С 24.02.2022 в связи с международными санкциями против РФ всем российским компаниям, а также частным лицам необходимо принять ряд специальных мер по безопасности своих интернет-проектов. Здесь вы можете прочитать про основные рекомендации, необходимые действия, а также дополнительную информацию по данной теме.
Мы рекомендуем всем корпоративным клиентам обязательно ознакомиться с этой информацией — это поможет не потерять сайт и клиентов.
В тексте есть ссылки на другие ресурсы, которые могут быть полезны в рамках данной темы.
Коротко о главном
Если сайт так или иначе зависит от зарубежных ресурсов и/или компаний, то от таких зависимостей лучше избавиться как можно быстрее.
Общее правило:
Чем меньше сайт зависит от сторонних ресурсов, тем лучше. Это очень старое правило, которым часто пренебрегают. К ситуации с санкциями его возникновение отношение не имеет, но это стало особенно актуально именно теперь.
Для каждого сайта вопросы внешних зависимостей, а также иные подобные проблемы, решаются индивидуально и часто требуют внесения изменений в программный код сайта.
Какие проблемы могут возникнуть с сайтом
Это, конечно, не полный список. Мы дополним страницу, если появится что-то ещё.
- Сайт использует зарубежный или международный домен
Пока проблем с иностранными доменами нет. Но всё может измениться в любой момент. - Сайт размещён на зарубежном хостинге
Критично! Рекомендуем перенести сайт на российский хостинг. - Сервер, на котором расположен сайт, физически расположен не в России
Критично! Полностью аналогично предыдущему пункту. - Некоторые ресурсы сайта загружаются с зарубежных серверов
Рекомендуем сохранить все внешние ресурсы (JS/CSS и пр.) на сервер вашего сайта. - Сайт использует SSL сертификат, выпущенный компанией, прекратившей работу с РФ
Критично! Необходима срочная замена сертификата. - Сайт основан на иностранной платформе (CMS)
Критично только если это облачная платформа. Но меры всё равно принять следует. - Сайт использует иностранные компоненты (плагины) в составе CMS
Возможна блокировка части функционала сайта. Решение проблемы индивидуально. - Сайт использует зарубежные прокси-серверы
Критично! Необходим отказ от зарубежных CDN (полностью или в пользу российских аналогов). - Для взаимодействия с клиентами используется иностранное ПО
Предусмотреть альтернативные каналы связи. - Сайт подвергается DDoS атакам или спаму
Для обычных сайтов не актуально, но если это случилось, подключите защиту от DDoS. Также нужно защитить формы на сайте. - У вас нет резервных копий сайта
Обязательно сделать полную копию сайта и базы данных.
Ниже мы рассмотрели перечисленные вопросы подробно. В самом низу страницы вы найдёте дополнительные рекомендации.
Сайт использует зарубежный или международный домен
Напоминаем, что доменные имена не покупаются, а арендуются!
В настоящее время каких-либо проблем с работой иностранных и международных доменов нет, то есть сайты работают без проблем. Однако всегда остаётся вероятность блокировки иностранных доменных имён, принадлежащих российским компаниям. Учитывая скорость, с которой развиваются события в последнее время, вероятность блокировки или снятия делегирования (отзыва домена) существует.
Уже достаточно давно мы рекомендуем всем своим клиентам регистрировать домены только в зоне RU. Это прежде всего логично, если компания работает на территории РФ. А теперь ещё и безопасно.
Если же у сайта российской компании уже есть домен и он находится не в зонах RU, РФ или SU, то теоретически это ставит существование сайта под угрозу в будущем.
Рекомендация:
Зарегистрируйте запасной домен в зоне RU — его можно будет использовать в случае необходимости.
Допустим, есть домен company.com, тогда резервный домен будет company.ru
Мы не рекомендуем прямо сейчас менять доменное имя сайта, поскольку в настоящее время в этом нет необходимости. Тем более что при смене домена возможна потеря посещаемости сайта.
Смена домена — серьёзный шаг (особенно если это старый домен, а сайт имеет хорошую посещаемость). Однако пока можно предпринять другие действия. Прежде всего это почта, размещённая на домене.
Рекомендация:
Если у вас иностранный (международный) домен и есть почта на этом домене, то лучше всего перенести почту на российский домен. В том числе можно использовать проверенные временем почтовые сервисы Яндекс или Mail.RU.
Обратите внимание, что если от почты на иностранном (международном) домене зависят другие учётные записи, то отключение домена повлечёт за собой огромное количество проблем, прямо пропорциональное количеству таких учётных записей.
