|
 |
| |
Уважаемые читатели!
|
Еще пещерный человек быстро понял, что мало добыть на охоте звериную тушу — нужно еще и уметь защитить свое право на нее перед другими. Так и современному манимейкеру помимо зарабатывания денег стоит задуматься о том, как бы эти деньги сохранить, да понадежнее. Люди не склонны думать о безопасности до тех пор, пока не случится что-то непоправимое. После этого можно обвинять кого угодно: себя, что заранее обо всем не подумал;
|
злоумышленника, за то, что вообще появился на свет; бывалых коллег, что не предупредили.
Риски, которые поджидают манимейкера почти на каждом шагу, довольно неочевидны, и могут долгое время не проявлять себя, но это лишь до тех пор, пока уровень его заработка не станет привлекательным для злоумышленников, которые не преминут воспользоваться дырами в безопасности вашего сайта, платежной системы, а зачастую и законодательства.
В этом выпуске рассылки мы поговорим о том, как спать спокойнее по ночам, зная, что ваш доход надежно защищен от грязных лап сетевых мошенников.
|
|
|
Артем Коновальчук, редактор рассылки TrustLink
|
 |
 |
| |
Пароли
Самые простые вещи зачастую самые важные. Надежные пароли от панели управления хостингом, ftp-сервера и почты, на которую зарегистрирован домен — первая и самая главная линия вашей защиты. Если хотя бы один из этих паролей будет взломан, ваш сайт и весь заработок с него будут под серьезной угрозой.
Элементарные правила использования паролей
-
Никогда не храните пароли в текстовом файле или в письмах на своем почтовом ящике.
-
Не сохраняйте пароли в браузере или ftp-клиенте.
-
Пароли должны быть длинными и сложными. Да, их нужно помнить, и да, их потом долго вводить.
-
Регулярно меняйте пароли. Для ftp сайта и почты, на которую он зарегистрирован — раз в месяц.
-
Проведите аудит своих паролей при помощи программы Windows Password Analyser или подобного сервиса.
Не так давно, после взлома сети PSN, в сети появился торрент-файл с длинным списком паролей пользователей сервисов Sony. Как оказалось, культура использования паролей у большинства пользователей не то что ужасна, а отсутствует напрочь.
Вот лишь некоторые результаты:
-
Менее 1% паролей содержат не буквенные и не числовые символы.
-
Всего 4% паролей состояли из 3-х и более типов символов (имеются в виду прописные, строчные буквы, цифры и прочие символы).
-
93% паролей имеют длину от 6 до 8. Примерно такую минимальную длину требует большинство сайтов, и мало кто стремится выходить далеко за этим пределы.
-
Почти половина всех паролей состоит только из букв нижнего регистра.
-
Если пользователь зарегистрирован сразу в нескольких службах, в 92-х процентах случаев он использует везде один и тот же пароль.
Чем сложнее пароль — тем больше машинного времени требуется на его подбор, а мощности компьютеров растут с каждым днем. То есть реального времени на взлом паролей требуется все меньше (конечно, только в случае брутфорса).
Так что самый главный совет по составлению пароля прост: «Пароль должен быть таким, чтобы вы сами могли запомнить его с большим трудом».
И не храните пароли на компьютере. Есть много бесплатных программ, позволяющих хранить все свои пароли в зашифрованном виде так, что вам придется помнить только один главный пароль, а взломать остальные будет практически невозможно. Попробуйте программы
KeePass или Password Safe.
Бэкапы
Люди делятся на две категории: те, кто уже делает бэкапы, и те, кто пока не делает. Это отнимает время, но для любой платформы можно настроить автоматический бэкап раз в неделю, а то и чаще. Чем больше обновляется сайт — тем чаще нужно делать резервные копии.
Самые ответственные вебмастера регулярно держат бэкапы в DropBox'е, рассылают архивы себе на почту и даже записывают их на DVD.
