Защита сайта от хакерских атак — Nemesida WAF. Публикация сайта защита


Как защититься от воровства контента

Ваш контент копировали, копируют и будут копировать. На этом плохие новости не заканчиваются. Часто поисковые системы ранжируют страницы с украденным или скопированным легально контентом выше оригиналов.

Есть и хорошие новости. Да, от воровства контента нельзя защититься. Но от последствий этой напасти можно и нужно защищаться. Еще один позитивный момент: иногда кражу публикаций можно обернуть в свою пользу. Наконец, отличная новость для злопамятных и жаждущих мести авторов и владельцев сайтов: воров можно наказать. И для этого не всегда нужно подавать в суд. Интересно? Подробности ниже.

Содержание:

Почему не стоит переживать из-за воровства контента

Ответ очевиден: переживания вредят здоровью. Это данность: лето всегда пролетает незаметно, утром после веселой вечеринки болит голова, а контент копируют и будут копировать. Полностью защититься от воровства можно только одним способом: ничего не публикуйте. Если вы публикуете контент, будьте уверены: его обязательно скопируют.

Говорите, неизбежности воровства недостаточно, чтобы не переживать? Тогда знайте: копирование контента — комплимент вашему ресурсу и его авторам. Это справедливо с оговоркой. Считайте себя победителем, если ваш контент копируют, потому что он ваш. Это признание качества, пользы и актуальности публикации, а также вашего авторитета.

Вот еще одна причина, чтобы не нервничать. Скорее всего, воровство контента не принесет вам ощутимого вреда. Поисковые системы говорят, что стараются определять первоисточники и отдавать им трафик. Также они утверждают, что наказывают сайты, публикующие плагиат. Если ваш сайт популярный, аудитория тоже знает, кто на самом деле автор.

Итак, воровство контента — норма в интернете. Если ваши публикации копируют сознательно, это показатель их качества. Поисковые системы стараются наказывать плагиаторов. А показатели вашего ресурса вряд ли сильно изменятся, если кто-то украдет у вас пару или даже десяток статей.

Если сеанс психотерапии вас успокоил, можете дальше не читать. Просто не обращайте внимания на бездарных людей, которые пользуются чужим трудом. «Яндекс» им судья.

А что делать, если внушения и уговоры не работают? Возможно, все-таки есть ситуации, в которых переживания из-за воровства контента оправданы? Нет, нервничать не стоит в любом случае. А вот действовать нужно, так как копирование публикаций иногда наносит практический и даже измеримый вред вашему сайту. Когда это происходит?

Как воровство контента может вредить вашему сайту

Мошенники воруют ваш контент не ради спортивного интереса. С помощью ваших публикаций они что-то получают. Здесь работает не принцип «win-win», а закон сохранения энергии. То есть если за счет вашего контента кто-то получает выгоду, вы ее теряете. Смотрите сами.

Копипастеры крадут ваш трафик

Посмотрите на страницу поисковой выдачи на иллюстрации. «Яндекс» отображает в топе копипастеров. Два из них поставили активную ссылку на оригинал. Еще один указал неактивную ссылку, генерированную с помощью сервиса сокращения URL.

Пользователи поисковых систем не знают, какая из предложенных ссылок указывает на первоисточник. Поэтому переходы получат все: владельцы оригинального контента, копипастеры и даже агрегаторы.

Негативные последствия воровства налицо: сайт-первоисточник теряет переходы. Снижение CTR в выдаче — не лучший для ресурса сигнал «поисковикам».

Кликабельность ссылок в SERP зависит от позиции ресурса. По разным данным, первое место обеспечивает сайту от 18 до 36 % от общего числа переходов со страницы выдачи. Вторая и третья позиции получают 12 % и 9 % соответственно. Смотрите еще раз: по ссылке на первом месте переходят 36 % пользователей, а по ссылке на втором только 12 %.

Кстати, это не самый страшный вариант. Хуже, если поисковая система по каким-то причинам решает, что сайт-источник вообще недостоин места в топ.

Впрочем, более или менее логично объяснить поведение «Яндекса» можно происками многорукого бандита. «Поисковик» может тестировать разные варианты выдачи, чтобы собрать поведенческие сигналы. Проблема в том, что благодаря заимствованному контенту сайт-копипастер получит хорошие поведенческие сигналы. Пользователи будут читать статью, делиться материалом в соцсетях, комментировать его. Далеким от рынка интернет-маркетинга людям все равно, где читать статью: на сайте «Текстерры» или в блоге рыбы-прилипало.

Вы можете получить санкции

Это происходит, если поисковые системы неверно определяют первоисточник контента. На форуме Searchengines таких историй много: с молодого сайта крадут контент, «поисковики» первым индексируют сайт-плагиатор, а ресурс автора резко теряет позиции или полностью вылетает из индекса.

Сложно представить, чтобы санкции в такой ситуации получил давно существующий авторитетный сайт. А вот молодым проектам нужно думать о способах защиты. Это особенно актуально в контексте медленной индексации «Яндексом» новых ресурсов.

Кстати, несправедливо наказать сайт может не только «Яндекс». Известны случаи, когда ресурс-источник контента из-за действий злоумышленников съедала «Панда».

Репутационные потери

Здесь все просто: если потенциальный клиент посчитает, что публикацию украли вы, а не у вас, сделка вряд ли состоится. Опять тяжелее приходится молодым проектам. Человеку легче поверить, что маленький интернет-магазин украл контент с сайта условных «Связиста» или «Н.аудио», а не наоборот.

Необходимость тратить ресурсы на новый контент

Да, это так: если ваш контент растащат, а поисковики из-за этого запутаются, другого выхода может не остаться. Чтобы не попасть под фильтры и получать трафик, вам придется создать новый контент вместо ворованного. На это вы потратите время и деньги.

Даже если воровство контента не создает вам заметных проблем, со злоумышленниками надо бороться. Почему? Хотя бы потому, что кто-то без спроса использует вашу собственность. За ваш счет вор получает какие-то выгоды. Это несправедливо.

Как понять, что ваш контент украли

Будьте проактивными: периодически проверяйте, не украл ли кто-то ваш контент. Частота и режим проверок зависит от размера и возраста сайта, уровня конкуренции в отрасли и наличия аномалий в показателях эффективности. Например, проводите инвентаризацию ежемесячно или ежеквартально. Также проверяйте сохранность контента в случае резкого падения поискового трафика, которое характерно для пенальти со стороны Google или «Яндекса».

Обнаружить воровство контента можно с помощью перечисленных ниже способов.

Поиск плагиаторов с помощью «Яндекса» и Google

Это самый простой способ найти копипастеров. Просто введите в поисковую строку название вашей публикации.

Кстати, на первой странице в SERP «Яндекса» присутствует ресурс, который использует контент «Текстерры» явно незаконно.

Найти украденные фотографии можно с помощью поиска по картинкам в поисковых системах. Также вам пригодится сервис TinEye. С его помощью можно отыскать даже незначительно измененные изображения.

Поиск с помощью сервисов проверки уникальности

Ищите дублирующийся контент с помощью сервисов проверки уникальности текста. Вот примеры:

Например, сервис проверки уникальности Text.ru показывает URL, на которых найден фрагмент текста.

А сервис Copyscape ищет копии контента по URL.

Также вы можете заметить несанкционированное использование вашего контента с помощью сервисов отслеживания упоминаний, например, Google Alerts или Hootsuite.

Решили бороться с ворами контента? У вас все получится, так как закон защищает права автора и издателя. Подробности ниже.

Что говорит закон

Права авторов защищает международное и национальное законодательство. На международном уровне ключевым документом в области авторского права считается Бернская конвенция. В этом соглашении сформулированы ключевые права авторов интеллектуальной собственности.

Одним из принципов Бернской конвенции является автоматическая охрана прав автора. Это значит, что права автора попадают под защиту в момент первой публикации произведения или его фиксации в материальной форме. То есть вам достаточно распечатать произведение или опубликовать статью в блоге с указанием автора. Других действий для начала охраны прав не требуется.

Еще один ключевой принцип Бернской конвенции — презумпция авторства. Автором публикации считается человек, имя которого указано на веб-странице, в печатном издании или в книге, если не доказано иное. Обратите внимание, если кто-то опубликует вашу статью под своим именем, он будет считаться автором, пока вы не докажете обратное.

