Доступи до сайту та домену: як захистити свій онлайн-бізнес від несанкціонованого втручання
Реєстрація сайту та домену — це обов’язковий етап, що несе в собі небезпеку, якщо пропустити важливі фактори ризику. Окрім цього, небезпека криється також у зміні підрядника або перенесенні сайту з одного хостинга на інший.Розгляньмо важливі категорії доступів і чому їхній захист має вирішальне значення. Дізнайтесь, як уникнути конфліктів, непорозумінь і зберегти доступ до сайту в будь-якій ситуації.
У цьому матеріалі розглянемо такі фактори ризику:
- початкова реєстрація сайту та домену;
- перенесення домену на інший реєстратор;
- доступ кількох осіб до системного файлу та внесення змін;
- аутентифікація при входу в систему керування сайтом.
Доступи до сайту та хостингу
Домен — це унікальна назва сайту з букв і цифр, прийнятна для користувачів та зручна для пошуку в мережі. Другої такої назви бути не може. Саме тому важливо реєструвати доменне ім’я, щоб ним могли користуватись тільки ви. Особливо, якщо мова йде про назву бренду чи компанії, з яким має асоціюватися доменне ім’я.
Хостинг — це місце на сервері, яке орендує власник сайту для розміщення файлів, пов’язаних із сайтом. Оренда місця чи хостинг — це платна послуга, і своєчасна оплата оренди гарантує доступ до сайту.
Можливі варіанти, коли компанія або фрилансер, який розробляв сайт, реєструє доменне ім’я, або обліковий запис хостингу, на себе. Раніше таке було постійно, коли молоді агенції чи фрилансери-початківці пропонували при замовленні сайту домен і хостинг у подарунок. Багато замовників, не усвідомлюючи ризики, на це погоджувалися.
Основною проблемою є те, що в такому разі домен і хостинг не належать вам, а підряднику. Втрата домену і хостингу — це втрата сайту та проєкту взагалі.
Можливі причини, з яких ви можете втратити свій сайт:
- Підрядник, який реєстрував вам домен і хостинг, перестав виходити на зв’язок. Це може статися з будь-яких причин, свідомо чи ні.
- Підрядник перестав продовжувати оренду домену або вчасно не вніс платіж.
- Ви сплатили продовження домену та/або хостингу безпосередньо підряднику, а він привласнив ваші гроші.
Реєструйте домен та хостинг на ваші реальні ПІБ, email та номер телефону. У такому разі ви зможете:
- Отримувати повідомлення про продовження оренди хостингу на пошту та вчасно вносити платежі.
- Отримувати сповіщення про працездатність сайту у разі злому чи збоїв у дата-центрі.
- Відновити доступи до сайту чи домену у разі злому та інших шахрайських дій.
- Самостійно керувати налаштуваннями платежів.
Якщо це не зробити, то всі питання доведеться вирішувати через підрядника, а він може бути недоступний з будь-яких причин. Якщо підрядник вчасно не продовжить оренду домену, його зможе забрати в оренду будь-хто охочий, аж до ваших конкурентів.
Щоб швидко перевірити, кому належить домен вашого сайту, скористайтеся сервісом WHOIS. Введіть свій домен, і побачите, на кого він зареєстрований.
Приклад перевірки домену rozetka.ua
Зміна власника домену
Перенесення домену до іншого реєстратора — це зміна компанії, в якій обслуговується домен. Це може знадобитися з різних причин. Наприклад, домен зареєстрований на підрядника, і ви вирішили змінити ситуацію, і отримати повноцінні права та доступи до керування доменом. Перенесення на обраний вами реєстратор та отримання прямого доступу збільшить безпеку сайту та вашого проєкту взагалі.
Приклади реєстраторів доменних імен: GoDaddy, HOSTIQ, TheHost тощо. Всі реєстратори доменних імен є учасниками єдиної системи: якщо ви зареєстрували домен в одному з таких сервісів, всі інші покажуть, що це доменне ім’я тепер зайняте і не можуть його використовувати.
Процес передачі власника домену з одного реєстратора на інший зазвичай реалізується за правилами реєстратора, на якому домен був куплений раніше. Як правило для такої процедури потрібно надати документи на підтвердження особи поточного власника. Тобто, якщо зараз домен зареєстрований на вашого підрядника, треба надати його документи та ваші — як нового власника, і оформити процес передачі прав на домен.
Як перенести домен
Опишемо в загальних рисах, як відбувається передача прав на домен від одного власника домену іншому. Не приводимо приклад конкретного реєстратора, бо процедура може відрізнятись, але в цілому алгоритм подібний. Різниця може бути тільки в специфіці самого реєстратора або вашої ситуації з колишнім та новим власником домену.
Виберіть новий реєстратор доменних імен, куди ви хочете перенести свій домен. Переконайтеся, що новий реєстратор має опцію перенесення домену. Це може називатися трансфер домену, у цієї послуги може бути окрема сторінка або вона буде в переліку всіх доступних послуг реєстратора. Або подивіться справочну інформацію сайту, FAQ тощо.
Приклад сторінки «Трансфер домену» на сайті HOSTIQ
Зверніть увагу, що перенесення домену може бути платним. Точну вартість можна уточнити у техпідтримки обраного реєстратора доменів
Переконайтеся, що ви маєте доступ до облікового запису на поточному реєстраторі: авторизуйтесь і подивіться свої права доступу в особистому кабінеті, або уточніть у підрядника, якщо є така можливість. Подвиться записи про поточні налаштування домену, наприклад, DNS-записи, контактні дані тощо.
Наприклад, довідка GoDaddy про те, що таке DNS та як з ним бути.
Увійдіть до свого облікового запису на новому реєстраторі та знайдіть опцію «Перенести домен» або подібне. Краще на цьому кроці написати у техпідтримку нового реєстратора та запросити у них покрокову інструкцію. Якщо така послуга є на сайті, то спеціалісти готові допомогти в цьому.
Новий реєстратор може запросити підтвердження ваших контактних даних, щоб переконатися, що ви є власником домену.
Дотримуйтесь інструкцій технічної підтримки або покрокової інструкції, наданої новим реєстратором.
Після успішного перенесення переконайтеся, що DNS-записи, налаштування та всі необхідні параметри домену правильно налаштовані на новому реєстраторі.
Системи контролю версій — Version Control System, VCS
Нерідко буває, що дії різних програмістів не узгоджені, і один фахівець може випадково «затерти» роботу іншого. Таке може статися якщо кожен з них вносить зміни до одного і того ж системного файлу. Якщо на вашому проєкті працюють різні команди програмістів, керування кодом через системи контролю версій, такі як GIT, дозволить скоординувати їхню роботу та забезпечити безпечне зберігання різних фрагментів коду.
Якщо сайт працюватиме некоректно, можна відстежити хронологію зміни файлів та скасувати внесені змін і відновити попередню версію документа. Це як подивитися, хто редагував останній текст у загальному Google Документі, адже ви можете за допомогою функції «Історія версій« відкотити зміни до потрібної вам.
Ви можете публікувати зміни функціоналу у той час, коли на сайті мінімальна кількість користувачів, наприклад о 00.00 у неділю. Це важливо, оскільки дозволяє мінімізувати втрати конверсій в пікове навантаження відвідуваності сайту вдень тощо. Наприклад, на сайті піцерії в нічний час немає замовлень і оновлення частини файлів сайту можна проводити без наслідків для бізнесу. Налаштовуйте це в самій системі.
Додаткове підтвердження входу — двофакторна аутентифікація
Аутентифікація — це процес перевірки справжності або посвідчення особи користувача, системи або пристрою. У контексті інформаційної безпеки, аутентифікація потрібна для гарантії того, що користувач, який намагається отримати доступ до системи або даних на сайті хостера або реєстратора доменних імен, справді той, за кого себе видає.
Двофакторна аутентифікація (2FA) – це метод забезпечення безпеки, який вимагає від користувача надати два різні елементи підтвердження своєї особи перед отриманням доступу до системи або сервісу. Ці два фактори зазвичай включають щось, що користувач знає (наприклад, пароль) і щось, що користувач має (наприклад, пристрій для генерації тимчасових кодів).
Зазвичай для аутентифікації користувача використовується логін. У ролі логіну може виступати номер телефону, адреса електронної пошти, або унікальний нікнейм, і він має бути унікальний. Тому, якщо ви вже одного разу реєструвалися в сервісі (наприклад, по email), то при повторній спробі реєстрації ви побачите повідомлення «такий користувач вже зареєстрований у системі», чи подібне. Кожен сервіс має свою базу користувачів. Якщо ви там одного разу зареєструвалися, email буде зайнятий.
Пам’ятаємо, що доступи до пошти або номера телефону можуть змінитися, або їх можуть перехопити шахраї за допомогою своїх технологій. Тоді зловмиснику достатньо буде просто ввести логін та пароль, і зламати обліковий запис.
Щоб уникнути подібних проблем, рекомендуємо налаштувати двофакторну аутентифікацію.
Приклади двофакторної аутентифікації
- Щось, що ви знаєте (логін) + пароль: це стандартне поєднання. Користувач вводить свій логін та пароль для підтвердження особи.
- Щось, що є тільки у вас: генератор тимчасового коду.
Це може бути мобільний пристрій, на якому є програма для генерації тимчасових кодів, наприклад, Google Authenticator або Authy. Після введення логіну та пароля користувачеві також потрібно ввести тимчасовий код, який генерується пристроєм і дійсний протягом короткого часу.
Приклад генерації кодів у додатку Google Authenticator
Головна перевага двофакторної аутентифікації — підвищений рівень безпеки. Навіть якщо зловмисник дізнається пароль, йому також знадобиться доступ до пристрою користувача для отримання тимчасового коду. Це ускладнює завдання несанкціонованого доступу та підвищує захист облікового запису.
Короткі посилання
Якщо ви отримали повідомлення, що містить скорочене посилання, не поспішайте клікати на лінк. Є фішингові технології, що перехоплюють ваші дані та можуть отримати доступ до сайту. Не переходьте і тоді, коли відправник вам знайомий, але пропонує вам дещо дивне. Останнім часом почастішали зломи Telegram-акаунтів, де шахраї навіть підбирають манеру спілкування, щоб людина не запідозрила обман. Краще голосом уточнити, чи відправляла людина посилання, та куди воно веде.
Так виглядає скорочене посилання
Захистіть свій сайт і бізнес від шахраїв чи небезпечних ситуацій
- Завжди реєструйте хостинг та домен на свої реквізити, до яких у вас є стабільний доступ.
- Використовуйте реальні дані для реєстрації в сервісах.
- Увімкніть автоматичне продовження послуг у сервісах реєстрації домену та хостингу
- Змінюйте паролі щоразу після зміни підрядника.
- Змінюйте паролі з певною періодичністю, наприклад, раз на три або шість місяців.
- Використовуйте складні паролі з різним регістром символів, що включають цифри та спеціальні символи — тут вам допоможе генератор паролів.
- Використовуйте GIT або аналогічну систему контролю версій, якщо на проєкті працює кілька розподілених команд.
- Налаштуйте двохфакторну аутентифікацію там, де це можливо.
- Не переходьте за короткими посиланнями від незнайомих відправників.
Враховуйте кожен пункт, і ваш сайт буде краще захищений від будь-якого втручання зі сторони або необачної втрати доступу.