Даже если ваш провайдер объявляет себя самым надежным в мире и дает всевозможные гарантии, отказываться от бэкапов не стоит. Так, в апреле 2010 года дата-центр «Оверсан-Меркурий» отключил сервера хостившейся у них компании «Макхост», что привело к отключению 30 000 сайтов. Тогда ситуацию удалось выправить, и в итоге крупных убытков не понесли ни хостинг, ни его клиенты. Однако, это был тревожный знак, что даже сайты, которые хостятся у одного из крупнейших провайдеров России, не могут чувствовать себя в безопасности и должны всегда иметь актуальные резервные данные.
Защита электронных денег
Прибыль с большинства видов заработка вебмастер получает электронными деньгами. Если из вашего электронного кошелька исчезнет значительная сумма, можно очень долго писать в саппорт и приводить доказательства вашей непричастности — но это вряд ли поможет. Поэтому уже заработанные деньги стоит хранить с особой бережностью.
Поэтому:
-
Не пренебрегайте стандартными средствами защиты WM:
- подтверждение транзакций через sms;
- регулярное обновление версии ПО;
- блокировка по IP.
-
Не храните файл ключей на компьютере.
-
При возможности используйте для WebMoney Keeper Classic отдельный компьютер.
-
Не оставляйте WebMoney Keeper открытым без необходимости.
-
Регулярно проверяйте компьютер на вирусы и трояны.
-
Не указывайте свои реквизиты при небезопасном соединении.
Важность хорошего хостинга
Некоторые не очень добросовестные хостинги при покупке домена регистрируют его на себя (якобы, для простоты). В результате по факту пользователь не является хозяином своего доменного имени, и, если хостинг решит присвоить сайт себе, доказать что-то кому-то будет практически невозможно. Для него это будет железным аргументом, если вы будете не вовремя продлевать регистрацию или захотите сменить хостинг. Поэтому обязательно отбивайте у хостинга свое доменное имя.
Пример того, чем может закончиться переписка с хостингом, если сразу правильно не оформить домен на себя,
здесь.
HTML- и JS-код в комментариях
Еще одна возможность для взлома возникает в случае, если оставить в настройках CMS возможность внедрения в комментарии работающих фрагментов кода HTML или JavaScript. Например, в CMS DLE эта опция по умолчанию активирована.
Наиболее распространенным вирусом такого рода является iframe-вирус. Состоит из нескольких строчек кода вида <iframe>...</iframe>. Все, что он делает, это ворует пароли из вашего ftp-клиента. Располагаться может в любом из файлов, чаще всего — сразу во многих.
Что делать, если сайт был заражен?
-
Меняем пароль в панели управления хостингом.
-
Удаляем пароль, сохраненный в ftp-клиенте. Меняем пароль и отныне вводим пароль вручную.
-
Заходим на ftp, сортируем все файлы по дате последнего изменения. Зараженными скорее всего будут файлы, измененные последними, и даты последнего изменения будет совпадать или близки друг к другу.
-
Особое внимание уделяем файлам index.php, index.html и файлам *.js, а также участки кода со счетчиками и рекламными блоками.
-
Смело удаляем все подозрительные участки, а также простыни вида “NTNEQUQ5KSsxO31pZigkUjMwQzE0OTZEMD”.
Вредоносный код — не такая уж редкая проблема. Поэтому в инструментарии для вебмастеров в Яндексе и Google есть утилита для проверки сайта на наличие червей, эксплоитов, подозрительные java-скрипты и тому подобного. При наличии таких участков эти сервисы прямо укажут вам строчку кода, в которой может содержаться нечто вредное. Подобно обычным антивирусам, их базы регулярно обновляются.
Наиболее надежными в плане безопасности считаются сайты, написанные с использованием Python и Ruby on Rails, так как в них у программиста изначально не так много шансов оставить дыру в коде. Если вы работаете с PHP, обязательно ознакомьтесь с основными правилами безопасного программирования, например
здесь.
Пример внедрения не особо вредоносного кода в комментарии:
В одной из давних версий движка LiveJournal была дыра, благодаря которой можно было оставить в комментарии кусочек кода, и весь экран заполнялся каким-то повторяющимся изображением. Стоит ли говорить, что, как только это стало известно, на самые популярные журналы тут же набежала орда троллей и начала захламлять все посты непристойными картинками. Сейчас этот баг исправлен.
