Как думаете, какую роль играет доменное имя для вашего онлайн проекта? Или даже обычного сайта, который является вашим долгосрочным вложением?
На самом деле — очень важную роль. Поэтому нужно тщательно позаботиться о его защите.
В этой статье расскажу, как однажды украли домен для торговой площадки моего собственного проекта. И на что нужно обратить внимание, чтобы избежать такой ситуации в ваших проектах.
Погоня за низкой ценой у регистратора
Первой причиной стало — это то, что я погнался за низкой ценой регистрации домена. Тогда цена составляла всего 99 рублей. Хотя у более крупных и серьезных компаний, цена была от 200 до 700 рублей за 1 год.
Конечно, при выборе из двух компаний, выбрал дешевую. Уже только позже понял, что это была партнерская компания, а основным поставщиком являлась другая.
На тот момент, 7 лет назад, мало понимал что необходимо обращать внимание на такие детали. У кого именно ты покупаешь домен. У основной компании или ее партнера.
Получив больше опыта за последние несколько лет, могу сказать — лучше выбирайте более надежных регистраторов доменных имен. Даже если стоимость регистрации домена в итоге будет дороже.
Плюс за все время запусков онлайн проектов, я заметил одну интересную вещь. У всех крупных компаний регистраторов, уровень безопасности, спектр дополнительных возможностей и техподдержка в разы отличалась от партнерских. При чем в положительную сторону.
Поэтому я искренне считаю, что лучше переплатить определенную сумму, чем в какой-то момент потерять домен сайта или онлайн проекта.
И если домену испортят еще и историю, то и продвигать его нет дальнейшего смысла. Когда он попадет под фильтры и прочие санкции от поисковых систем, благодаря предыдущему владельцу.
Слабая защита аккаунта в панели управления
Практически в каждой панели управления рекомендуют указать дополнительные методы входа. Указание дополнительной почты или указание номера телефона на который приходит код подтверждения.
Такая же ситуация была и у меня. Но я пропустил эти рекомендации, которые предоставляла панель управления.
Поэтому используйте все возможные методы защиты внутри панели управления компании регистратора. Укажите дополнительные данные которые защитят аккаунт, чем потом доказывать поддержке, что все действия были не от вашего лица.
Так как это еще нужно будет доказать, но на практике и на собственном опыте, я понял, что это бесполезно. Что утекло из аккаунта, чаще всего больше уже не вернуть.
Слабая защита почтового ящика
Несмотря на все предыдущие ошибки, которые привели к краже домена из панели управления — слабая защита почтового ящика является ключевой.
Коды подтверждения операций с доменом, хостингом и прочим по переносу между аккаунтами, приходит на указанный при регистрации почтовый ящик.
Соответственно получив доступ к нему, злоумышленник может без проблем украсть данные. Перекинув их на свой аккаунт или кому-то другому.
В этом случае необходимо также использовать дополнительные методы защиты, но уже в почтовом ящике. К примеру, использование двухэтапной аутентификации. На первом этапе вы вводите почту и пароль, а на втором, указываете номер телефона. На который после этого приходит СМС с кодом подтверждения.
Тем самым усложняете доступ к ящику. И даже когда кто-то узнает логин и пароль, дальше пройти он не сможет. А вы получите сообщение о том, что кто-то пытается войти в почтовый ящик.
На своем проекте, я не стал заморачиваться с защитой почтового ящика. Используя номер телефона или доп. почту для восстановления доступа.
В итоге потерял аккаунт у компании регистратора доменных имен и сам почтовый ящик.
Информационная безопасность и грамотность
Пароли и данные от ваших почтовых ящиков и аккаунтов просто так не попадут в руки злоумышленников. И поэтому нужно быть внимательным к тем сайтам, на которых оставляете информацию.
В том числе быть внимательным еще к тем письмам, которые приходят на почтовый ящик. Так как порой именно в них может быть высокая вероятность кражи данных. Но крадут они не сами. А свои данные оставляете именно пользователи.
Поэтому, не переходите по подозрительным ссылкам в письмах. Используйте сложные пароли, а не типовые по примеру qwerty или с указанием даты своего рождения. Используйте различные спец. символы, различные комбинации цифр и прописных и заглавных букв. С минимальной длиной для пароль от 8 символов.
Это поможет дополнительно защититься от автоматического подбора пароля с помощью программ, которые часто могут использовать злоумышленники.
Итог истории с доменом
Итог моей ситуации — это все привело к тому, что домен украли прямо из панели управления. Я зашел в один прекрасный день в нее, и аккаунта был пустой. В том числе и потерял доступ от своего почтового ящика.
В этом случае не помогла даже техническая поддержка партнера компании регистратора. Так все склонялось к тому, что все операции были произведенных мной. И даже наличие указанных паспортных данных и IP адреса, никак не помогло доказать свою личность.
Несмотря на такую ситуацию, которая произошла полностью по моей вине, в дальнейшем я углубился в изучении данной темы и типичных проблем безопасности.
И теперь когда разрабатываю с командой проекты для клиентов, я всегда рекомендуют только те сервисы и компании, которые уже доказали свою надежность. На протяжении нескольких лет и на своем личном опыте. И тех ошибок, которые описал в данной статье.
Конечно, сам домен в итоге был освобожден спустя 1 год, но его не было смысла продвигать под нужную тематику. Так как вся история была уже испорчена и сам сайт не раз находился под фильтрами поисковых систем.
В целом, цель таких действий по краже доменов в большинстве случаев — это либо для запуска собственного проекта, либо для последующей продажи по более высокой цене. Да, есть даже такой бизнес по продаже доменных имен. Мне так же удалось побывать в такой ситуации.
Подведем краткий итог на что необходимо обратить внимание:
- Не гонитесь за низкой ценой у компании регистратора. Лучше заплатить больше у официального регистратора, чем у партнера. Вам не придется потом платить дважды.
- Используем все возможные методы защиты в самой панели управления. Указываем номера телефона, включаем дополнительные методы защиты и авторизации.
Указываем секретные коды, если есть такая возможность. Они помогают идентифицировать, что это именно вы.
- Защищаем свой почтовый ящик на который зарегистрирован личный кабинет у компании регистратора доменных имен.
Аналогично указываем номера телефонов, дополнительные почтовые ящики для восстановления доступа. И свои реальные данные, а именно кто владелец, ваше ФИО.
- Следуем основам информационной безопасность, а именно: не создаем простые и типовые пароли от аккаунтов и почтовых ящиков.
Чем сложнее и длиннее пароль — тем лучше. Не оставляем свои данные на подозрительных и странных сайтах. Не переходим по ссылкам в “левых” письмах, которые приходят в почтовый ящик. Так как в большей степени они являются той самой дырой безопасности.
И помните, безопасность данных в первую очередь зависит от нас самих.
Используйте мой неудачный опыт описанный в этой статье, а также методы решения в своих действующих и будущих проектах. И не попадайте в такую ситуацию.