Советы для вебмастеров: отказ в обслуживании домена, DDoS-атаки, правила безопасности

Обновлено:
Время прочтения:  7  мин.
1127
3
namecheap перенос домена

В последние две недели вебмастера столкнулись с различными проблемами: регистратор Namecheap уведомил клиентов из России о приостановке оказания услуг хостинга, идут массовые DDoS-атаки и взломы сайтов. Мы собрали базовые рекомендации по переносу доменов и обеспечению безопасности ваших проектов. 

Дисклеймер: сейчас всё меняется очень быстро. Какие-то из этих советов могут быть уже не актуальны, когда вы прочитаете статью. Какие-то варианты могут вам не подойти. Присоединяйтесь к чату «Тревел партнерки». В нём вебмастера в реальном времени обсуждают проблемы и решения. Новости Travelpayouts читайте в нашем Телеграм-канале

Как перенести домены от Namecheap

28 февраля Namecheap уведомил клиентов из России о приостановке оказания услуг хостинга и потребовал перенести все домены к иным регистраторам до 6 марта:

namecheap не будет обслуживать

Позже срок переноса был продлен до 22 марта. Также регистратор может увеличить срок для переноса, если вы сможете обосновать, почему перенос невозможен прямо сейчас:

namecheap перенос домена дата

Если у вас есть домены у этого регистратора, мы рекомендуем заняться переносом прямо сейчас – на трансфер международных доменов требуется 7 дней. 

Как перенести домены

Вы можете перенести домены к любому регистратору доменов, ограничений нет. Например:

Помимо зарубежных регистраторов, вы можете воспользоваться услугами российских, например Beget.com, REG.ru и других. Некоторые российские регистраторы предлагают бесплатный перенос. 

Нет единого ответа, какой сервис лучше выбрать. Российские регистраторы по многим доменным зонам дороже зарубежных альтернатив, но в случае зарубежных есть риск, аналогичный Namecheap — отказ в обслуживании клиентов по географическому принципу. 

Если вы выберете зарубежный хостинг, то важно, чтобы было непонятно, что вы из России: платите не российской картой, укажите заграничный почтовый адрес, используйте международный почтовый домен (например, не yandex.ru). Идеально, если адрес будет настоящим. В случае возникновения вопросов в будущем, может потребоваться письменное взаимодействие. Вы можете попросить почтовый адрес у друзей или коллег, которые находятся за границей. 

Google Domains

Подробную инструкцию по переносу доменов от Namecheap в Google Domains вы найдете здесь

Dynadot

Ситуация с доменами Namecheap коснулась и членов команды Travelpayouts. Далее публикуем личный комментарий от Андрея Новоселова – руководителя команды контента Travelpayouts. 

***

В Namecheap у меня было 4 международных домена. Хотя я и не живу в России, получил как все сообщение 28 февраля с требованием перенести домены. Namecheap позволяет оставить домены, если вы не из России, для этого необходимо связаться со службой поддержки. Но, как сами Namecheap указывают, прямо сейчас их служба поддержки перегружена, поэтому я решил не рисковать, не ждать ответа и перенести домены. 

Выбирал только среди международных регистраторов. Русские регистраторы, во-первых, для моей зоны сильно дороже; во-вторых, есть риск влияния геополитики и санкций в том числе на них. Для себя выбрал два регистратора:

  • Google
  • Dynadot

Остановился на последнем, так как Google хоть и крупная корпорация, но последние дни всё чаще сталкиваюсь с информацией о возможной частичной или полной блокировке Google аккаунтов.

Dynadot мне порекомендовал партнёр Travelpayouts, который держит у данного регистратора более 300 доменов. Компания зарегистрирована в США, при этом имеет представительство в Китае и некоторых других регионах мира. Отзывы на Trustpilot в среднем положительные, и очень радует реакция бренда на любые проблемы. 

Перенос максимально прост.

  1. В личном кабинете Namecheap необходимо разлочить домены и получить авторизационный код. 

