или другими аварийными ситуациями, которые сразу же выводят из строя сотни и даже тысячи мелких и крупных проектов. Чаще всего данные тем или иным образом восстанавливались, но некоторые утратили свои сайты навсегда и впоследствии долго извлекали контент из сохраненных копий поисковых систем и веб-архивов.
Для того чтобы избежать подобных проблем, надо своевременно создавать и выкачивать бэкапы – архивы с сохраненной копией файлов и базы данных. Ежедневное сохранение изменений позволит вам потерять данные не более чем за день, что несравнимо с потерей всего портала. При этом нет никакой необходимости в создании и закачке сохраненных копий вручную – просто арендуйте еще один виртуальный сервер в другом дата-центре и настройте регулярное создание резервных копий с последующей отправкой архивов на резервный сервер. Аренда виртуального сервера сегодня стоит совсем недорого (особенно если учесть, что речь идет фактически о файлохранилище), а с настройкой легко справится системный администратор средней руки. Таким образом вы сможете обезопасить свои данные, потратив совершенно неощутимую по сравнению с общим бюджетом портала сумму.
Риски, связанные с попытками несанкционированного доступа к данным
Проще говоря – взлом портала.
Вообще проблема взлома в значительной степени мифологизирована. Неопытные пользователи придают ей слишком большое значение, а многие веб-мастера с небольшим опытом – слишком малое. На самом деле пока вы сильно не навредите кому-то и не привлечете чрезмерного внимания, взламывать вас намеренно не станут. Гораздо вероятнее, что вы станете жертвой серийного взлома, когда доступ к закрытым функциям сайта добывают при помощи хорошо известной уязвимости в автоматическом режиме. Впрочем, тот факт, что вы станете всего лишь одной из десятка тысяч жертв взлома, никоим образом не уменьшит ущерб от него.
Далее мы кратко рассмотрим основные способы получения несанкционированного доступа к данным и расскажем, как защититься от них.
Перехват данных от FTP-клиента. Весьма распространенный способ. Тут все просто – вредоносная программа, попавшая на ваш компьютер, получает данные для подключения к серверу по FTP-протоколу и отсылает злоумышленнику, который впоследствии использует их для размещения своего вредоносного кода.
Злоумышленник, имеющий доступ к вашему FTP, имеет практически такие же возможности, как и квартирный вор, который смог утащить связку ваших ключей. При должной сноровке он может не просто забрать ценные вещи, но и неделями жить у вас дома, стирать одежду в вашей стиральной машине, читать ваши книги и незаметно опустошать ваш мини-бар. Более того, если у него будет достаточно времени, он может переклеить обои и даже сменить замок входной двери. В общем, вреда от этого может быть много.
Избежать подобных рисков полностью невозможно, но некоторые простые меры безопасности могут сильно осложнить злоумышленнику задачу.
□ Создавайте сложные пароли, которые нельзя угадать или подобрать в минимальные сроки.
□ Старайтесь не хранить пароль в памяти FTP-клиента, при подключении вводите его заново каждый раз. Если боитесь забыть очень сложный пароль, запишите его на бумаге – это гораздо надежнее памяти компьютера.
□ Старайтесь использовать надежные FTP-клиенты. Так, многие веб-мастера считают Total Commander и плагин к Firefox не очень надежными просто потому, что они очень популярны и поэтому пользуются повышенным вниманием злоумышленников.
□ Периодически меняйте пароли.
□ Регулярно делайте и сохраняйте бэкапы.
Получение данных непосредственно через хостинг. Проблема в слабой защите данных на стороне хостера, либо в его неправильной кадровой политике. Встречается нечасто, но если такое происходит, то количество пострадавших сайтов может исчисляться десятками тысяч. Посоветовать можно только одно – тщательно выбирайте хостинг-провайдера и не экономьте на его услугах.
Использование стандартных уязвимостей CMS. Практически каждая новая версия любой свободной или проприетарной CMS отличается от предыдущей устранением одной или нескольких уязвимостей, и почти каждый раз после очередного релиза находят новые. Особенно часто выявляют уязвимости в коде самых популярных свободных CMS – Wordpress и Joomla, а также в коде их модулей, плагинов и т. п. Причина большого количества обнаруженных и используемых уязвимостей опять же заключается в популярности – их находят там, где ищут. Кроме того, для популярных свободных CMS создаются десятки и сотни плагинов, шаблонов и модулей, причем далеко не все они тестируются на безопасность должным образом.
Проприетарные CMS традиционно имеют меньше слабых мест, которыми может воспользоваться злоумышленник, поскольку их создатели обычно уделяют безопасности большое внимание. Вместе с тем проблемы с платными системами управления контентом также случаются, а потому регулярная установка заплаток и изучение найденных уязвимостей – хорошая практика. В целом же рекомендации можно сформулировать так.
□ Старайтесь не использовать для создания портала популярные свободные CMS, имеющие репутацию уязвимых.
□ При выходе каждой новой версии, в описании которой указано устранение уязвимостей, устанавливайте ее.
□ При установке новых модулей обязательно тестируйте их на наличие слабых с точки зрения безопасности мест.
□ Регулярно делайте и сохраняйте бэкапы.
Использование уязвимостей в собственном коде. Даже самые профессиональные программисты, в совершенстве владеющие приемами обеспечения безопасности, иногда допускают ошибки. Менее профессиональные делают это чаще, новички – очень часто. В вашем штате может работать программист любого уровня, и он наверняка будет делать ошибки. Некоторые из них могут привести к появлению уязвимостей и представлять угрозу для безопасности.
Некоторые приемы организационного характера могут заметно снизить риски появления проблем в вашем коде.
□ Старайтесь не экономить на разработчике/разработчиках, поскольку хорошие специалисты стоят дорого. Это касается как штатных специалистов, так и сторонних компаний, оказывающих данную услугу.
□ Не давите на разработчиков сроками, не ставьте невыполнимых задач. В том случае, если у вас нет выбора, обязательно дайте разработчикам время исправить свои ошибки уже после запуска программы или сервиса. Если вы сразу же загрузите их очередным заданием, все потенциальные уязвимости так и останутся неисправленными.