Участники Бернской конвенции дополнительно защищают авторские права на национальном уровне. В России защита прав авторов регламентируется Гражданским кодексом. ГК РФ подтверждает принципы автоматической охраны и презумпции авторства. Также в Гражданском кодексе описываются объекты авторского права, правила свободного использования произведений, возможность использования знака охраны авторского права.

Для владельцев сайтов важное значение имеет Закон об авторском праве в цифровую эпоху (DMCA). Это законодательный акт США. Он защищает авторские права от нарушений с использованием современных технических средств, включая копирование и публикацию произведений в интернете. С практической точки зрения DMCA важен вот чем: владелец сайта может подать жалобу в Google на плагиаторов. Крупнейший «поисковик» мира руководствуется Законом об авторском праве в цифровую эпоху. Поэтому он удаляет из результатов выдачи ссылки на сайты-плагиаторы.

Закон автоматически защищает авторов от воровства контента. Это не значит, что ваши публикации защищены от кражи. Также Бернская конвенция, ГК РФ и DMCA не гарантируют, что в случае воровства мошенники будут автоматически наказаны. Определенные законом права необходимо защищать самостоятельно. Об этом дальше.

Как автору реализовать свои права

О защите авторских прав читателям «Текстерры» согласился рассказать директор компании «Анти-Банкиръ», юрист, автор и ведущий блога «Сообщество должников» Дмитрий Гурьев. Кстати, Дмитрий — наш постоянный читатель и активный комментатор публикаций.

— Дмитрий, Бернская конвенция и ГК РФ защищают права автора автоматически. Защита начинается с момента публикации или фиксации произведения в материальной форме. То есть как только автор поставил точку и распечатал произведение, закон его защищает.

С другой стороны, в Бернской конвенции есть принцип презумпции авторства. Если некий Петр Петров возьмет статью Ивана Иванова и опубликует ее под своим именем, он будет считаться автором, если Иван Иванов не докажет иное.

В связи с этим возникает вопрос: должен ли автор и владелец контента как-то фиксировать авторство перед публикацией?

— ГК РФ и Бернская конвенция действительно защищают права авторов. Защита действительно начинается автоматически. Но на практике она действует только в том случае, если автор докажет, что произведение создал действительно он.

Вы говорите, что Петров опубликовал статью Иванова под своим именем. В этой ситуации возникает юридический спор между Ивановым и Петровым. Кто докажет авторство в судебном порядке, тот победит в споре.

Согласно статье 56 ГПК РФ, сторона спора должна доказать обстоятельства, на которые она ссылается. То есть Иванов должен доказать, что он автор произведения. Тогда он выиграет спор у Петрова в случае судебного разбирательства.

Зафиксировать авторство перед публикацией просто. Для этого достаточно распечатать статью и отправить ее самому себе заказным письмом с уведомлением. В письме необходимо указать URL страницы, на которой будет опубликован материал. А публиковать статью можно после получения письма.

Альтернативный способ — нотариальная фиксация авторства. Нотариусы оказывают услугу удостоверения копий страниц с сайта. То есть нотариус может зафиксировать текст черновика статьи в административной консоли. Конечно, это хлопотная и недешевая процедура, но она обеспечивает безусловную защиту прав автора.

— Имеет ли какой-то практический смысл знак охраны авторского права (©)?

— Да, имеет. Знак охраны авторского права предупреждает, что публикация авторская. Здесь нужно понимать, что закон защищает авторов независимо от наличия или отсутствия значка.

Кстати, на практике этот символ чаще используется для защиты товарных знаков, а не продуктов интеллектуального труда. Если права автора защищаются независимо от регистрации, то права на товарный знак нужно регистрировать.

— Нужно ли на сайте указывать условия использования контента? Например, владельцы сайтов пишут, что копирование информации запрещено или разрешено с указанием ссылки на источник.

— Такую информацию указывать можно. Например, если вы согласны, чтобы ваши материалы перепечатывали с указанием ссылки, сообщите это. Писать о запрете копирования контента необязательно: закон защищает ваши права автоматически. Но если хотите, можете еще раз предупредить потенциальных воров о своем праве на контент.

— Два слова о добросовестном использовании. Эта юридическая норма позволяет использовать любой контент абсолютно легально. Например, в рамках этой концепции можно использовать любой контент в образовательных целях. Значит ли это, что злоумышленник может взять авторскую статью и напечатать ее на своем сайте с припиской «для обучения пользователей»?

— Нет, это не так. Если кто-то хочет использовать вашу публикацию в образовательных целях, он обязан дать ссылку на первоисточник и указать автора. Без ссылки и указания автора использование контента перестает быть добросовестным. Кстати, образовательная деятельность подлежит лицензированию.

Расскажу случай из практики. Я делал видеоролик для собственного сайта. В видео надо было вставить отрывок из известного мультфильма продолжительностью 18 секунд. В течение этих 18 секунд на экране демонстрировались титры с указанием названия мультфильма, фамилии режиссера и других исходных данных. Это добросовестное использование.

— Представим неприятную ситуацию: с сайта «Текстерры» украли статью автора Евгении Крюковой. Кому проще защищаться и отстаивать права: юридическому лицу «Текстерра» или автору Евгении Крюковой? Как быть, если автор находится во Владивостоке, а юридическое лицо зарегистрировано и работает в Санкт-Петербурге?

— Если речь идет об авторских правах, их будет защищать автор Евгения Крюкова. Если речь идет о судебных разбирательствах, автор может прислать любое заявление, объяснение или возражения по почте. На судебном заседании он может присутствовать виртуально. Раньше для этого использовался скайп. Сейчас суд для связи использует другие программы.

Суд можно выиграть или проиграть без посещения заседания. Поэтому главное — своевременно предоставить доказательства авторства.

— Google удаляет из выдачи ссылки на сайты, нарушающие Закон об авторском праве в цифровую эпоху (DMCA). Нет ли здесь возможностей для махинации? Например, недоброжелатели могут опубликовать чужой контент под своим именем. Потом они подают жалобу в Google, в которой обвиняют настоящего автора в плагиате. «Поисковик» руководствуется презумпцией авторства. Поэтому он удаляет из выдачи ссылку на первоисточник.

Как защититься от недобросовестных конкурентов, которые могут навредить сайту с помощью концепции презумпции авторства?

— Google однозначно не удалит из выдачи ссылку на контент, пока автор жалобы не предоставит доказательства. Он должен доказать «поисковику», что действительно является автором.

Теоретически мошенник может подделать доказательства. Тогда настоящему автору придется отстаивать свои права в судебном порядке. Успех или неуспех защиты зависит от наличия у автора доказательств. То есть мы опять возвращаемся к необходимости фиксировать авторство с помощью отправленных самому себе писем.

— Что делать, если контент украли?

— Я бы поступил так. Перед публикацией отправил бы себе письмо со всеми исходными данными статьи. Кстати, к письму можно приложить сведения об уникальности материалов с площадок типа Text.ru или «Адвего». Статьи в своем блоге я защищаю именно таким способом.

Если контент украли, необходимо направить мошеннику досудебную претензию. Этим действием вы убиваете двух зайцев. Первый — вор может испугаться, согласиться с вашими требованиями и удалить краденый контент. В этом случае проблема полностью решена. Второй — вы показываете суду, что пытались решить вопрос путем переговоров.

Кстати, желательно, чтобы досудебную претензию составлял профессиональный юрист. Правильно написанный документ — это половина успеха. Суд также обращает внимание на корректность претензии.

Если после получения претензии мошенник не согласился с вашими требованиями, обращайтесь в суд. Обратите внимание, вам придется нанять юриста.

— Стоит ли обращаться в Google, «Яндекс» или к хостинг-провайдеру?

— По большому счету, обращаться к хостинг-провайдеру или в поисковые системы бессмысленно. С юридической точки зрения это можно сделать, чтобы собрать доказательную базу для дальнейшего использования в судебном споре. Но нет никакой гарантии, что ваше обращение вообще будет рассмотрено.

У меня есть опыт общения с администрацией «Вконтакте». Когда недобросовестные люди незаконно использовали товарный знак нашей компании, я попросил администрацию социальной сети помочь. Сотрудники потребовали собрать доказательства. Это большой пакет документов, включая регистрационные данные компании, копии свидетельств и так далее.

Администрация «Вконтакте» отправила запросы владельцам групп, которые украли наш товарный знак. Админы групп ответили, что они ничего не нарушали. Поэтому сотрудники «Вконтакте» написали мне, что ничего не могут сделать, так как мои права никто не нарушал. Ситуация абсурдная. Но переписка с администрацией «Вконтакте» была приобщена к материалам судебного дела. Это нам помогло.

Кстати, если поисковые системы не выполнят ваши требования в досудебном порядке, переписка с ними может помочь во время судебного разбирательства. То есть если «Яндекс» не удалит из выдачи ворованный контент, вы можете требовать защиты своих прав в судебном порядке.

— Дмитрий, что можно посоветовать владельцам сайтов и авторам, которые хотят защищать свои права?

— Помните, защитить авторские права достаточно сложно. Мошенники могут использовать разные уловки, чтобы воспользоваться вашим контентом. Очень простой пример: злоумышленнику достаточно изменить знаки препинания и сделать в тексте умышленные ошибки. После этого трудно доказать, что вы являетесь настоящим автором произведения. Уловок на самом деле очень много.

По собственной практике могу сказать, что у кого есть доказательства, тот признается автором. Суд всегда рассматривает доказательную базу. Если у вас есть отправленное самому себе письмо с датой или заверенная нотариусом копия произведения, с юридической точки зрения вы защищены. Даже если вор тоже заверит копию произведения у нотариуса или отправит себе письмо, у него на штемпеле или на документе будет стоять более поздняя дата.

Поэтому не пренебрегайте профилактикой, защищайте свой контент.

Как предупредить кражу контента на практике

Дмитрий Гурьев предоставил читателям очень полезную юридическую информацию. Добавьте к ней практический опыт интернет-маркетологов, чтобы получить эффективную стратегию защиты контента. Начните с профилактики воровства ваших публикаций. Рекомендации ниже.

Не блокируйте копирование контента с помощью скриптов

Почему практические рекомендации начинаются с того, чего не стоит делать? Это очень важный вопрос, поэтому он требует внимания.

Во-первых, использование скриптов для блокировки правой кнопки мыши может остановить только школьников и самых примитивных роботов. При желании и необходимости злоумышленники легко скопируют ваш контент.

Во-вторых, неработающая правая кнопка мыши ухудшает юзабилити сайта. Почему? Посмотрите с помощью «Вебвизора», как посетители читают ваши публикаций. Многие пользователи делают это так:

Ваши посетители выделяют кусочки текста при чтении. Вероятно, это помогает им сконцентрироваться или не потерять отрывок на странице. Насколько велика доля пользователей с привычкой выделять текст? Скорее всего, цифры отличаются для разных проектов и даже для разных публикаций. Но если пользовательский опыт ухудшится даже для каждого десятого посетителя, это негативно скажется на метриках эффективности ресурса.

Заявите о своих правах на контент

Используйте знак охраны авторского права. Набрать его на клавиатуре можно с помощью сочетания клавиш Alt + 0169. Как правильно использовать знак охраны авторского права? ГК РФ определяет, что он состоит из буквы «c» в окружности, названия или имени правообладателя и года публикации произведения.

Вот пример корректного указания авторских прав: ©, ОАО «АБВГД», 2016 или ©, И. И. Иванов, 2016. Обратите внимание, точку после указанного года ставить не надо. Если вы регулярно публикуете на сайте авторские материалы, укажите год создания ресурса и текущий год через тире. Вот пример: ©, ОАО «АБВГД», 2002—2016.

При необходимости укажите условия использования контента

Если вы разрешаете использовать ваш контент на каких-то условиях, укажите это в произвольной форме. Например, напишите в подвале сайта, что копирование материалов разрешается при указании активной ссылки на источник.

Отправьте себе распечатанный материал перед публикацией

Что нужно сделать? До публикации распечатайте статью. Если позволяют настройки CMS, создайте черновик и выберите URL будущей страницы. Приложите адрес публикации к письму. Сходите на почту и отправьте распечатанную статью себе с уведомлением о вручении. После получения не вскрывайте конверт.

Целесообразно ли предпринимать такие меры предосторожности? Да, юристы говорят, что в случае судебных разбирательств этот способ защиты работает. Как быть, если вы ежедневно публикуете много материалов и работаете с колес? Постарайтесь защищать хотя бы самые важные публикации.

Брендируйте контент

Используйте в тексте название вашей компании и продуктов, ссылайтесь на другие свои публикации. Это затруднит автоматическое использование публикаций. Ворам придется их адаптировать. Возможно, это остановит самых ленивых мошенников.

Также брендирование защитит вас от автоматического копирования контента. Если ваши публикации крадут роботы, в них останется название компании, продуктов и ссылки на ваш сайт. В случае спора вам будет проще доказать правоту. Кроме того, обратные ссылки — важный сигнал для «поисковиков». Он помогает определять первоисточник контента.

Используйте инструмент «Оригинальные тексты»

Некоторые специалисты считают, что инструмент «Яндекса» «Оригинальные тексты» работает. Другие говорят, что инструмент не работает. Стоит ли его использовать?

Да. Чтобы сообщить «Яндексу» о предстоящей публикации оригинального текста, вы потратите 10 секунд. Представители «Яндекса» утверждают, что сервис «Оригинальные тексты» — это только один из многих сигналов, которые учитывают роботы при определении первоисточника. Поэтому не ждите от инструмента безусловной эффективности. Зато скриншот из кабинета для вебмастеров может пригодиться вам в качестве дополнительного доказательства в случае судебных разбирательств.

Чтобы сообщить «Яндексу» о предстоящей публикации авторского текста, авторизуйтесь в кабинете вебмастера. Сервис «Оригинальные тексты» доступен в разделе «Содержимое сайта».

Настройте RSS-ленту

Агрегаторы собирают контент с помощью RSS. Публикация появляется на сайтах-агрегаторах практически сразу после выхода на вашем ресурсе. Теоретически поисковые системы могут сначала проиндексировать контент на чужом сайте, а потом на вашем. Смогут ли Google и «Яндекс» разобраться в ситуации?

Лучше не гадайте, а корректно настройте отображение RSS-ленты. С ее помощью должны транслироваться анонсы публикаций, а не публикации целиком. Возможность настройки RSS зависит от CMS, которую вы используете. Например, чтобы выбрать корректный режим отображения RSS-ленты для сайта на WordPress, в консоли выберите раздел «Настройки – чтение». Отметьте верный вариант отображения RSS и сохраните изменения.

Создайте карту сайта

Карта сайта в формате xml передает поисковым системам информацию о структуре сайта, появлении новых и обновлении существующих страниц. Благодаря корректно настроенному файлу sitemap.xml ускоряется индексирование сайта. Это может уменьшить негативные последствия воровства контента.

Создать карту сайта можно с помощью онлайн-генераторов, например, XML-Sitemaps. Также вы можете воспользоваться плагинами и расширениями для популярных CMS, например, Google XML Sitemaps для WordPress, Xmap для Joomla!, XML Sitemap для Drupal, Google Sitemap для Opencart.

Анонсируйте ваши материалы в социальных сетях сразу после публикации

Это рекомендация от министерства обороны США. Вернее, от будущего сотрудника этого ведомства Мэтта Каттса. Он раньше занимался борьбой с поисковым спамом в Google. Господин Каттс рекомендует анонсировать материал в «Твиттере» сразу после публикации. Зачем? Люди увидят твит, перейдут по ссылке, прочитают публикацию и сошлются на нее. Это поможет поисковым системам быстро проиндексировать контент и определить первоисточник в случае кражи.

Что можно добавить к рекомендации почти военного Мэтта Каттса? Анонсировать публикации можно не только в Twitter. Есть еще Facebook, «Вконтакте» и другие площадки.

Защищайте фото с помощью водяных знаков

Если вы публикуете авторские фотографии, используйте водяные знаки. Они затрудняют автоматическое использование вашего контента злоумышленниками.

Поставить водяной знак можно с помощью сервисов Water Mark, «Водяной знак», Visual Watermark (платная программа) и других.

Кстати, водяные знаки можно использовать для защиты инфографики, видео и другого визуального контента. Чтобы защитить видеоролик, воспользуйтесь программой Video Watermark. Если вы публикуете ролики на YouTube, их можно брендировать с помощью аннотаций и подсказок.

Предложенные меры не защищают от воровства контента. Они уменьшают негативные последствия кражи, а также делают ваши публикации менее привлекательными для злоумышленников. Но контент в любом случае будут красть. Что делать в этом случае?

Что делать, если ваш контент украли

Если вы не согласны с тем, как кто-то использует ваш контент, принимайте меры. Знайте, придется похлопотать. Волшебной кнопки «наказать плагиатора» пока не придумали. Что именно придется делать? Приблизительный план ниже.

Отправьте претензию вору

Иногда владельцы сайтов нарушают правила использования контента без злого умысла. Например, кто-то может перепечатать ваш материал, но забыть об обратной ссылке. В таком случае претензии будет достаточно, чтобы решить проблему.

Что писать плагиатору? В произвольной форме попросите удалить вашу публикацию или поставить ссылку на источник. Отметьте, что контент принадлежит вам. Сошлитесь на законодательство, которое охраняет ваши права. Напишите, что обратитесь в суд, если вор не выполнит ваши требования.

Обратите внимание, директор компании «Анти-Банкиръ» Дмитрий Гурьев рекомендует, чтобы претензию к плагиатору составлял юрист. В качестве альтернативы вы можете воспользоваться платной системой CopyWatcher. Зарегистрированным пользователям доступны шаблоны претензий.

Как найти владельца или администратора сайта? Воспользуйтесь контактной информацией, формами обратной связи, сервисом WhoIs. Если контактные данные получить не удается, попробуйте выяснить их у хостинг-провайдера. Определить хостера можно с помощью специальных сервисов. Например, обратите внимание на инструмент SEOGadget.

Кстати, если вы знаете хостинг-провайдера сайта, на котором опубликован ваш контент, отправьте ему жалобу на воров. Денис Савельев рекомендует связаться с хостером, так как провайдер может повлиять на своего клиента.

Попросите Google удалить ссылки на ворованный контент из выдачи

Чтобы пожаловаться Google на воров контента, заполните форму. Обычно «поисковик» удаляет ссылки на плагиат из выдачи в течение нескольких недель. Обратите внимание на предупреждение: Google рекомендует проконсультироваться с юристом, если вы не уверены в правомерности использования третьим лицом ваших публикаций.

«Яндекс» позиционирует себя в качестве зеркала интернета. Чтобы ссылки на ворованный контент исчезли из выдачи, вам придется самостоятельно добиться удаления ваших публикаций со страниц сайта-плагиатора.

Обратитесь в администрации социальных сетей

Это необходимо, если ваш контент опубликован на сетевых площадках, например, в «Фейсбуке», ЖЖ и так далее. Даже если администрация не удалит материалы, вы получите дополнительные доказательства. Они пригодятся во время судебных разбирательств.

Если воры не выполнили ваши требования, обратитесь в суд

Да, придется потратить много времени, денег и эмоций. Все вернется сторицей, когда суд вынесет решение в вашу пользу.

Судиться или нет? Вряд ли целесообразно подавать в суд на каждого школьника, который сделал ГС-агрегатор. Пусть ребята зарабатывают на игровые артефакты. Такие воры вам практически не вредят.

Судебного разбирательства не избежать, если злоумышленники идут на принцип, работают в вашей отрасли и явно наносят вам ущерб. Например, если владелец конкурирующего интернет-магазина утверждает, что он автор контента, придется встречаться в суде.

Помните, ваши интересы во время разбирательства должен представлять квалифицированный юрист.

Ну как там, в интернете? Воруют!

Мэтт Каттс в упомянутом выше видео утверждает, что около трети контента в Сети — плагиат. Можно было бы позавидовать оптимизму будущего сотрудника американского оборонного ведомства, но дело не в конкретных цифрах. Суть проблемы описывает адаптированная цитата классика, вынесенная в подзаголовок: в интернете воруют контент.

Помните, ваши публикации рано или поздно украдут. Поэтому заранее позаботьтесь о минимизации последствий кражи. Отправляйте себе письма с распечатанными статьями. Брендируйте контент. Указывайте ссылки на другие страницы сайта. Корректно настройте RSS. Обеспечьте соответствие сайта техническим требованиям «поисковиков», чтобы контент своевременно индексировался. Анонсируйте публикации в социальных сетях.

Когда публикацию украдут, можно попробовать по-хорошему поговорить с плагиатором, хостинг-провайдером и администратором площадки, на которой опубликован ваш контент. Если это не поможет, придется судиться. Других вариантов нет.

kak-zashchititsya-ot-vorovstva-kontenta

texterra.ru

Интеллектуальные/авторские права на сайт в Интернете и их защита

Защита интеллектуальных/авторских прав в Интернете

Стратегии защиты

     Основные сегменты Интернета – сайты, блоги, форумы и др. являются сложными произведениями. Поэтому для их защиты используют специальные подходы или стратегии. Согласно одной из таких стратегий на сайте выделяют наиболее ценные, ключевые произведения и их защищают, т.е. регистрируют или патентуют. Другая стратегия предусматривает защиту сайта в целом или его основных частей, например, регистрация программ ЭВМ, баз данных или патентование способа обработки данных. Хорошие результаты также даёт патентование технических решений, сопутствующих деятельности данного сайта. В этом разделе кратко описаны возможные варианты защиты сайтов, а также блогов, форумов и других сложных объектов собственности всемирной сети.

Идентификационные данные 

  Уже на начальном этапе создания сайта следует уделить особое внимание идентификационным данным, их размещению и оформлению:

- Сайт (блог, форум) должен иметь название. Желательно, чтобы название было уникальным в данном сегменте деятельности. Если вы собираетесь развивать своё направление, то целесообразно защитить своё название, как коммерческое обозначение или товарный знак.

- На сайте должен быть указан правообладатель. Так как сайт находится во всемирной сети, то в соответствие Бернской конвенции следует проставить знак охраны авторского права - копирайт (copyright) с указанием правообладателя и года создания сайта, например: © И.О. Фамилия, ГОД.

Без указания идентификационных данных действия по защите сайта нецелесообразны. Далее уже можно проводить действия по защите интеллектуальной собственности, размещаемой в Интернете на сайте.

Способы защиты и комплексный подход 

          В большинстве случаев, достичь эффективной защиты интеллектуальной собственности в Интернете можно только с помощью комплексного подхода, включающего ряд способов защиты:

• Подтверждение авторских (в том числе и

www.a-priority.ru

Защита своего сайта, Безопасность сайтов

Безопасность сайтов должна стоять для каждого веб мастера в списке самых необходимых критериев, т.к. именно это влияет на качество площадки.

Многие администраторы сайтов, устанавливая сложный пароль и выбрав надежного хостинг провайдера, считают, что защита своего сайта на этом заканчивается, и даже не задумываются о том, что им может грозить опасность.

Несколько лет назад, были зафиксированы взломы самых популярных сайтов, компании «Газпром», компании «Nokia», всем известный РБК и даже сайт антивирусной системы Касперского.

Защита своего сайта

Безопасность сайтов

 Теперь сравните свой профессионализм и знания о защите, с работниками того же Касперского, если они не смогли обеспечить своему проекту высокий уровень безопасности, то что сможете сделать вы?

Для начала, вы должны быть уверены в хостинге, если вам предлагают выгодные условия это ещё не причина использовать сервер, т.к. его уровень безопасности может быть весьма сомнительным.

Опирайтесь на количество пользователей и отзывы в интернете, если случаи взлома были зафиксированы, то, скорее всего об этом уже есть информация в сети, и проверить её не составит труда. Так же обращайте внимание на количество площадок, если это «молодой» сервер, и вы не можете найти отзывы, оценить уровень безопасности будет очень сложно.

Как показывает практика, более безопасными являются сайты, состоящие из статистических страниц HTML. В последнее время, веб мастера начали использовать различные CMS, ограждая себя от ручного написания программного кода. Именно это и стало причиной повышенной опасности сайтов, в общем.

В большинстве случаев, хакеры используют различные вредоносные скрипты, которые внедряются на площадку различными способами, например, предлагая их в качестве сервиса.

Если вы используете, какой-либо сервис, и для сотрудничества вам необходимо установить скрипт, обязательно проверьте его на безопасность или обратитесь к грамотному специалисту, который сможет оценить опасность.

Защита сайта, Безопасность сайтов

Исходя из статистики, взломы через скрипты, в большинстве случаев происходят после действий владельца площадки, поэтому будьте осторожны.

Если на вашем сайте есть различные поля для ввода, вы должны обязательно их проанализировать и настроить. Например, мошенники используют формы комментариев, вставляя в них скрипт, и таким образом они размещают ссылки в программном коде, вносят изменения в структуру или даже получают доступ к базам данных.

Чтобы обезопасить свою площадку, запретите указывать скрипты в поле для комментариев, так же запретите передачу файлов. В некоторых случаях, передача файлов необходима, например, если пользователи могут наполнять ваш сайт самостоятельно, в таком случае, будет намного лучше, если вы будете принимать их данные на отдельный сервер.

После модерации и проверки вы будете выставлять их на сайт, в таком случае вы сможете снизить риск взлома вашей системы.

Посредством одной статьи просто невозможно рассказать обо всех нюансах безопасности сайтов, поэтому мы представили вам отдельную часть. Помните, безопасность вашей площадки, зависит от вас, чем лучше вы подготовитесь к хакерским атакам, тем менее опасны они будут.

Советую посетить следующие страницы:— Мифы о раскрутке сайтов— 2 правила ведения блога— Чистота поисковой выдачи Яндекса

webtrafff.ru

Защита сайта от хакерских атак — Nemesida WAF / Блог компании Pentestit / Хабр

Современные реалии показывают постоянно растущие атаки на веб-приложения — до 80% случаев компрометации систем начинаются с веб-приложения. В статье будут рассмотрены наиболее распространенные уязвимости, которые активно используют злоумышленники, а также эффективные методы противодействия им с использованием Nemesida WAF.

При увеличении количества инструментов и техник атак все сложнее становится обеспечить доступность сайта, защитить веб-приложение или его компоненты от взлома и подмены контента. Несмотря на усилия технических специалистов и разработчиков обороняющаяся сторона традиционно занимает догоняющую позицию, реализовывая защитные меры уже после того, как веб-приложение было скомпрометировано. Веб-сайты подвергаются атакам из-за публичной доступности, не всегда качественно написанному коду, наличию ошибок в настройке серверной части, а также отсутствующему контрою со стороны службы ИБ, тем самым обеспечивая злоумышленникам доступ к критичным данным.

В связи с этим возникает необходимость использовать защитные средства, учитывающие архитектуру веб-приложения, и не приводящие к задержкам в работе сайта.

Уязвимости нулевого дня

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками. Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее).

Природа уязвимостей нулевого дня позволяет злоумышленникам успешно атаковать веб-приложения в период от нескольких минут до нескольких месяцев. Такой большой период обусловлен множеством факторов:

  • уязвимость необходимо локализовать и устранить;
  • выкатить работоспособный патч;
  • уведомить пользователей о проблеме;
  • пользователям приложения запустить процесс патч-менеджмента (что бывает очень нелегко сделать «здесь и сейчас» на крупном проекте).
В этом кроется еще один немаловажный фактор — для новой уязвимости может не существовать правил или исключений в защитной системе, а сигнатура атаки может быть не распознана классическими защитными средствами. В этом случае поможет использование белого списка поведенческого анализа конкретного веб-приложения для минимизации рисков атак нулевого дня.

В качестве примера можно привести хронологию атаки Struts2: CVE-2013-2251 Struts2 Prefixed Parameters OGNL Injection Vulnerability — c момента появления «боевого» эксплойта прошло несколько дней, прежде чем многие компании смогли накатить патч.

Тем не менее, при использовании защитных средств можно было выявить запрос вида: http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()} для блокирования атаки, т.к. он явно не является легитимным в контексте пользовательских действий.

«Классические» атаки

Статистика показывает, что многие веб-приложения компрометируются также, как и годами ранее — это разного рода инъекции, инклуды, клиент-сайд атаки, поэтому защитное средство должно уметь выявлять и блокировать атаки, направленные на эксплуатацию следующих уязвимостей:
  • SQL Injection — sql инъекции;
  • Remote Code Execution (RCE) — удаленное выполнение кода;
  • Cross Site Scripting (XSS) — межсайтовый скриптинг;
  • Cross Site Request Forgery (CSRF) — межстайтовая подделка запросов;
  • Remote File Inclusion (RFI) — удалённый инклуд;
  • Local File Inclusion (LFI) — локальный инклуд;
  • Auth Bypass — обход авторизации;
  • Insecure Direct Object Reference — небезопасные прямые ссылки на объекты;
  • Bruteforce — подбор паролей.
В идеальном веб-приложении такого рода уязвимости должны быть обнаружены и зафиксированы еще на этапе разработки: должен был проведен статический, динамический, интерактивный анализ, выявление аномалий в логике работы приложения. Но, зачастую, такие моменты по тем или иным причинам упускаются из виду, на них не остается времени или средств.

Защита на прикладном уровне

Веб-приложения отличаются от обычных приложений двумя вещами: огромным разнообразием и значительной интерактивностью. Это создаёт целый ряд новых угроз, с которыми традиционные межсетевые экраны не справляются.

Протокол прикладного уровня — протокол верхнего (7-го) уровня сетевой модели OSI, обеспечивает взаимодействие сети и пользователя. Уровень разрешает приложениям пользователя иметь доступ к сетевым службам, таким, как обработчик запросов к базам данных, доступ к файлам, пересылке электронной почты. Защита на прикладном уровне является наиболее надежной. Уязвимости, эксплуатируемые злоумышленниками, зачастую полагаются на сложные сценарии ввода данных пользователем, что делает их трудноопределимыми с помощью классических систем обнаружения вторжений. Также этот уровень является самым доступным извне. Возникает необходимость понимать группы протоколов и зависимостей, свойственных для веб-приложений, которые строятся над прикладными протоколами http/https.

Основной принцип защиты сайта на прикладном уровне — верификация и фильтрация данных запросов, передаваемых методами GET, POST и т.д. Подмена или модификация запроса — это базовая основа практически всех способов взлома и атак на сайты.

Цели атак

Веб-приложения могут быть атакованы независимо от их принадлежности к той или иной области деятельности: сайты малой посещаемости, неоперирующие большими объемами информации и не хранящие критичных данных могут быть атакованы в результате нецелевых атак. Значимые сайты, имеющие высокие показатели трафика, огромные объемы пользовательских данных и т.д. являются привлекательной мишенью для злоумышленников и подвергаются атакам практически ежедневно:
  • Каждый третий сайт был взломан или подвергался атакам хакеров;
  • 80% сайтов взламываются в ходе нецелевых атак с использованием популярных сканеров или утилит;
  • Около 60% взломанных сайтов были заражены и заблокированы поисковыми системами.
Для сайтов, оперирующих платежными данными, обрабатывающих онлайн-транзакции существует специализированные требования соответствия стандарту PCI DSS. Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Пункт 6.6 гласит, что помимо проведения аудита веб-приложения необходимо обеспечить применение специализированных защитных средств:

To gain a better understanding of the Requirement 6.6, we should refer to PCI DSS 3.1 standard which says that public-facing web applications shall “address new threats and vulnerabilities on an ongoing basis and ensure these applications are protected against known attacks.” What is important here is the “on an ongoing basis” condition, which makes it very clear that web security is a permanent process and highlights the importance of continuous web security. PCI DSS proposes two ways to achieve this requirement: “Reviewing public-facing web applications via manual or automated application vulnerability security assessment tools or methods, at least annually and after any changes.” “Installing an automated technical solution that detects and prevents web-based attacks (for example, a web-application firewall) in front of public-facing web applications, to continually check all traffic.” Пункт 6.6 носит обязательный характер, если веб-приложение входит в CDE (Cardholder Data Environment).

Обеспечение защиты сайта

Оптимальным решением для обеспечения защиты сайта является применение Web Application Firewall — межсетевого экрана прикладного уровня, позволяющего эффективно защищать сайты от атак злоумышленников.

Web Application Firewall — это специальный механизм, накладывающий определенный набор правил на то, как между собой взаимодействуют сервер и клиент, обрабатывая HTTP-пакеты. В основе кроется тот же принцип, что и в обычных пользовательских фаерволах, — контроль всех данных, которые поступают извне. WAF опирается на набор правил, с помощью которого выявляется факт атаки по сигнатурам – признакам активности пользователя, которые могут означать нападение.

Как это работает

Web Application Firewall работает в режиме прозрачного проксирующего механизма, анализирую на лету приходящие от клиента данные и отбрасывая нелегитимные запросы:

После установки Web Application Firewall необходима настройка под целевое веб-приложение — в зависимости от типа и вида CMS добавляются учитывающие веб-приложение настройки фильтрации и правила и защитное средство переводится в режим обучения, для сбора эталонных моделей коммуникации с веб-приложением, идентификаторов и т.д.

После этапа машинного обучения включается боевой режим, который оперирует как готовыми правилами фильтрации, так и наработками, собранными на этапе обучения для обнаружения и блокирования атак.

Эффективность применения Web Application Firewall складывается из нескольких факторов:

  • Простая интеграция в инфраструктуру;
  • Гибкая система адаптации с веб-приложением;
  • Блокирование угроз OWASP Top 10;
  • Анализ и блокирование аномалий протокола или данных;
  • Обнаружение и блокирование подделки идентификаторов сессий;
  • Обнаружение и блокирование подбора паролей;
  • Инспекция ответов сервера на наличие критичных данных;
  • Динамическое обновление сигнатур атак;
  • Низкое количество ложных срабатываний;
  • Самозащита WAF;
  • Удобный сервис информирования об атаках;
  • Статистика и регламентная отчетность.

Одним из источников, позволяющих выявлять новые сценарии и реализацию атак на веб-приложения, являются «Лаборатории тестирования на проникновение», имитирующие реальную инфраструктуру современных компаний. В лабораториях принимают участие около 9000 специалистов по информационной безопасности со всего мира, с разным уровнем подготовки, навыков и инструментария. Анализ атак, направленных на объекты лаборатории, позволяют составить модели нарушителя и реализации векторов атаки.

Эти данные тщательно анализируются и на их основе добавляются новые правила фильтрации. Таким образом наше решение способно обеспечить полноценную защиту сайта от различных видов и типов атак.

Nemesida WAF — это межсетевой экран прикладного уровня (Web Application Firewall), позволяющий эффективно защищать сайты от хакерских атак даже в случае наличия на сайте уязвимости «нулевого дня».

habr.com

Защита информации на сайте

Не смотря на то, что информация, размещенная на сайте, является собственностью его владельца, зачастую ею пользуются все желающие.

Защита информации на сайте

Как же можно защитить себя от посягательств на плоды своих трудов и не допустить копирования и размещения их на других веб-ресурсах без вашего согласия? Как правило, люди, хорошо разбирающиеся в сайт о строительстве и наполнении сайтов контентом используют различные методы защиты своей информации от банального воровства. В Интернете все чаще встречаются сайты, с которых просто невозможно скопировать информацию благодаря различным программам «java script», отключающим правую кнопку «мышки» или программе HTML Guardian. Некоторые веб-ресурсы позволяют использование своей информации при условии указания ссылки на первоисточник.

К сожалению, на сегодняшний день владельцы сайтов, как правило, сами занимаются защитой своей информации. А ведь ее воровство трактуется российским законодательством, как «нарушение авторских и смежных прав». В некоторых случаях предусмотрена и уголовная ответственность за нарушение прав владельца информации (УК РФ ст. 146). Не смотря на то, что в законодательстве предусмотрена ответственность за незаконное использование чужой интеллектуальной собственности, на практике эта проблема почти не решается. Наряду с широко распространенным копированием фото- и видеоматериалов, текстов и прочей информации, участились случаи копирования сайтов целиком при помощи специальных программ (например, Teleport PRO). При этом многие поисковые системы иногда индексируют сайт вора и выкидывают из индекса сам сайт-первоисточник. При этом владелец первоисточника несет огромные потери. Но даже в этом случае правовая защита интеллектуальной собственности очень сложна, поскольку в сети очень трудно установить вора и привлечь его к ответственности.

Меры противодействия всем компьютерным преступлениям, обеспечивающие безопасность информации подразделяются на:

– инженерно-технические;– организационно-административные;– правовые.

К последним относят разработку норм, которые устанавливают ответственность за любые компьютерные преступления, охрану авторского права программиста, совершенствование судопроизводства, а также гражданского и уголовного законодательства. К ним необходимо отнести и проблемы общественного контроля над разработкой компьютерных систем, подписание международных договоров, касающихся ограничений, если эти системы могут повлиять на экономические, военные, социальные аспекты государств, заключающих такое соглашение.

Всем элементам сайта предоставляется правовая охрана в соответствии с ч.IV ГК РФ. Контент сайта и программы ЭВМ защищаются законом, как объекты авторских прав. Его название и совокупность всех информационных элементов охраняется, как объект смежных прав. Для комплексной защиты своего сайта необходимо получить авторское право на него. При этом в случае незаконного использования информации правообладатель сайта может использовать любые методы защиты исключительных прав, предусмотренные действующим законодательством (административным, гражданским, уголовным). Для этого перед предъявлением претензий и обращения в суд необходимо позаботится о неоспоримых доказательствах, которые удостоверяют факт нарушения исключительных прав. Для этого у нотариуса нужно подтвердить факт нахождения авторского произведения на сайте с указанием определенной даты и принадлежность домена конкретному лицу. Также необходимо наличие документов, подтверждающих авторское право. После этого составляется претензия, которая направляется нарушителю или подается иск в суд.

1-inc.ru

Защита сайта от взлома

 

На определённом этапе некоторые владельцы сайтов и веб-мастера задаются вопросом безопасности. Согласитесь, защита сайта - это важный этап в его проектировании и эксплуатации. Кто-то делает это ещё на этапе формирования технического задания, кто-то на конечной стадии создания сайта, а кто-то после взлома его ресурса. Защищать или не защищать, а также какие меры применять для защиты сайта и сколько на это можно потратить, каждый решает сам для себя. Это зависит от многих факторов. Но, я думаю, основной это то - на сколько большие потери от взлома сайта будут для владельца. Если это личный блог в котором вы рассказываете о своём походе на рыбалку, то тратить тысячи гривен на его защиту, вероятно, будет лишним. Если это сайт фирмы, которая предоставляет услуги по информационной безопасности или же это сайт, от работы которого зависит непосредственная прибыль фирмы (например, интернет-магазин), то безопасность такого сайта играет первоочередную роль и на её организацию можно потратить достаточно большую сумму денег. В данном случае защита сайта - первоочередная задача.

В интернете существует большое количество ресурсов, на которых можно найти информацию о том, как защитить свой сайт от взлома. При написании этой статьи я буду руководствоваться этой информацией, а также личным опытом применения её в своей практике. В предыдущих статьях я уже затрагивал тему безопасности, например, «Обзор jSecure Authentication. Защита админки Joomla», «Обзор Siteguard. Проверка сайта на вирусы», «Безопасный пароль». Я постараюсь рассмотреть этот вопрос с различных позиций. Разделяя внутренние, внешние, локальные и сетевые угрозы (это лично моя обобщённая «классификация» угроз, для облегчения написания статьи). Под внутренними угрозами я понимаю человеческий фактор (случайно написал пароль доступа к административной зоне сайта на бумажке на мониторе, случайно забыл сменить права доступа к файлам после обновления компонентов сайта и так далее) и недобросовестность людей, работающих над сайтом (специально отдал пароль от административной зоны сайта конкурентам, специально установил вредоносное расширение и так далее). Под локальными угрозами я понимаю опасность, идущую от заражённого вирусом компьютера, с которого Вы работаете с FTP и административной зоной сайта. Под сетевой – SQL, PHP инъекции, межсайтовый скриптинг (XSS), атаки типа «Shell», «Upload File», «URL», «Form», «Cookie», «Address Bar», «Live Script» и так далее.

Сейчас очень многие предпочитают системы управления контентом в качестве «платформы» для создания сайта. Помимо удобства и функциональности это несёт массу проблем (база данных, сторонние расширения (компоненты, модули, плагины) и так далее) касательно обеспечения безопасности. При создании статических сайтов, немного легче обеспечить более надёжную защиту. Но хочу сразу отметить, что ни статические ни динамические сайты не защищены от взлома на 100%. Описанные в этой и других статьях способы повышения защищённости сайта от взлома не дают 100% гарантии того, что Ваш сайт никто и никогда не взломает. Эти способы всего лишь уменьшают процент вероятности взлома. Вспомните о LulzSec и Anonymous, вспомните какие ресурсы были ими скомпрометированы! А у этих организаций, наверняка, есть деньги, оборудование и высококвалифицированные специалисты для обеспечения защиты своего сайта.

Рассмотренные мною способы защиты могут быть реализованы как бесплатными, так и платными средствами. Некоторые из методов защиты будут просты в реализации и дальнейшей эксплуатации, а некоторые доставят массу хлопот как при реализации, так и при дальнейшем использовании и модернизации сайта. Различные способы будут давать различную степень защищённости для разных типов угроз (внутренние, внешние, локальные, сетевые). В основном я буду рассматривать защиту сайтов на примере системы управления сайтами с открытым кодом Joomla 1.7. Могу сказать, что однозначного ответа, что лучше, платные системы с закрытым исходным кодом или бесплатные с открытым, нет. Вероятно, что самым безопасным будет создание собственной системы управления контентом, расположенной на собственном хостинге… Но это может быть дорого и долго.

Многие способы и советы будут применимы как для любой системы управления контентом, так и для статических сайтов.

Под негативными последствиями взлома сайта я понимаю: модификацию контента сайта, внедрение вредоносного кода, внедрение ссылки, перенаправляющей на заражённый ресурс и так далее. То есть всё, что влечёт за собой вредоносные последствия для Вас и Ваших пользователей в результате модификации кода сайта со стороны.

Ниже приведу список того, что я рекомендую делать для повышения безопасности Вашего сайта на Joomla.

  • Выбирайте надёжный хостинг с хорошей технической поддержкой и репутацией.
  • Организуйте надёжное и постоянное создание резервных копий сайта.
  • По максимуму ограничьте права доступа к файлам и папкам пользователям.
  • Используйте возможности настройки сервера при помощи .htaccess файла для повышения безопасности сайта.
  • Отключите Register Globals и Safe Mode.
  • Используйте выделенный IP адрес для Вашего сайта.
  • Уберите файл конфигурации Joomla (configuration.php) за пределы папки public_html.
  • Используйте SSH-доступ к сайту.
  • Используйте SSL-сертификаты.
  • Делайте «зеркало» сайта на другом хостинге.
  • Настройте ведение логов.
  • Обновляйте Joomla и сторонние расширения до самых последних версий.
  • Скройте стандартный путь доступа к панели управления сайтом на Joomla.
  • Ограничьте доступ по IP адресу к административной панели сайта, FTP и панели управления хостингом.
  • Уберите «следы» того, что сайт сделан на Joomla.
  • Используйте расширения для защиты сайта Joomla от взлома.
  • Используйте безопасные пароли. Храните их в зашифрованном виде.
  • Используйте токен для аутентификации на сайте.
  • Используйте уникальный префикс для базы данных сайта.
  • Используйте ЧПУ.
  • Обеспечьте круглосуточную поддержку и модерацию Вашего сайта.
  • Чётко разграничьте права доступа для всех пользователей и групп.
  • Организуйте оповещения администратора сайта на электронную почту и телефон о важных (с точки зрения безопасности) событиях на сайте.
  • Не устанавливайте ненужные Вам расширения. Пользуйтесь «надёжными» расширениями и шаблонами сайта, загруженных с официальных ресурсов их разработчиков.
  • Используйте капчи и «системы автоматической фильтрации спама».
  • Необходимо обеспечить безопасность загружаемых пользователями файлов с\на сайт.
  • Не допускайте заражение вирусами Вашего локального компьютера, с которого Вы работаете с сайтом.
  • Проведите аудит безопасности Вашего сайта, включающий анализ кода.
  • Постоянно тестируйте свой сайт.
  • Проверяйте свой сайт на наличие вредоносного кода.
  • Отслеживайте рейтинг своего сайта в «репутационных системах».
  • Храните в тайне информацию о системе управления контентом, её версии и о сторонних расширениях.
  • Информируйте пользователей о том, что сайт был взломан.
  • Читайте новости по безопасности.
  • Решите, нужна ли Вам регистрация пользователей.

Защита компьютера от вирусов

Безусловно, защищённость Вашего персонального компьютера (ноутбука, нетбука, планшета и так далее), с которого Вы работаете с сайтом (получаете доступ к FTP, базе данных, административной зоны сайта) не влияет напрямую на безопасность Joomla. Но не стоит забывать, что некоторые вирусы нацелены специально на кражу паролей от FTP, базы данных и административной зоны сайта (или вообще на кражу любой связки логин\пароль). Также злоумышленник может получить возможность удалённого управления Вашим компьютером и в этом случае ни безопасные пароли, ни ограничения по IP, ни сертификаты шифрования, ни даже токены, не помешают ему сделать с Вашим сайтом абсолютно любые действия.

Если же Ваш персональный компьютер заражён не описанным выше вирусом, а например, вирусом заражающим *.EXE файлы, то он может заразить файл, который Вы выкладываете на сайт для загрузки Вашими пользователями. А это удар по репутации сайта и, возможно не прямое, но всё равно «заражение» Вашего ресурса. Ведь пользователь, скачавший файл может легко заразить свой компьютер. Более того! Современные антивирусные средства (например, Norton Internet Security, Kaspersky Internet Security и так далее) обладают весьма эффективными средствами обнаружения уязвимостей нулевого дня (0day) и средствами блокировки вредоносных сайтов. Например, Ваш компьютер заражён вирусом. Вы выкладываете на свой сайт, не подозревая ни о чём, заражённый файл. Пользователи начинают скачивание Вашего файла. Если их антивирусные средства (например, Norton Internet Security, Kaspersky Internet Security и так далее) обнаруживают заражённый объект, то они обнаруживают и источник, с которого был получен этот объект, то есть адрес Вашего сайта. Антивирусные средства моментально передают эти сведения в репутационные антивирусные базы (например, Norton Community Watch, Kaspersky Security Network (KSN)) своих разработчиков. При этом не только о непосредственно обнаруженном объекте, но и об источнике. То есть адрес Вашего сайта. А из этих баз сведения поступают на сотни тысяч других компьютеров с установленым антивирусным программным обеспечением. И вот Ваш сайт в чёрном списке. Репутация подорвана. Несмотря на то, что факта непосредственного взлома не было – негативные последствия на лицо.

Не стоит оставлять пароли к сайтам в FTP клиентах, браузерах и не защищённых документах (например, *.DOCX). Если для доступа к FTP сайту Вы используете, например FileZilla FTP Client или Total Commander, то убедитесь в том, что хотя бы пароль хранится в зашифрованном виде. Лучше вовсе не оставлять параметры доступа, логин и пароль сохранёнными в подобных программах. Так как есть вирусы, которые могут находить и извлекать учётные данные и настройки доступа к сайту и передавать их злоумышленнику. То же самое относится к сохранению паролей доступа к базе данных, панели управления хостингом и административной зоне сайта. Не стоит сохранять их в браузерах. Или хотя бы побеспокойтесь об их защите.