Если с почтой ситуация именно такая, мы рекомендуем немедленно её исправить. Да, это долго. Но зато при потере домена вы не потеряете другие учётные записи.
Сайт размещён на зарубежном хостинге
Возможно прекращение обслуживание сайта! Рекомендуем перенести сайт на российский хостинг.
Смена хостинга, в отличие от смены доменного имени, никак не повлияет на посещаемость сайта. Поэтому это можно сделать в любой момент. Также мы рекомендуем немедленно сделать полную резервную копию сайта и скачать её на физический носитель.
Сервер, на котором расположен сайт, физически расположен не в России
Даже если хостинг российский, но сервер, на котором размещается сайт, физически расположен в дата-центре за пределами РФ, ситуация получается полностью аналогичной использованию зарубежного хостинга.
Некоторые российские хостинг-провайдеры предоставляют услуги размещения сайта на серверах в Европе или США. Это имеет определённый смысл для компаний, сайты которых предназначены для аудитории этих стран. Однако в текущих условиях это неприемлемо и может привести к проблемам.
В данном случае нужно перенести сайт на сервер, расположенный в дата-центре на территории России. Если хостинг-провайдер российский, то хостинг менять не нужно (только сервер). По данному вопросу можно обратиться в поддержку хостинга.
Резервную копию также нужно сделать немедленно!
Некоторые ресурсы сайта загружаются с зарубежных серверов
Достаточно распространённой практикой является загрузка некоторых ресурсов с других сайтов. Вот типичные примеры:
- JavaScript библиотеки (JQuery или другие);
- Шрифты (чаще всего с серверов Google);
- CSS (файлы стилей; обычно это части каких-то плагинов);
- Системы сбора статистики (Pixel Facebook точно не работает и вызывает ошибку, могут быть и другие)
Также бывают случаи загрузки картинок, но это бывает реже.
Если ресурсы, загружаемые со сторонних серверов, станут недоступны, функционал и/или внешний вид вашего сайта может пострадать. Особенно это касается JavaScript библиотек.
Мы рекомендуем устранить все подобные зависимости в кратчайшие сроки! Для этого необходимо все «внешние» ресурсы скачать с источника в папку на вашем сайте и загружать уже со своего сайта.
Обратите внимание, что подобные действия потребуют внесения изменений в программный код сайта, а также последующего тестирования во избежание ошибок в работе сайта.
В целом мы рекомендуем не создавать зависимости сайта компании от каких-либо сторонних ресурсов. Это было актуально всегда, но сейчас особенно.
Сайт использует SSL сертификат, выпущенный компанией, прекратившей работу с РФ
Здесь возможны два варианта:
- Если сертификат сайта будет отозван, сайт перестанет работать сразу же.
- Если пропадёт возможность продления сертификата, до окончания срока его действия можно будет принять соответствующие меры.
В настоящий момент в пользователями из России перестали работать следующие сертификационные центры:
- Sectigo (бывший Comodo) отклоняет заказ и продление SSL-сертификатов для доменов .ru / .рф
Проблем с американским издателем Let`s Encrypt пока не обнаружено.
В случае проблем с SSL сертификатом сайта необходимо будет установить сертификат другого удостоверяющего центра. Это несложно в большинстве случаев, но бывают исключения.
Сайт основан на иностранной платформе (CMS)
Здесь отдельно следует рассматривать 2 варианта:
- Локальная копия CMS
Рекомендуем отключить обновления платформы. Возможно это временная мера, но в данный момент это может защитить сайт от блокировки при очередном обновлении. - Облачная версия CMS
Здесь, к сожалению, обычно ничего не сделать. Если есть возможность, нужно зарезервировать все данные (контент) сайта. В случае отключения сайта контент можно будет использовать для создания нового сайта на другой платформе.
Мы рекомендуем использовать для создания сайтов только профессиональные платформы (CMS), разработанные российскими IT-компаниями.
Сайт использует иностранные компоненты (плагины) в составе CMS
Мы рекомендуем отключить обновление таких компонентов, а также убедиться в том, что их внезапная неработоспособность не будет для сайта критичной.
По возможности следует перейти на российские аналоги соответствующих компонентов. Однако в ряде случаев это может быть невозможно — все такие случаи следует рассматривать индивидуально и это может занять очень много времени.
Сайт использует зарубежные прокси-серверы
Самым популярным является, наверное, CloudFlare. В любом случае трафик сайта пропускается через сторонний сервер для ускорения работы сайта и защиты от DDoS. Стоит заметить, что для большинства сайтов использование таких сервисов не даёт ощутимого положительного эффекта, зато может создавать некоторые проблемы. Например:
- Если IP адрес, выделенный сайту, находится в чёрном списке РКН, часть посетителей вашего сайта не сможет получить к нему доступ. Проблема наблюдается давно и достаточно часто.
