Как защитить свой сайт, созданный фрилансером. 3 печальные истории из практики, которые заставят вас задуматься

5576
Фото © Flickr
Фото © Flickr
Земсков Григорий
Директор компании «Ревизиум»

Как часто руководители небольших компаний, чьи сайты были разработаны фрилансерами или мелкими веб-студиями, задают себе вопросы: «На кого зарегистрирован мой домен?», «Как защитить свой сайт?», «Кто управляет моим хостингом?». Вы удивитесь, но это происходит довольно редко.

Такие вопросы почти никогда не волнуют руководство компании до момента серьезных инцидентов, когда сайт перестает работать или заблокирован хостингом за распространение фишингового контента или вредоносного программного обеспечения. Печально, но факт: сегодня в эпоху расцвета интернет-технологий, когда ставка на корпоративный сайт очень высока, некоторые бизнесмены даже не в курсе, что такое хостинг и домен, и как ими безопасно управлять. А что если речь идет об интернет-магазине? Утратив все контакты с фрилансером-разработчиком сайта, можно моментально лишиться своего бизнеса.

В крупных компаниях, располагающих собственным штатом IT-специалистов и маркетологов, подобные задачи решаются довольно просто, но индивидуальным предпринимателям или директорам небольших фирм сегодня критически необходимо самим разбираться в основных моментах, связанных с безопасной работой в интернете. В противном случае предприниматель рискует потерять контроль над сайтом или оказаться в зависимости от разработчиков веб-ресурса. Интернет-история насчитывает тысячи печальных случаев, когда по незнанию домены регистрировались на частных лиц, не имеющих отношения к компании, сайты размещались на хостинге разработчика среди десятка других сайтов, административный доступ к сайту не принадлежал его владельцу и т.п.

Ниже описаны реальные случаи из нашей практики, которых могло и не произойти, если бы компании вовремя поинтересовались, на кого зарегистрирован их домен и у кого есть доступы к их аккаунту хостинга.

Случай №1. Компания N заказала разработку сайта у фрилансера. Директор не располагал достаточным количество времени (а может и просто желанием), чтобы вникнуть во все технические подробности, поэтому полностью доверил процесс создания и запуска веб-ресурса стороннему специалисту. Фрилансер предложил самостоятельно зарегистрировать домен и открыть хостинг, а чтобы ускорить процесс и избежать дополнительной переписки, с согласия директора зарегистрировал домен и хостинг на свое имя. Компании же предложил просто оплачивала ежемесячные счета. Работы по сайту завершились в срок, обе стороны остались довольны сотрудничеством. Разработчик объяснил владельцу, как обновлять контент, загружать новые фото, менять прайс и редактировать публикации. Сайт бесперебойно функционировал и приносил компании прибыль, однако через год веб-ресурс по какой-то причине перестал открываться. Владелец сайта попытался связаться с фрилансером, но безуспешно - тот пропал и не отвечал ни на звонки, ни на письма. Обращение к сторонним специалистам также не принесло никакого результата: те сообщили, что срок оплаты домена и хостинга истекли; к тому же и домен, и хостинг были зарегистрированы на частное лицо,  поэтому восстановить доступы и получить резервную копию сайта с хостинга не реально. Ко всему прочему, высвободившийся домен компании приглянулся киберсквоттерам, которые оперативно его зарегистрировали на себя и разместили на нем «заглушку». Удастся ли компании N выкупить домен и создать на нем новый сайт - история умалчивает, но свой старый сайт компания потеряла.

Случай №2. Компания-представитель крупного сетевого бизнеса обратилась к нам с проблемой вируса на сайте одного из своих проектов. Анализ выявил наличие мобильного редиректа, который перенаправлял посетителей, заходящих на сайт с мобильных устройств, на ресурс «для взрослых». Естественно, это был удар по репутации компании, и нужно было как можно быстрее устранить редирект. Для оперативного решения проблемы мы запросили доступы к хостингу. Через несколько дней менеджер сайта ответил, что доступы они предоставить не могут, так как разработчик сайта размещает его на собственном сервере и не предоставляет доступы (даже FTP) посторонним. На попытки клиента решить проблему со взломом и заражением сайта, разработчик ответил отказом, сославшись на то, что это не его профиль, и он уже предоставлял клиенту необходимые доступы в админпанель Joomla для управления контентом. После этого разработчик перестал отвечать на письма клиента совсем. 