По умолчанию домен заблокирован. На странице «Sharing & Transfer» его можно разблокировать и здесь же необходимо получить авторизационный код. Кликаем сначала на «Unlock», затем на «Auth code».

namecheap перенос домена
  1. Вас спросят о причинах переноса, я указал «Other» без деталей.
  2. Авторизационный код придёт в течение 10-15 минут на почту, указанную во Whois вашего домена. 
namecheap авторизационный код
  1. Далее на сайте Dynadot необходимо завести аккаунт и в разделе перенос доменов: https://www.dynadot.com/domain/transfer.html, заполнить каждый домен и указать авторизационный код. Перенос по факту бесплатный, вам лишь нужно оплатить продление на 1 год дальше. 
перенос домена с namecheap на dynadot

Я воспользовался промокодом на Dynadot – COM2DD, и перенёс каждый домен за 8,75 долларов.

  1. После оплаты начнется трансфер. Для .com требуется 7 дней. За состоянием переноса можно следить в личном кабинет Dynadot. 

***

Если вы столкнулись с аналогичной проблемой на Namecheap, рекомендуем перенести сайты до 15 марта. Для переноса требуется время, не стоит откладывать решение вопроса на последний день — 22 марта. 

Ситуация с доменами .ua и .com.ua

В данный момент для ряда доменов .com.ua регистратор принудительно сменил NS-записи и показывает на доменах иную информацию. Это не зависит от конкретного регистратора доменов, с проблемой столкнулись все владельцы из России у различных регистраторов. 

Вариант решения проблемы от REG.RU 

Сервис написал подробную статью на vc.ru

Решение для администраторов из России

Переключите сайт на резервный адрес в другой доменной зоне, чтобы снизить риск новых блокировок и обеспечить бесперебойную работу проекта.

1. Выберите и зарегистрируйте новый домен.

2. Смените адрес сайта самостоятельно или обратитесь в службу поддержки REG.RU. Полезный материал — как поменять домен, чтобы сайт не просел в поисковой выдаче.

После завершения смены домена проверьте, что всё работает корректно. 

Решение для администраторов из других стран

Коллеги из Drs.ua могут разблокировать ваш домен. Для этого вам нужно обратиться на почту [email protected] с контактного email, указанного для домена.

Проблемы с сертификатами SSL

С 3 марта компания Sectigo, выдающая SSL-сертификаты, заблокировала все заказы из России. Это означает, что новые заказы не будут обрабатываться для доменов .RU и любых других заказов, для которых Россия указана в качестве страны в данных ORG/Admin/Tech.

sectigo не выпускает ssl для российских доменных имен

В качестве альтернативы вы можете использовать сертификаты от Let’s Encrypt или других компаний. 

Как оплатить услуги зарубежных сервисов

Если вы пользуетесь услугами зарубежных провайдеров, то после 10 марта могут быть трудности с оплатой картой Visa и MasterCard. 

Некоторые зарубежные провайдеры идут навстречу и налаживают оплату услуг в том числе российскими картами. Например, Fornex:

fornex приём оплат

Уже сейчас наблюдаются проблемы с оплатой российскими картами в зарубежных платежных шлюзах. Мы рекомендуем как можно скорее оплатить всё, где подходит срок оплаты.

Как защитить сайт от DDoS-атаки

DDoS-атака заключается в том, что огромное количество ботов заходят на сайт или пользователи делают массовые запросы. Поэтому серверу не хватает вычислительной мощности, чтобы обрабатывать такое количество запросов. И живые пользователи уже не могут зайти на сайт.

Факты о DDoS-атаке

  1. DDoS-атака не ломает сайт и не влияет на контент. Когда она закончится, вам не придётся ничего восстанавливать.
  2. DDoS-атака не обязательно совершается именно на ваш сайт. Если идёт сильная атака на сайт, который расположен на том же хостинге, что и ваш, то вас тоже может задеть. Так что если вам кажется, что ваш проект маленький, и никому нет смысла его атаковать — защиту стоит установить всё равно.

Евгений Козлов, Авиасейлс:

«Все DDoS-атаки, которые происходят сейчас, организованы на начальном уровне: например, рассылают призыв открыть специальную страницу, которая в фоне шлёт тысячи запросов на разные ресурсы. Таким способом не получится отправлять терабиты информации в секунду. Поэтому хорошо сработают базовые способы защиты». 

Как защитить сайт от DDoS-атаки

Не обязательно использовать все перечисленные ниже пункты. Попробуйте то, что подойдёт вам. Мы расположили пункты в том порядке, в котором стоит устанавливать защиту, если вы этого пока не делали. 

  1. Каждый хостинг предоставляет базовую защиту от DDoS-атак. Проверьте, что у вас она подключена. Иногда базовая защита уже спасает. 
  2. Установите Cloudflare. Спрячьте за него хотя бы главную страницу сайта. Поддомены в большинстве случаев можно не прятать Атаки базового уровня обычно бьют по главной сайта. Если ваш сайт ориентирован на российскую аудиторию, есть смысл держать под рукой план обратного отхода с Cloudflare на прямой доступ к серверу сайта. В случае массовых блокировок иностранных ресурсов Роскомнадзором, Cloudflare с большой долей вероятности попадёт под блокировку. При обратном отходе нужно сменить NS-записи обратно на сервер. ​​Если есть возможность сделать время жизни NS-записей меньше суток, стоит ей воспользоваться, иначе при блокировке Cloudflare ваш сайт начнёт снова открываться только через сутки. 
  3. По возможности включите лимиты на количество запросов с одного IP-адреса, чтобы одиночный атакующий не мог завалить ваш сайт запросами. 
  4. Настройте фильтрацию трафика на уровне правил сайта. Допустим, основная аудитория вашего сайта из России, нет потока трафика из Европы и США. Установив доступ только с российским IP-адресами, вы уже защититесь более чем от половины всех атак.  
  5. Если предыдущие пункты не работают, можно попробовать более сильную защиту. Например, Qrator Labs.  

Основные правила безопасности

Эти правила стоит соблюдать в любое время, чтобы защитить проект от взлома и кражи. Проверьте, что вы помните их все. 

  1. Убедитесь, что пароли к почте, хостингу, регистратору и админке сайта уникальные, случайные, сложные, более 12 символов, содержат большие и маленькие буквы, символы, цифры. 
  2. Активируйте двухфакторную аутентификацию везде, где это возможно: доступ к хостингу, админке сайта, почте. Подумайте, насколько защищены почта и другие способы восстановления пароля — например, нет ли у кого-то случайного доступа к вашему телефону.
  3. Нет смысла регулярно менять пароли, если они уникальные и сложные. Смена паролей сводит с ума и заставляет использовать более простые комбинации. Вместо того, чтобы постоянно всё менять, сделайте сложный пароль, который надёжно хранится. Особенно плохо, когда пароли генерируются по алгоритму. Например, исходя из названия домена: кличка собаки_aviasales_цифра. Если один такой пароль утечёт, то это скомпрометирует все пароли. 
  4. Не стоит хранить пароли в облачных хранилищах (LastPass, 1Password). Они удобно синхронизируют пароли между устройствами, но если ваш пароль лежит в облаке — это всегда риск утечки. Хороший менеджер паролей — Keepassxc. При его использовании база паролей хранится локально на компьютере или телефоне. Она зашифрована. Единственное неудобство — придётся самостоятельно синхронизировать пароли между устройствами.    
  5. Установите защиту от брутфорса (угадывания пароля) для админки сайта, даже сложный пароль можно подобрать. Запрашивайте капчу через 3-5 попыток неправильного ввода пароля. Для блога на WordPress можно воспользоваться готовыми плагинами, например, SK WP Admin Login Captcha.
  6. Обязательно делайте резервное копирование. Самое главное правило — храните резервную копию на другом хостинге или локальном компьютере! Частоту копирования выбирайте в зависимости от частоты обновления контента: ежедневно, еженедельно, ежемесячно. 
  7. Всегда вовремя устанавливайте обновления CMS и ПО на серверах. Бессчётное количество сайтов взломано через WordPress, но проблема не в WordPress, а в том, что у взломанного сайта стояла устаревшая версия CMS. Для обновления также имейте резервную копию — процесс может пойти не по плану и вам придётся откатываться назад. 
  8. Мониторьте доступность сайта, чтобы моментально узнавать о взломах. Можно настроить уведомления в Яндекс.Метрике, а на WordPress использовать плагин Website File Changes Monitor
  9. Если у вас большой проект, есть база с данными пользователей, бизнес тесно связан с вашим сайтом — выделите бюджет на кибербезопасность. Не всегда вы сможете самостоятельно защитить проект, может понадобиться помощь профессионалов.

Что делать, если сайт всё-таки взломали

  1. Поменяйте все пароли, в том числе к почте.
  2. Восстановите сайт из бэкапа. 
  3. Проанализируйте, как сайт могли взломать. 

Поделитесь в комментариях проблемами, с которыми вы столкнулись, расскажите, как вы их решили или задайте вопросы, поразмышляем вместе.