- Неудобства управления настройками кэширования на стороне сайта (потому что они делегированы другому сервису).
Всё перечисленное выше было и раньше. Сейчас же ситуация выглядит так: ваш сайт полностью зависит от стороннего сервиса. Конечно, от такой зависимости лучше избавиться (по данному вопросу рекомендуем дополнительно проконсультироваться с техподдержкой облачного прокси, если ваш сайт его использует).
Отключение/подключение работы прокси обычно требует изменений настроек DNS, что может занимать несколько дней!
Для взаимодействия с клиентами используется иностранное ПО
Это могут быть различные мессенджеры, онлайн-чаты на сайте, CRM, а также любые другие способы взаимодействия с клиентами. Мы наблюдали некоторые проблемы с работой подобных сервисов в последнее время, поэтому рекомендуем взять этот вопрос на контроль.
Рекомендации здесь стандартные — по возможности уменьшайте зависимость от иностранного программного обеспечения.
Сайт подвергается DDoS атакам или спаму
Напоминаем, что если ваш сайт не открывается или «тормозит», то это вовсе не значит, что он подвергается атаке.
Дело в том, что DDoS атаки выполняются на конкретные сайты адресно и обычно атакам подвергаются сайты крупных компаний и государственных учреждений. До «обычных» сайтов никому дела нет.
В случае возникновения проблем с доступом к сайту прежде всего нужно обратиться к хостинг-провайдеру. Вполне возможно это просто технические работы! Однако может быть и другое — сам хостинг подвергается атаке (это достаточно вероятно). Предпринимать что-то в таких случаях не следует, поскольку это проблема хостинга и её обязательно решат.
Также многие хостинги предлагают услугу защиты от DDoS атак. Обычно такую услугу нужно подключать отдельно. Это имеет смысл только в том случае, когда атаке подвергся именно ваш сайт, а не весь хостинг. По данному вопросу мы рекомендуем проконсультироваться с техподдержкой хостинга.
Что касается спама в формах обратной связи на вашем сайте, то здесь проблема решается как раз на стороне сайта. А именно — нужно усилить защиту от спама для всех форм обратной связи (обратные звонки, комментарии и прочие формы). Спам — это не новая проблема и бороться с ним можно и нужно.
Конкретные способы защиты форм от спама зависят от особенностей сайта и выясняются индивидуально. Требует внесения изменений в код сайта.
У вас нет резервных копий сайта
Резервные копии должны быть всегда. И не 100-летней давности, а свежие. Подробно этот вопрос поднимался ровно год назад. Если ещё не читали — прочтите!
Ограничьте и проверьте доступ к сайту у сотрудников компании и третьих лиц
Ограничьте доступ к панели управления сайтом, хостингом, доменом и другим сервисам для всех лиц, которым это явно не нужно. Это относится не только к действующим сотрудникам компании, но и к уволившимся. Также вспомните, кому ещё предоставляли какие-либо доступы (в том числе сторонним компаниям и фрилансерам) и отмените их в случае необходимости.
Список критичных доступов:
- Кабинет управления доменом
- Панель управления хостингом
- Панель управления сайтом
- FTP
- Доступ к базе данных сайта (обычно через phpMyAdmin)
В идеале доступом к сайту должны обладать только те, кому это необходимо. Также рекомендуем не предоставлять прав доступа больше, чем это нужно (например, права Администратора сайта контент-редактору не нужны).
Если есть сомнения — смените соответствующие пароли и назначьте корректные права!
Что мы сделали для своего сайта
Что уже было на момент введения IT санкций:
- Сайт нашей компании находится в зоне RU
- Домен зарегистрирован через российскую компанию-регистратор Ru Center
- Используем российский хостинг Timeweb; сервер физически находится в дата-центре в Москве.
- Сайт построен на российской платформе HostCMS
- У сайта нет зависимостей от внешних (в том числе иностранных) ресурсов
- Налажено регулярное резервное копирование и безопасное хранение бэкапов
- Доступы к сайту имеют только те, кому это нужно. Права доступа для сотрудников ограничены областью их деятельности.
В данный момент у нас нет причин для беспокойства за свой сайт. Однако мы готовы к любым трудностям, если они возникнут. И готовы помочь другим компаниям.
Полезные ссылки
Хостинг и доменный регистратор:
Информация по теме:
Напоминаем, что безопасность сайта вашей компании находится полностью в ваших руках!