Як захистити свій домен чи інтернет-магазин від крадіжки: топ-10 рекомендацій

Чому захист домену такий важливий для бізнесу?

Домен — це ім'я сайту, віртуальна адреса, за якою браузер користувача знаходить його в мережі. Кожна така адреса є унікальною. Домен складається з імені сайту, яке його власник вказує сам, та розширення — доменної зони.

З технічної точки зору домен — це просто набір букв, створений виключно для зручності користувачів, проте кожен сайт має IP-адресу, до прикладу, 49.12.19.131. Оскільки людям важко було б запам'ятовувати цифри та точки, були створені буквені адреси, які автоматично перетворюються на IP при вводі домену в пошуковий рядок.

Доменне ім'я не впливає на роботу вебресурсу, але це потужний маркетинговий інструмент. Вдало підібрана назва для сайту сама по собі вже працює на його промоцію. А невдале — спантеличує клієнтів і стає баластом.

Тому реєстрації домену передує аналіз десятків слів і буквосполучень, щоб знайти оптимальне, що відображає суть бізнесу. При цьому воно має бути дуже простим для запам'ятовування, як хіт, який запам’ятовується після першого ж прослуховування. Це непросте завдання, оскільки «хітові» адреси швидко розбирають. Цей фактор настільки важливий для просування бізнесу, що часто навіть ім'я для стартапу підбирають з урахуванням майбутньої назви сайту.

Як відбувається реєстрація доменної адреси?

Щоб зрозуміти, як «розбирають» домени, потрібно розкрити алгоритм його реєстрації та основні принципи надання послуг від хостинг-провайдерів.

Зареєструвати домен порівняно просто — потрібно створити обліковий запис на сайті реєстратора, придумати назву для свого ресурсу та ввести його у спеціальне поле для перевірки. Якщо ім'я зайняте, система запропонує варіанти реєстрації інших зонах. Вибрану адресу потрібно відзначити чекбоксом, сплатити рахунок — і домен ваш.

Такий розділ для перевірки доменів розміщено на головній сторінці сайту кожного реєстратора. Часто реєстрацією займається сам провайдер хостинг-послуги. До речі, перевірити доступність домену ви можете навіть без облікового запису. 

Домен сайту не купується назавжди — йдеться швидше про оренду адреси, яку клієнт оплачує на певний термін. Це термін — від року до десяти років, потім послугу можна продовжити.

Як крадуть домени?

Існує багато шахрайських схем, частина яких не вважається прямою крадіжкою домену, але при цьому шкодить іміджу компанії.

Ці незаконні дії відносяться до кіберсквотингу:

Якщо ж говорити про крадіжку домену в прямому розумінні, найпоширеніший метод — зламування пошти власника та підробка документів з подальшим перенесенням імені до іншого реєстратора. Якщо в поштовій скриньці зберігається лист від реєстратора, зломник легко заходить в обліковий запис і змінює паролі. Якщо листа немає — створює запит на відновлення паролю і змінює його.

Далі ситуація може розвиватися по-різному залежно від процедури перенесення, прийнятої у реєстратора. Одні в автоматичному режимі «транслюють» код для перенесення домену, інші вимагають підтвердження електронною поштою чи запитують заяву від власника. Якщо у перших двох випадках потрібно лише зламати пошту, то в останньому потрібно також підробити документи.

Шахраї провертають усі ці операції для того, щоб потім продати домен законним власникам (або ж тому, хто першим придбає) за завищеною ціною. Для отримання грошей використовуються різні важелі впливу, включаючи шантаж. Часто власнику дешевше прийняти пропозицію, ніж зазнавати репутаційних збитків.

Також із вкраденої доменної адреси можуть продавати підроблені товари, поширювати віруси та інше шкідливе програмне забезпечення.

Втрата домену може спричинити багато проблем, особливо якщо він ідентичний назві компанії. Захист домену від крадіжки — це низка простих і незатратних кроків. Дотримуватись цих правил набагато простіше, ніж боротися з наслідками.

Топ-10 рекомендацій: як захистити сайт

#1 Зареєструйте домен вірно

Сайт — це набір пов'язаних один з одним файлів. Щоб його могли бачити всі користувачі інтернету, цей набір файлів має зберігатися на хостингу — сервері, на якому встановлено спеціальне програмне забезпечення. Місце на хостингу треба купувати.

Хостинг потрібний не всім. Власникам магазинів на таких хмарних сервісах, як Wix, він не знадобиться. Але якщо ваш магазин, наприклад, на WordPress, Drupal, Joomla або розроблений з нуля самостійно, хостинг потрібен. Він, як і домен, має бути зареєстрований на власника. Інакше, сторонній користувач
зможе розмістити на вашому сайті будь-яку інформацію (наприклад поставити рекламний банер) або видалити сайт.

Реєструйте домен на реальні дані! Клієнти іноді вводять у реєстраційну форму вигадані дані. Якщо провайдер не потребує посвідчення особи — значить, можна написати будь-що. Це працює рівно доти, доки не почнуться проблеми. Якщо адресу вкрали або виникає потреба позиватися на кіберсквотерів, перше, що потрібно зробити — підтвердити право на домен.

Завжди вводьте у форму реєстрації свої реальні дані. Якщо назва створюється для потреб підприємства, її все-одно реєструють на конкретну людину — директора, заступника, адміністратора сайту. Коли співробітник звільнився, обов'язково подбайте про те, щоб змінити дані реєстрації на нинішнього працівника.

У разі неправомірних дій з боку третіх осіб, ви можете позиватись до суду або звернутися до арбітражу Всесвітньої організації інтелектуальної власності для досудового вирішення доменного спору.

Але обидва варіанти доступні лише для послуг, зареєстрованих на реальну людину чи торгову марку. Майте на увазі, якщо передасте цю турботу найманому працівнику чи підряднику, власником може бути інша людина чи організація. Ви не зможете виріщити проблему, якщо власник вирішить продати домен або розмістити на ньому інший сайт замість вашого.

Реєструйте домен на фізичну особу (можна і на юридичну, але цей варіант більше підходить для великих бізнесів). Обирайте майданчик та реєстратора не за ціною, а за надійністю.

#2 Робота з доменом та хостингом

Щоб купити хороший домен і не потрапити в руки шахраям, дотримуйтесь порад:

Для перевірки скористайтеся безкоштовним сервісом who.is. Введіть адресу та натисніть «Знайти». Сервіс видасть список усіх попередніх власників домену, якщо вони були.

Інформація про домен у сервісі who.is

Також прогляньте всю існуючу інформацію за доменом в Serpstat. В нагоді стане плагін Serpstat SEO Checker, в також звіт Шкідливі сайти, що допоможе ідентифікувати донорів посилань з певним типом вразливості (небажане ПЗ, соціальна інженерія, тощо).

Шкідливі сторінки-донори для сайту Healthline, Serpstat

Дата створення сайту з Serpstat SEO Checker

Перед покупкою рекомендуємо пошукати відгуки про сервіс. Подивіться whois домену реєстратора — там можна побачити власника, дату реєстрації домену. Зверніть увагу на наявність SSL-сертифіката, юридичної особи, поштової адреси, телефонів на сайті, договорів-оферт. У серйозного сервісу вони будуть.

Запам'ятайте свій логін та пароль або додайте їх до спеціальної програми для зберігання паролів (про неї розповімо далі). Ці дані потрібні для продовження передплати.

Функція приховування даних

У деяких доменних зонах інформація про власника адреси прихована за замовчуванням. У міжнародних зонах (com, net, org, biz) ця інформація знаходиться у вільному доступі. Але багато реєстраторів надають окрему послугу — приховування даних. Опція платна, але це невелика сума, і вона повністю окупається.

Що це за дані та чому їх треба приховувати? Насамперед це реєстраційна пошта. Знаючи її, шахрай може зламати електронну скриньку і через неї потрапити в акаунт провайдера.

Перевірити цю інформацію нескладно та безкоштовно можна за допомогою Whois. Якщо ж інформація прихована, користувач побачить максимум пошту самого реєстратора для подання скарг і набір загальних даних. Після того, як домен зареєстровано, перевірте дані в Whois, якщо вони відкриті — попросіть реєстратора приховати їх.

Крім того, реєстраційну пошту не варто публікувати на сайті як контакт для зворотного зв'язку. Краще, якщо електронна адреса, на яку зареєстровано хостинг та домен, взагалі не буде зазначена в публічному просторі.

#3 Паролі та доступи співробітників

Підходящий пароль повинен містити більше 6 знаків, серед яких літери, цифри та символи (наприклад, "?", "@", "_", "$"). Літери рекомендується використовувати в різних регістрах .

Що в паролі використовувати не можна:

• Набори символів, розташовані на клавіатурі один за одним (654321, qwerty, 1q2w3e та подібні).
  
• Особисті дані (ім'я або прізвище, номер паспорта, прав водія або страхового свідоцтва).
  

Щоб заощадити час, використовуйте сервіси генерації паролів, наприклад, LastPass Password Generator.

Обирайте усі опції, щоб пароль був максимально надійним

Придумайте різні паролі для всіх послуг, якими користуєтеся (пошта, панель управління магазину, хостингу, домену та інших). Один пароль для всіх облікових записів використовувати небезпечно. Якщо хакер заволодіє вашим паролем від одного сервісу — легко зайде до всіх інших. Змінюйте пароль регулярно, в ідеалі — раз на місяць. Поставте на календарі нагадування про це.

Не давайте співробітнику свій логін та пароль, а створіть гостьовий, якщо сервіс це дозволяє. Наприклад, у сайті WordPress передбачено 5 ролей. Якщо ви дасте працівникові роль редактора, він зможе лише додавати нові сторінки, але в налаштуваннях сайту нічого змінити не зможе.

У Wordpress можна використовувати ролі, дані за замовчуванням або додати свої

Поміняйте паролі, якщо давали доступ до магазину, хостингу або домену підряднику або нещодавно звільненому працівнику.

Якщо пароль просить в месенджерах , особа, яка представилася співробітником технічної підтримки або адміністратором хостингу, у жодному разі не давайте. Тут як із кредитною карткою — співробітник банку ніколи не попросить ваш пін-код, це можуть зробити лише зловмисники.

#4 Допоміжні програми

Надійні довгі паролі з різних символів — це правильно. Але запам'ятати їх усі неможливо. Зберігати паролі у файлі на комп'ютері небезпечно, їх можуть вразити віруси. Зберігати на папері — теж поганий варіант. Рішення — програми для зберігання паролів:

• 1Password
  

  Найнадійніший менеджер паролів. Сервіс платний — від 2,99 $ на місяць при оплаті за рік. Є безкоштовний тестовий період 30 днів.
  

• LastPass
  

  Цей сервіс також цілком надійний. Вартість бізнес-тарифів — від €3,90 на місяць. Є безкоштовний індивідуальний тариф та тестовий період на 30 днів.
  

Працює менеджер паролів так:

При реєстрації на новому сайті LastPass пропонує створити пароль за вас

І, звичайно, не варто забувати про базові правила. Вони прості, як миття рук перед обідом, але дозволяють уникати багатьох проблем:

• Слідкуйте за актуальністю контактів, вказаних у профілі на сайті провайдера чи реєстратора. Усі сповіщення надходять на пошту, яку ви вказали під час реєстрації, в екстреній ситуації клієнту можуть зателефонувати з техпідтримки.
  
• Якщо ви змінили пошту або номер телефону, обов'язково оновіть дані в обліковому записі.
  
• Не зберігайте логіни та паролі в місцях, доступних для сторонніх людей.
  
• Вчасно продовжуйте послуги. Середня вартість домену коливається в межах 7-20 доларів на рік. Вчасно внести цю суму набагато простіше, ніж відновлювати адресу.
  

Завдяки постійній роботі над безпекою з боку провайдерів та реєстраторів, крадіжок доменів відбувається дедалі менше. Але про це повинен дбати і сам вебмайстер, оскільки від його дій залежить безпека його цифрової власності.

#5 Cтатус clientTransferProhibited

Статус clientTransferProhibited у більшості провайдерів встановлюється автоматично. Він не дозволяє здійснити трансфер домену до іншого реєстратора в автоматичному режимі без участі власника.

Щоб надіслати адресу іншій людині, клієнт повинен зробити запит до реєстратора, щоб статус зняли на час перенесення. Для цього слід підтвердити своє право на домен. Це дозволяє уникнути ситуацій, коли хакер зламує базу та здійснює трансфер на свої дані.

І хоча цей статус майже у всіх постачальників послуги стоїть за умовчанням, потрібно уточнювати його наявність.

#6 Двоетапна авторизація

Що таке двоетапна автентифікація ви точно знаєте, її часто використовують для акаунтів у банку, соцмережі, поштовому сервісі. Навіть маючи логін та пароль, в обліковий запис можна потрапити лише після підтвердження своєї особи за допомогою дзвінка на авторизований телефон або повідомлення з кодом.

Таку аутентифікацію можна налаштувати також в обліковому записі реєстратора доменного імені або провайдера вашого хостингу. За замовчуванням вона не підключається, але є абсолютно безкоштовною.
Налаштуйте двофакторну авторизацію скрізь, де можливо.

При налаштуванні ви прив'язуєте до облікового запису свій номер телефону. При вході в сервіс, крім логіну та паролю, потрібно ввести код із СМС або одноразовий код зі спеціальної програми на смартфоні (також прив'язується до вашого облікового запису в сервісі). Крім вас, цей код ніхто не отримає, а значить, і увійти в обліковий запис не зможе.

Ось кілька інструкції для налаштування двофакторної авторизації:

• Пошта на gmail.com
  
• Facebook
  

Нехтувати цим способом захисту ризиковано. Якщо хакер дізнається ваш пароль від пошти, то зможе змінити паролі від інших облікових записів — адмінки магазину, хостингу, домену.

#7 Безпека ПК

Намагайтеся не заходити у свої акаунти з чужих комп'ютерів, особливо доступних в інтернет-кафе або коворкінгах. Якщо ви будете недостатньо обережні, вашим логіном та паролем може скористатися сторонній користувач та увійти до облікового запису.

Якщо доводиться працювати з чужих комп'ютерів:

• Використовуйте браузер у режимі анонімного перегляду.
  
• Відмовляйтеся, коли браузер пропонує зберегти пароль.
  
• Після закінчення роботи вийдіть зі свого облікового запису.
  
• Після закінчення роботи в браузері очистить кеш та cookies, щоб стерти історію ваших відвідувань.
  

#8 Оновлення програм 

Встановіть нові версії програм, у кожній новій версії розробники усувають уразливості та роблять програми надійнішими та безпечнішими. Те саме стосується браузерів та операційних систем. Програма зазвичай сама «просить» встановити оновлення або робить це автоматично.

Перевірте, чи ви оновилися до останньої версії. Якщо ні, зробіть це якомога швидше.

Оновлення браузерів:

• Firefox
  
• Google Chrome
  
• Opera
  
• Internet Explorer
  

Оновлення операційних систем смартфона та планшета:

• iOS (для iPhone, iPad або iPod touch)
  
• Android
  
• Windows Phone
  

Оновлення операційних систем:

• macOS (для MacBook, Mac mini, iMac та Mac Pro)
  
• Windows
  

Оновлення магазину

Магазини, побудовані за допомогою хмарних конструкторів, автоматично оновлюються без вашої участі. Це клопіт самого сервісу.

Магазин на CMS (наприклад WordPress.org), які вимагають хостингу, потрібно оновлювати. Слідкуйте за виходом оновлень та встановлюйте їх якомога раніше. Крім цього, при виявленні вразливостей розробники програм публікують додатковий засіб — патчі безпеки. Це оновлення програмного забезпечення для виправлення проблем.

Неважливо для якої програми ви хочете встановити патч, це завжди робиться приблизно однаково:

1.Перевірте, чи встановлена у вас остання версія оновлення програмного забезпечення. Наприклад, у WordPress ця інформація зазначена у пункті меню «Оновлення»:

Або пошукайте версію програми у меню «Про програму». Про останні оновлення також можна дізнатися на офіційному сайті виробника програми в розділі «Оновлення», «Релізи», Downloads.

2.Якщо останнє оновлення не інстальовано, завантажте його на комп'ютер, розпакуйте, якщо воно заархівоване, і запустіть. На екрані з'явиться вікно, в якому потрібно натиснути «Далі». Якщо майстер установки запитує вас про місцезнаходження програми, натисніть «Огляд» і виберіть папку, де знаходиться файл програми з розширенням exe.

3.Дотримуючись підказок майстра установки. Наприкінці натисніть «Готово».

4.Після встановлення комп'ютер запропонує перезавантажитись. Якщо ні, все одно перезавантажте його самі.

5.Після перезавантаження відкрийте програму та переконайтеся, що оновлення встановлено. У розділі «Про програму» мав змінитися номер версії.

#9 Використання HTTPS протоколу

Протокол HTTPS — це правило, за якими передаються всі дані від пристрою до пристрою. Інформація передається у зашифрованому вигляді (на відміну від протоколу HTTP, який дані не шифрує).

Налаштування протоколу HTTPS захищає користувачів від крадіжки персональної інформації та платіжних даних (ім'я, реквізити банківських карток, адреса, телефон). Тому кожен інтернет-магазин має його використовувати.

Так у Google Chrome та Firefox відзначені сайти, що працюють за протоколом HTTPS

Не відкладайте перехід на протокол HTTPS, адже на власниках інтернет-магазинів особлива відповідальність — їм довіряють особисті дані тисячі людей.

Serpstat допоможе перевірити сайт на технічні помилки, пов’язані з безпечними протоколами. Ряд таких попереджень міститься у звітах Аудиту сайту.

#10 Резервні копії

Резервна копія (бекап) — це повна копія вашого сайту, що зберігається на випадок технічних проблем, злому або втрати інформації основного сайту. Якщо така копія існує, сайт можна буде відновити й очистити від шкідливих шматків коду, залишених хакерами.

Робити резервне копіювання потрібно раз на місяць і лише магазинам, що зберігаються на власному хостингу. Часто хостинги роблять бекапи автоматично, це питання варто задати технічній підтримці вашого сервісу.

Якщо ваш хостинг не робить бекапи, ось інструкції для популярних платформ:

• резервне копіювання сайта на WordPress;
  
• резервне копіювання сайта на Joomla.

Висновки

Щоб захистити свій сайт від зловмисників та зберегти дані клієнтів використовуйте цей чек-лист:

Половина наших порад не стане в нагоді, якщо ваш інтернет-магазин створений за допомогою надійного хмарного конструктора.