К счастью, нам удалось установить плагин с файловым менеджером через административную панель Joomla и через него убрать мобильный редирект. Но в остальном для клиента все печально, так как домен и хостинг по-прежнему принадлежат разрабочику, и сайт в некотором роде находится у него в «заложниках». Даже если сделать резервную копию базы данных и файлов, настроить это можно будет только на новом домене.

Случай №3. Владелец интернет-магазина стал замечать в статистике посещаемости сайта странные переходы на сторонние ресурсы. Обеспокоенный проблемой он обратился к нам с целью разобраться в текущей ситуации и установить на сайт защиту, которая бы блокировала это «неоднозначное явление». При этом разработчики сайта, которые занимались его технической поддержкой и параллельно выступали и провайдером хостинговых услуг для владельца интернет-магазина, уверяли, что никаких вредоносных элементов, провоцирующих данные переходы, на сайте нет. В тоже время проблема сама собой не решалась, и владелец продолжал искать помощи у сторонних специалистов.

Для диагностики сайта и анализа текущей ситуации мы запросили доступы, на что разочарованный владелец сайта ответил, что доступы к аккаунту хостинга, на котором находятся сайты и других клиентов разработчика, получить невозможно.  На предложение «переехать» на другой хостинг, чтобы защитить свой сайт, владелец сайта также ответил отказом: при переносе сайта на независимый shared-хостинг, владелец интернет-магазина мог лишиться своего домена, который также был зарегистрирован на разработчика его сайта.

Мораль такова: домен и хостинг нужно регистрировать на себя или свою компанию, а после сдачи проекта проверять, что единственные административные доступы есть только у владельца.

Если ситуация с вашим сайтом напоминает истории, описанные выше, рекомендуем максимально дружелюбно решить данный вопрос с текущим владельцем домена и хостинга, так как в большинстве случаев – это единственный шанс защитить свой сайт.

Как защитить свой сайт: памятка руководителю

Ниже мы приводим небольшую памятку руководителя, которая поможет обезопасить себя от подобных проблем и защитить свой сайт.

Что нужно сделать владельцу сайта (желательно еще до приемки сайта от веб-разработчиков):

1. Проверьте регистрационную информацию аккаунта хостинга и домена.

  • убедитесь, что хостинг и домен принадлежат вам, а не компании-разработчику сайта или фрилансеру, который помогал вам администрировать сайт пару лет назад;
  • проверьте административный доступ к хостингу (биллинг-панели, хостинг-панели, ftp, ssh). Возможно, у вас записаны старые (не актуальные) доступы. восстановите их с помощью технической поддержки хостинга и сохраните в надежном месте. Они могут понадобиться в любой момент;
  • проверьте административный e-mail хостинг-аккаунта, контактный телефон, кодовое слово (если есть) и т.п. Без них восстановить доступы будет достаточно сложно.

2. Убедитесь, что все e-mail, контактные данные администратора сайта в CMS.

3. Удалить лишние аккаунты: FTP/SSH, администраторов CMS. Оставить только минимально необходимый набор.

4. Сменить пароли у оставшихся аккаунтов: от биллинг и хостинг панелей, FTP, SSH, административных аккаунтов CMS. А также проверить и скорректировать привилегии для аккаунтов (сделать минимально допустимые права для каждого пользователя).



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа руководителя

Школа руководителя

Проверьте свои знания и приобретите новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Станьте читателем уже сейчас

Живое общение с редакцией

А еще...



Доставка новостей@

Оформите подписку, чтобы не пропустить свежие новости

150 000 + ваших коллег следят за нашими новостями





© 2011–2016 ООО «Актион управление и финансы»

Журнал «Генеральный Директор» –
профессиональный журнал руководителя

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Генеральный Директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.


  • Мы в соцсетях
Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • библиотека Генерального Директора
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль