Почніть шукати ключові слова

Використовуйте Serpstat, щоб знаходити найкращі ключі

1460
SEO Читати 20 хвилин 10 серпня 2023

Як захистити свій домен чи інтернет-магазин від крадіжки: топ-10 рекомендацій

Як захистити свій домен чи інтернет-магазин від крадіжки: топ-10 рекомендацій
Богдана Гайворонська
Богдана Гайворонська
Контент-маркетолог в
Cityhost.ua

Доменне ім'я є повноцінним нематеріальним активом. Воно несе особливу цінність для бренду, адже це є частиною маркетингової стратегії компанії. І як будь-яка цінність, домен здатний викликати нездоровий інтерес з боку шахраїв. Поки хакери не зламали твій сайт чи пошту, здається, що це відбувається з іншими, але не з тобою. Можна так думати, якщо під загрозою лише власна інформація.

Але на власниках інтернет-магазинів особлива відповідальність: їм довіряють особисті дані тисячі людей. Щоб не підвести покупців та захистити сайт від зловмисників, використовуйте наші поради.

З цієї статті ви дізнаєтесь, як крадуть адреси, як захистити доменне ім'я та чому зберегти його простіше, ніж повернути назад.

Чому захист домену такий важливий для бізнесу?

Домен — це ім'я сайту, віртуальна адреса, за якою браузер користувача знаходить його в мережі. Кожна така адреса є унікальною. Домен складається з імені сайту, яке його власник вказує сам, та розширення — доменної зони.

З технічної точки зору домен — це просто набір букв, створений виключно для зручності користувачів, проте кожен сайт має IP-адресу, до прикладу, 49.12.19.131. Оскільки людям важко було б запам'ятовувати цифри та точки, були створені буквені адреси, які автоматично перетворюються на IP при вводі домену в пошуковий рядок.

Доменне ім'я не впливає на роботу вебресурсу, але це потужний маркетинговий інструмент. Вдало підібрана назва для сайту сама по собі вже працює на його промоцію. А невдале — спантеличує клієнтів і стає баластом.

Тому реєстрації домену передує аналіз десятків слів і буквосполучень, щоб знайти оптимальне, що відображає суть бізнесу. При цьому воно має бути дуже простим для запам'ятовування, як хіт, який запам’ятовується після першого ж прослуховування. Це непросте завдання, оскільки «хітові» адреси швидко розбирають. Цей фактор настільки важливий для просування бізнесу, що часто навіть ім'я для стартапу підбирають з урахуванням майбутньої назви сайту.

Як відбувається реєстрація доменної адреси?

Щоб зрозуміти, як «розбирають» домени, потрібно розкрити алгоритм його реєстрації та основні принципи надання послуг від хостинг-провайдерів.

Зареєструвати домен порівняно просто — потрібно створити обліковий запис на сайті реєстратора, придумати назву для свого ресурсу та ввести його у спеціальне поле для перевірки. Якщо ім'я зайняте, система запропонує варіанти реєстрації інших зонах. Вибрану адресу потрібно відзначити чекбоксом, сплатити рахунок — і домен ваш.

Реєстрація домену

Такий розділ для перевірки доменів розміщено на головній сторінці сайту кожного реєстратора. Часто реєстрацією займається сам провайдер хостинг-послуги. До речі, перевірити доступність домену ви можете навіть без облікового запису. 

Домен сайту не купується назавжди — йдеться швидше про оренду адреси, яку клієнт оплачує на певний термін. Це термін — від року до десяти років, потім послугу можна продовжити.

Як крадуть домени?

Існує багато шахрайських схем, частина яких не вважається прямою крадіжкою домену, але при цьому шкодить іміджу компанії.

Ці незаконні дії відносяться до кіберсквотингу:

1.Реєстрація адрес, співзвучних із назвою відомих брендів.
2.Пошук торгових марок, для яких ще не створено сайт, та реєстрація всіх співзвучних імен.

Якщо ж говорити про крадіжку домену в прямому розумінні, найпоширеніший метод — зламування пошти власника та підробка документів з подальшим перенесенням імені до іншого реєстратора. Якщо в поштовій скриньці зберігається лист від реєстратора, зломник легко заходить в обліковий запис і змінює паролі. Якщо листа немає — створює запит на відновлення паролю і змінює його.

Далі ситуація може розвиватися по-різному залежно від процедури перенесення, прийнятої у реєстратора. Одні в автоматичному режимі «транслюють» код для перенесення домену, інші вимагають підтвердження електронною поштою чи запитують заяву від власника. Якщо у перших двох випадках потрібно лише зламати пошту, то в останньому потрібно також підробити документи.

Шахраї провертають усі ці операції для того, щоб потім продати домен законним власникам (або ж тому, хто першим придбає) за завищеною ціною. Для отримання грошей використовуються різні важелі впливу, включаючи шантаж. Часто власнику дешевше прийняти пропозицію, ніж зазнавати репутаційних збитків.

Також із вкраденої доменної адреси можуть продавати підроблені товари, поширювати віруси та інше шкідливе програмне забезпечення.

Втрата домену може спричинити багато проблем, особливо якщо він ідентичний назві компанії. Захист домену від крадіжки — це низка простих і незатратних кроків. Дотримуватись цих правил набагато простіше, ніж боротися з наслідками.

Топ-10 рекомендацій: як захистити сайт

#1 Зареєструйте домен вірно

Сайт — це набір пов'язаних один з одним файлів. Щоб його могли бачити всі користувачі інтернету, цей набір файлів має зберігатися на хостингу — сервері, на якому встановлено спеціальне програмне забезпечення. Місце на хостингу треба купувати.

Хостинг потрібний не всім. Власникам магазинів на таких хмарних сервісах, як Wix, він не знадобиться. Але якщо ваш магазин, наприклад, на WordPress, Drupal, Joomla або розроблений з нуля самостійно, хостинг потрібен. Він, як і домен, має бути зареєстрований на власника. Інакше, сторонній користувач
зможе розмістити на вашому сайті будь-яку інформацію (наприклад поставити рекламний банер) або видалити сайт.

Реєструйте домен на реальні дані! Клієнти іноді вводять у реєстраційну форму вигадані дані. Якщо провайдер не потребує посвідчення особи — значить, можна написати будь-що. Це працює рівно доти, доки не почнуться проблеми. Якщо адресу вкрали або виникає потреба позиватися на кіберсквотерів, перше, що потрібно зробити — підтвердити право на домен.

Завжди вводьте у форму реєстрації свої реальні дані. Якщо назва створюється для потреб підприємства, її все-одно реєструють на конкретну людину — директора, заступника, адміністратора сайту. Коли співробітник звільнився, обов'язково подбайте про те, щоб змінити дані реєстрації на нинішнього працівника.

У разі неправомірних дій з боку третіх осіб, ви можете позиватись до суду або звернутися до арбітражу Всесвітньої організації інтелектуальної власності для досудового вирішення доменного спору.

Але обидва варіанти доступні лише для послуг, зареєстрованих на реальну людину чи торгову марку. Майте на увазі, якщо передасте цю турботу найманому працівнику чи підряднику, власником може бути інша людина чи організація. Ви не зможете виріщити проблему, якщо власник вирішить продати домен або розмістити на ньому інший сайт замість вашого.

Реєструйте домен на фізичну особу (можна і на юридичну, але цей варіант більше підходить для великих бізнесів). Обирайте майданчик та реєстратора не за ціною, а за надійністю.

#2 Робота з доменом та хостингом

Щоб купити хороший домен і не потрапити в руки шахраям, дотримуйтесь порад:

1.Якщо можливо, реєструйте відразу кілька імен: у різних зонах, з друкарськими помилками та дефісами (наприклад, разом з доменом toyshop.ua можна зареєструвати toyshop.com, toishop.ua, toy-shop.ua). Так ви не втратите клієнтів, які набирають домен з помилкою, і не дасте шансів кіберсквотерам. Ця категорія кіберзлочинців може не тільки реалізовувати брендові домени, а й отримати відвідувачів, що «промахнулися», і за рахунок показу реклами заробити грошей.
2.Перевірте історію домену. Може виявитись, що на вашому домені був сайт для продажу посилань, і Google його забанив. Після такого просувати інтернет-магазин буде складно. Тому краще купувати «чисті» доменні імена, без будь-якої історії. Так ви зведете ризики до мінімуму.

Для перевірки скористайтеся безкоштовним сервісом who.is. Введіть адресу та натисніть «Знайти». Сервіс видасть список усіх попередніх власників домену, якщо вони були.

Інформація про домен у сервісі who.is

Інформація про домен у сервісі who.is

Також прогляньте всю існуючу інформацію за доменом в Serpstat. В нагоді стане плагін Serpstat SEO Checker, в також звіт Шкідливі сайти, що допоможе ідентифікувати донорів посилань з певним типом вразливості (небажане ПЗ, соціальна інженерія, тощо).

Шкідливі сторінки-донори для сайту Healthline, Serpstat

Шкідливі сторінки-донори для сайту Healthline, Serpstat

Дата створення сайту з Serpstat SEO Checker

Дата створення сайту з Serpstat SEO Checker

Бажаєте перевірити ці та інші параметри сайту вже зараз?

Скористайтесь тестовою версією Serpstat безкоштовно!

7-денний тріал
3.Остерігайтеся занадто дешевих доменів. При покупці ви можете зіткнутися з відсутністю підтримки, не отримаєте бухгалтерських документів, і, відповідно, не зможете надіслати претензію.

Перед покупкою рекомендуємо пошукати відгуки про сервіс. Подивіться whois домену реєстратора — там можна побачити власника, дату реєстрації домену. Зверніть увагу на наявність SSL-сертифіката, юридичної особи, поштової адреси, телефонів на сайті, договорів-оферт. У серйозного сервісу вони будуть.

Запам'ятайте свій логін та пароль або додайте їх до спеціальної програми для зберігання паролів (про неї розповімо далі). Ці дані потрібні для продовження передплати.

Функція приховування даних

У деяких доменних зонах інформація про власника адреси прихована за замовчуванням. У міжнародних зонах (com, net, org, biz) ця інформація знаходиться у вільному доступі. Але багато реєстраторів надають окрему послугу — приховування даних. Опція платна, але це невелика сума, і вона повністю окупається.

Що це за дані та чому їх треба приховувати? Насамперед це реєстраційна пошта. Знаючи її, шахрай може зламати електронну скриньку і через неї потрапити в акаунт провайдера.

Перевірити цю інформацію нескладно та безкоштовно можна за допомогою Whois. Якщо ж інформація прихована, користувач побачить максимум пошту самого реєстратора для подання скарг і набір загальних даних. Після того, як домен зареєстровано, перевірте дані в Whois, якщо вони відкриті — попросіть реєстратора приховати їх.

Крім того, реєстраційну пошту не варто публікувати на сайті як контакт для зворотного зв'язку. Краще, якщо електронна адреса, на яку зареєстровано хостинг та домен, взагалі не буде зазначена в публічному просторі.

#3 Паролі та доступи співробітників

Підходящий пароль повинен містити більше 6 знаків, серед яких літери, цифри та символи (наприклад, "?", "@", "_", "$"). Літери рекомендується використовувати в різних регістрах .

Що в паролі використовувати не можна:

Щоб заощадити час, використовуйте сервіси генерації паролів, наприклад, LastPass Password Generator.

Обирайте усі опції, щоб пароль був максимально надійним

LastPass Password Generator

Придумайте різні паролі для всіх послуг, якими користуєтеся (пошта, панель управління магазину, хостингу, домену та інших). Один пароль для всіх облікових записів використовувати небезпечно. Якщо хакер заволодіє вашим паролем від одного сервісу — легко зайде до всіх інших. Змінюйте пароль регулярно, в ідеалі — раз на місяць. Поставте на календарі нагадування про це.

Не давайте співробітнику свій логін та пароль, а створіть гостьовий, якщо сервіс це дозволяє. Наприклад, у сайті WordPress передбачено 5 ролей. Якщо ви дасте працівникові роль редактора, він зможе лише додавати нові сторінки, але в налаштуваннях сайту нічого змінити не зможе.

У Wordpress можна використовувати ролі, дані за замовчуванням або додати свої

Ролі у Wordpress

Поміняйте паролі, якщо давали доступ до магазину, хостингу або домену підряднику або нещодавно звільненому працівнику.

Якщо пароль просить в месенджерах , особа, яка представилася співробітником технічної підтримки або адміністратором хостингу, у жодному разі не давайте. Тут як із кредитною карткою — співробітник банку ніколи не попросить ваш пін-код, це можуть зробити лише зловмисники.

#4 Допоміжні програми

Надійні довгі паролі з різних символів — це правильно. Але запам'ятати їх усі неможливо. Зберігати паролі у файлі на комп'ютері небезпечно, їх можуть вразити віруси. Зберігати на папері — теж поганий варіант. Рішення — програми для зберігання паролів:

Працює менеджер паролів так:

1.Ви вигадуєте складний пароль від облікового запису — майстер-пароль. Тільки його потрібно пам'ятати.
2.Всі інші паролі та логіни зберігаються в менеджері. Вони автоматично підставляються у поля введення, коли ви заходите у сервіс. При цьому паролі для адмінок, пошти та іншого можна не вигадувати — 1Password і LastPass згенерують унікальні паролі для кожного вашого сервісу, якщо вам самим не хочеться цим займатись.

При реєстрації на новому сайті LastPass пропонує створити пароль за вас

LastPass пропонує створити пароль за вас

І, звичайно, не варто забувати про базові правила. Вони прості, як миття рук перед обідом, але дозволяють уникати багатьох проблем:

Завдяки постійній роботі над безпекою з боку провайдерів та реєстраторів, крадіжок доменів відбувається дедалі менше. Але про це повинен дбати і сам вебмайстер, оскільки від його дій залежить безпека його цифрової власності.

#5 Cтатус clientTransferProhibited

Статус clientTransferProhibited у більшості провайдерів встановлюється автоматично. Він не дозволяє здійснити трансфер домену до іншого реєстратора в автоматичному режимі без участі власника.

Щоб надіслати адресу іншій людині, клієнт повинен зробити запит до реєстратора, щоб статус зняли на час перенесення. Для цього слід підтвердити своє право на домен. Це дозволяє уникнути ситуацій, коли хакер зламує базу та здійснює трансфер на свої дані.

І хоча цей статус майже у всіх постачальників послуги стоїть за умовчанням, потрібно уточнювати його наявність.

#6 Двоетапна авторизація

Що таке двоетапна автентифікація ви точно знаєте, її часто використовують для акаунтів у банку, соцмережі, поштовому сервісі. Навіть маючи логін та пароль, в обліковий запис можна потрапити лише після підтвердження своєї особи за допомогою дзвінка на авторизований телефон або повідомлення з кодом.

Таку аутентифікацію можна налаштувати також в обліковому записі реєстратора доменного імені або провайдера вашого хостингу. За замовчуванням вона не підключається, але є абсолютно безкоштовною.
Налаштуйте двофакторну авторизацію скрізь, де можливо.

При налаштуванні ви прив'язуєте до облікового запису свій номер телефону. При вході в сервіс, крім логіну та паролю, потрібно ввести код із СМС або одноразовий код зі спеціальної програми на смартфоні (також прив'язується до вашого облікового запису в сервісі). Крім вас, цей код ніхто не отримає, а значить, і увійти в обліковий запис не зможе.

Двоетапна перевірка Google

Ось кілька інструкції для налаштування двофакторної авторизації:

Нехтувати цим способом захисту ризиковано. Якщо хакер дізнається ваш пароль від пошти, то зможе змінити паролі від інших облікових записів — адмінки магазину, хостингу, домену.

#7 Безпека ПК

Намагайтеся не заходити у свої акаунти з чужих комп'ютерів, особливо доступних в інтернет-кафе або коворкінгах. Якщо ви будете недостатньо обережні, вашим логіном та паролем може скористатися сторонній користувач та увійти до облікового запису.

Якщо доводиться працювати з чужих комп'ютерів:

#8 Оновлення програм 

Встановіть нові версії програм, у кожній новій версії розробники усувають уразливості та роблять програми надійнішими та безпечнішими. Те саме стосується браузерів та операційних систем. Програма зазвичай сама «просить» встановити оновлення або робить це автоматично.

Перевірте, чи ви оновилися до останньої версії. Якщо ні, зробіть це якомога швидше.

Оновлення браузерів:

Оновлення операційних систем смартфона та планшета:

Оновлення операційних систем:

Оновлення магазину

Магазини, побудовані за допомогою хмарних конструкторів, автоматично оновлюються без вашої участі. Це клопіт самого сервісу.

Магазин на CMS (наприклад WordPress.org), які вимагають хостингу, потрібно оновлювати. Слідкуйте за виходом оновлень та встановлюйте їх якомога раніше. Крім цього, при виявленні вразливостей розробники програм публікують додатковий засіб — патчі безпеки. Це оновлення програмного забезпечення для виправлення проблем.

Неважливо для якої програми ви хочете встановити патч, це завжди робиться приблизно однаково:

1.Перевірте, чи встановлена у вас остання версія оновлення програмного забезпечення. Наприклад, у WordPress ця інформація зазначена у пункті меню «Оновлення»:
Меню «Оновлення» у WordPress

Або пошукайте версію програми у меню «Про програму». Про останні оновлення також можна дізнатися на офіційному сайті виробника програми в розділі «Оновлення», «Релізи», Downloads.

2.Якщо останнє оновлення не інстальовано, завантажте його на комп'ютер, розпакуйте, якщо воно заархівоване, і запустіть. На екрані з'явиться вікно, в якому потрібно натиснути «Далі». Якщо майстер установки запитує вас про місцезнаходження програми, натисніть «Огляд» і виберіть папку, де знаходиться файл програми з розширенням exe.
3.Дотримуючись підказок майстра установки. Наприкінці натисніть «Готово».
4.Після встановлення комп'ютер запропонує перезавантажитись. Якщо ні, все одно перезавантажте його самі.
5.Після перезавантаження відкрийте програму та переконайтеся, що оновлення встановлено. У розділі «Про програму» мав змінитися номер версії.

#9 Використання HTTPS протоколу

Протокол HTTPS — це правило, за якими передаються всі дані від пристрою до пристрою. Інформація передається у зашифрованому вигляді (на відміну від протоколу HTTP, який дані не шифрує).

Налаштування протоколу HTTPS захищає користувачів від крадіжки персональної інформації та платіжних даних (ім'я, реквізити банківських карток, адреса, телефон). Тому кожен інтернет-магазин має його використовувати.

Так у Google Chrome та Firefox відзначені сайти, що працюють за протоколом HTTPS

Сайти, що працюють за протоколом HTTPS у Google Chrome та Firefox

Не відкладайте перехід на протокол HTTPS, адже на власниках інтернет-магазинів особлива відповідальність — їм довіряють особисті дані тисячі людей.

Serpstat допоможе перевірити сайт на технічні помилки, пов’язані з безпечними протоколами. Ряд таких попереджень міститься у звітах Аудиту сайту.

 Аудиту сайту Serpstat

#10 Резервні копії

Резервна копія (бекап) — це повна копія вашого сайту, що зберігається на випадок технічних проблем, злому або втрати інформації основного сайту. Якщо така копія існує, сайт можна буде відновити й очистити від шкідливих шматків коду, залишених хакерами.

Робити резервне копіювання потрібно раз на місяць і лише магазинам, що зберігаються на власному хостингу. Часто хостинги роблять бекапи автоматично, це питання варто задати технічній підтримці вашого сервісу.

Якщо ваш хостинг не робить бекапи, ось інструкції для популярних платформ:

Висновки

Щоб захистити свій сайт від зловмисників та зберегти дані клієнтів використовуйте цей чек-лист:

1.Реєструйте домен лише на своє ім'я. Оберіть реєстратора не за ціною, а за надійністю. Якщо довірили реєстрацію домену підряднику — перевірте whois домену — власником повинні бути вказані ви.
2.Хостинг також реєструйте на своє ім'я. Обирайте хостинг, який має послугу резервного копіювання.
3.Подбайте про надійний пароль для кожного сервісу та програми, якими користуєтеся. Використовуйте генератори паролів.
4.Не надавайте співробітникам свої логін та пароль для входу до адмінки магазину. Надайте гостьовий доступ, якщо є така можливість.
5.Для зберігання паролів встановіть спеціальну програму.
6.Налаштуйте двофакторну авторизацію в соцмережах та на пошті. Тоді зловмисники не зможуть увійти в обліковий запис, навіть якщо дізнаються ваш логін та пароль.
7.Намагайтеся не заходити в адміністративні панелі з чужих комп'ютерів. Якщо доводиться, не ставте галочку «Зберегти пароль» і виходьте зі свого облікового запису, очищуючи дані веб-переглядача.
8.Встановлюйте нові версії програм та операційних систем. Не відмовляйтеся, якщо програма пропонує оновлення.
9.Налаштуйте протокол HTTPS для захисту користувачів від крадіжки персональної інформації та платіжних даних.
10.Якщо ваш хостинг не робить резервних копій сайту, робіть їх самостійно після кожного оновлення сайту.

Половина наших порад не стане в нагоді, якщо ваш інтернет-магазин створений за допомогою надійного хмарного конструктора.

Думка авторів гостьових дописів може не збігатися з думкою редакції та спеціалістів Serpstat.

Оцініть статтю за п’ятибальною шкалою

Ця стаття вже була оцінена 4 людьми середньою оцінкою 5 із 5 можливих
Знайшли помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Використовуйте кращі SEO інструменти

Перевірка зворотніх посилань

Швидка перевірка зворотніх посилань вашого сайту та конкурентів

API для SEO

Отримайте швидко великі обсяги даних за допомогою функціонального SЕО API

Аналіз конкурентів

Зробіть повний аналіз сайтів конкурентів для SEO та PPC

Моніторинг позицій

Відстежуйте зміну ранжування цільових запитів використовуючи моніторинг позицій ключів

Поділіться статтею з вашими друзями

Ви впевнені?

Знайомство з сервісом

Serpstat економить час, як і ми готові заощадити ваш, на знайомстві з ключовими можливостями сервісу.

Наш фахівець зв'яжеться з вами і за підсумком запропонує відповідний варіант, який може включати персональну демонстрацію, пробний період, навчальні статті та записи вебінарів, консультацію фахівця, а також комфортні умови для старту використання Serpstat.

Ім’я

Введіть адресу електронної пошти

Телефон

Будемо раді вашому коментарю

Дякуємо, ми зберегли ваші нові налаштування розсилок.

Повідомити про помилку

Скасувати
Відкрити чат технічної підтримки
mail pocket flipboard Messenger telegramm