Диверсификация рисков
В жизни случается всякое:
- любой сервис рискует заглохнуть и обанкротиться;
- может выйти закон, который сделает нелегальной вашу налаженную систему заработка;
- дата-центры тоже иногда горят, унося с собой на тот свет сотни сайтов без какой-либо возможности восстановления;
- Яндекс выпускает очередной апдейт — и ваш сайт падает в бездны выдачи, где его даже носитель маниакального синдрома не найдет.
Все это будет неприятным, но не смертельным, если у вас не один, а несколько видов заработка. Конечно, хотелось бы полностью посвятить себя делу, которое дает наибольшие барыши, но риск потерять все в одно мгновение может оказаться сильнее крупной прибыли из одного источника.
К сожалению, не всегда удается обойтись информационной безопасностью.
Комикс с xkcd.ru
Если вдруг что-то случится с вами?
Совершенно не хочется вас запугивать, но сами знаете — ситуации в жизни бывают разные, вплоть до кошмарных. Как только ваши проекты начнут приносить значительный доход, вам обязательно нужно найти человека, которому вы полностью доверяете, который сможет распорядиться выводом денег с ваших счетов на случай, если с вами что-то случится.
От неприятных ситуаций никто не застрахован, а наличие доверенного лица даст вам дополнительную уверенность, что ваши виртуальные деньги смогут принести вам же реальную помощь в случае, если вы — не дай бог, конечно — будете находиться в коме или другом нехорошем состоянии.
Хорошо, если это будет кто-то из родных или деловой партнер, с которым вы ведете свои проекты и про которого можно со стопроцентной уверенностью сказать, что он не сбежит с вашими деньгами.
Кто бы смог закончить этот выпуск рассылки лучше, чем Уинстон Черчилль? А он знал, что «За безопасность необходимо платить, а за ее отсутствие — расплачиваться»
|
|
|
 |
| |
Внимательные пользователи уже успели заметить на нашем сайте новый раздел «Аудиты», а самые активные уже прислали нам на оценку свои сайты с описанием способов его монетизации.
Сегодня вы можете ознакомиться с первым аудитом сайта, который прислал нам Илья Соболь.
У него весьма симпатичный и полезный блог, посвященный созданию и продвижению сайтов. А мы дадим ему несколько советов, как повысить ежемесячный заработок.
Полную версию аудита читайте на нашем сайте.
|
|
|
 |
|
| |
Вопрос:
Подал заявку на вывод средств. Когда выведут деньги? Можно ли ускорить вывод?
Ответ:
Заявки на вывод средств обрабатываются в порядке очереди их поступления, в автоматизированном режиме. Деньги выводятся на следующий РАБОЧИЙ день. Заявки поданные в пятницу - чаще всего обрабатываются в понедельник.
При ошибках в номере кошелька или невозможности вывести средства на указанный кошелек - служба поддержки в обязательном порядке напишет Вам в системе тикетов письмо с причиной, устранив которую вы сможете получить деньги.
|
|
|
|
|
| |
Вопрос:
Я сменил кошелек в своем аккаунте, когда я смогу вывести деньги на новый кошелек?
Ответ:
Для Вашей безопасности, при смене или добавлении R или Z кошелька, Вы сможете вывести средства на новый кошелек через семь дней с момента смены кошелька.
|
|
|
|
|
|
| |
Вопрос:
За счет чего обеспечивается быстрый выкуп ссылок?
Это возможно за счет оптового приобретения ссылок нашими партнерами: крупнейшими SEO-компаниями России, с которыми у нас заключены прямые договоры. Также Система SeoPult, является одним из основных покупателей ссылочной биржи TrustLink и производит закупку по собственным каскадам фильтров.
|
|
|
|
|
|
| |
По всем вопросам, касающимся этой рассылки, обращайтесь subscribe@trustlink.ru.
При перепечатке материала активная ссылка на www.trustlink.ru обязательна.
Нам очень важно знать мнение наших читателей о выпуске рассылки. Просим вас оценить этот номер:
|
|
|
Написать комментарий