Безопасный пароль и доверенные люди

Но как бы хорошо, в «программно-аппаратном смысле», Ваш компьютер не был защищён от вирусов, ворующих пароли, всегда есть вероятность того, что кто-то из администраторов (если их несколько) или модераторов с повышенными правами доступа к административной панели попросту отдаст учётные сведения Вашим конкурентам. Или же один из сотрудников, занимающийся администрированием сайта использует одну и ту же связку логин\пароль на всех сайтах. В этом случае существует вероятность выяснить логин\пароль на одном из сайтов и применить для доступа к Вашему (к административной зоне). От этого тоже можно принять некоторые меры, о которых поговорим в дальнейшем. Я настоятельно рекомендую максимально чётко разграничивать права доступа каждого модератора и администратора к административной зоне сайта, FTP, базе данных и так далее. Тем более, что Joomla позволяет это делать штатными средствами. Не стоит давать людям прав больше, чем это им необходимо для нормальной работы с сайтом. Если Вы владелец сайта и над ним работает целая команда, то, желательно, иметь доверенное лицо, которому можно доверить все логины и пароли от всех учётных записей (административной зоне сайта, FTP, базе данных и так далее), а всем остальным выдать минимальные права. Желательно, чтобы этот человек был «основным создателем» сайта. Но это сложный «кадровый» вопрос.

Отмечу, что защита сайта Joomla и безопасный пароль это неразделимые понятия. Так как попав в административную зону сайта, злоумышленник может сделать очень многое.

Более подробно о защите и лечении своего персонального компьютера Вы можете прочитать в моих предыдущих статьях: «Бесплатная защита компьютера от вирусов. Методы защиты компьютера от вирусов», «Лицензионные антивирусы бесплатно», «Обзор Malwarebytes Anti Malware 1.50. Бесплатный антивирус», «Зоркий глаз. Антивирус для флэшки».

Прочитав достаточно большое количество статей на тему безопасности пароля хочу предложить Вам основной перечень правил, придерживаясь которых Вы сможете создать безопасный пароль.

  • Пароль должен быть длинный. Желательно от 8 символов и более. Лучше от 16.
  • Для каждого аккаунта пароль должен быть уникальный. Не используйте один и тот же пароль несколько раз.
  • Используйте строчные и прописные буквы.
  • Используйте цифры.
  • Используйте символы.
  • Не используйте словарные слова. Например: «сайт», «книга», «монитор». Лучше что-то типа такого: «ыврвне», «гфажкшр» и так далее.
  • Не используйте пустые пароли.
  • Используйте (по возможности) сочетание нескольких алфавитов. Например русского, украинского, английского.
  • Особо важные пароли периодически меняйте. Например, раз в месяц.
  • При создании нового пароля следите за тем, чтобы он отличался от всех остальных. При чём это отличие должно быть существенным.
  • Не используйте в качестве пароля любые данные (или их сочетания), которые легко сопоставить с Вами. Например: Ваше имя, фамилия, дата рождения, адрес электронной почты и так далее.

Пример безопасного пароля: GG67ej4*j4b%d2vHyq8.

Если у Вас на одном хостинг-аккаунте расположено несколько сайтов, то применяйте разные пароли к их базам данных и административной зоне.

Но помните, что самый безопасный пароль это не только самый сложный пароль, тот пароль, о котором знаете только Вы.

Считаю, что надёжность паролей (их «секретность») и добросовестность всех людей, отвечающих за проект очень важный контур в защите любого сайта.

Чем квалифицированней и опытней каждый участник проекта, тем лучше. Однако, даже очень опытный Java программист может не знать некоторых банальных вещей касательно безопасности. Поэтому, не лишним будет провести некий «урок по безопасности», на котором опытный и знающий человек, предварительно подготовившись, расскажет остальным меры по повышению безопасности сайта. Особенно, это относиться к тем, кто имеет доступ как минимум к административной зоне сайта. Не стоит забывать, что если проект большой и серьёзный, если он приносит деньги и над ним работают несколько людей, то каждый должен заниматься своей частью работы.

Не выкладывайте в общий доступ файлы с паролями, конфигурацией и резервными копиями Вашего сайта! Это может крайне пагубно сказаться на его защите. Так как, например, при анализе базы данных можно узнать много «интересного» и конфиденциального о Вашем сайте, чтобы в дальнейшем совершить на него успешную атаку.

Защита сайта - сложный и важный вопрос. Защита сайта Joomla имеет свои особенности, как в прочем в случае с любой другой системой управления содержимым. Отмечу, что безопасный пароль является самым простым (в плане реализации) средством повышения безопасности. Но даже самый безопасный пароль не гарантирует высокий уровень защиты.

В следующей статье «Защита Joomla (часть 2). Безопасный хостинг» я рассмотрю более подробно вопрос создания, хранения и использования паролей для доступа к панели управления сайтом, хостингом, базе данных и так далее. Так же будет рассмотрена тема хостинга с точки зрения его стоимости и функциональных возможностей, повышающих защищённость Joomla.

Похожие материалы

 

Полезные ссылки:

aleksius.com

Несколько способов защиты контента сайта от воровства

Основной ценностью веб-сайтов являются их статьи, а значит  защита контента от воровства одна из первоначальных и первостепенных задач каждого вебмастера. И его полная или частичная потеря сравнима с пожаром или ограблением.Поменять шаблон сайта или систему управления контентом не составит труда, а вот если контент бесследно исчез, это серьезная проблема. Предусмотрительные сайтовладельцы предпринимают всевозможные меры для сбережения самого дорогого, что у них есть — контента их сайтов.

zachhita_kontenta_ot_vorovstva_защита_контента_от_воровства

Чтобы надежно гарантировать сбережение содержащейся на сайте информации необходимо регулярно производить соответствующий комплекс мероприятий.

Методы защиты контента сайта от воровства

Для начала необходимо обеспечить резервное копирование файлов сайта. Бэкапа на сервере хостинг-провайдера совершенно не достаточно. А вдруг что-то произойдет на сервере? Короткое замыкание электропроводки и тысячи сайтов исчезли навсегда. Чтобы на душе было спокойно, нужно создавать копии сайта на жестком диске компьютере и внешних носителях. Существуют специальные программы для автоматизации копирования.

После установки программы, она настраивается на сохранение выбранных файлов и папок в указанном порядке. Как правило, одна задача на копирование файлов через каждые несколько минут и вторая, при завершении работы Windows. Таким образом, сайт будет резервироваться и сохраняться, даже если редактор забудет сделать копии вручную.

Во многих конструкторах сайтов и системах управления контентом существует аналогичная опция для создания авто-бэкапов. Нужно только отыскать нужный пункт меню и настроить задачу.

zachhita_kontenta_ot_kopirovaniya_защита_контета_от_копированияСледующий этап обеспечения безопасности состоит в выделении для работы с сайтом отдельного компьютера. Так можно защититься от попыток взлома сайта через соц. сети, эл. почту и другие сервисы, в которых веб-мастер общается с пользователями интернета.

Если для выгрузки файлов на сервер используется FTP клиент, необходимо обеспечить защищенное шифрованное соединение. И никогда не позволять сохранять пароль и логин от сайта в программе, поскольку из нее хакеры легко могут извлечь пасскарту. Для введения паролей и логинов надежнее пользоваться менеджером паролей. Затратив несколько лишних минут, вы сохраните сотни и тысячи часов работы.

Широко распространена в сети практика копипаста, кражи контента с сайтов и ре-публикация на других ресурсах. Чаше всего крадут статьи, которые недавно опубликованы и еще не успели попасть в индексацию.

Чтобы предотвратить такое воровство нужно применить ряд мер.

  • Сначала, еще до публикации статьи, ее нужно задепонировать в сервисах Яндекс и Google. Тогда ведущие поисковики будут знать, что авторское право принадлежит вам. И копипастеры понесут неотвратимое заслуженное наказание;
  • Дополнительно можно установить на сайт скрипт, запрещающий выделение или копирование текста;
  • Для защиты изображений их желательно снабдить водяными знаками, с указанием авторского права;
  • На особо ценную информацию лучше всего получить патенты и сертификаты в соответствующих государственных учреждениях.

Причиной кражи контента часто является устаревшая версия системы управления контентом. Особенно, если сайт работает на одном из популярных движков. Поскольку движок часто используется, то, вскрыв один только сайт, злоумышленники получают доступ ко всем сайтам, созданным на такой же CMS.

Для предотвращения такой неприятности необходимо своевременно обновлять движок до самой последней версии. А лучше всего использовать CMS индивидуальной разработки. Вряд ли хакеры будут утруждаться ради одного-единственного ресурса.

Применяя все эти несложные методы защиты можно существенно снизить риски воровства контента со своего сайта.

Поделитесь пожалуйста, если понравилось:Возможно вам будет интересно еще узнать:

opartnerke.ru