На прошлой неделе мне позвонила директор одной компании, в том числе производящей и информационную продукцию.  Но не просто поболтать, а с интересным коммерческим предложением: я перестаю взламывать и портить их прекрасный сайт, а они мне что-то взамен. Естественно, не мог не поинтересоваться, что же всё-таки мне нужно сделать (или перестать делать). Потому что деньги или борзых щенков принять я исключительно за, но надо понимать, за что. Оказалось, что уже довольно продолжительное время на сайте без их согласия появляются материалы в стиле «Путин – Вор» и посторонняя реклама. И происходит это не из-за безответственного подхода к безопасности интернет-ресурса, как мог бы предположить здравомыслящий человек (и пошёл бы заделывать щели, менять замки, пригласил специалиста), а ввиду злого умысла неких людей, в числе которых и я.

То есть, фактически, мне предложили сознаться во взломе сайта и совершении там вредоносных действий, свалив на меня ответственность за собственные ошибки у в управлении.  Уровень муда… зазнайства звонящего, очевидно, был на тот момент поразительным: руководитель отказывалась признавать, что из-за непонимания техпроцесса или жадности они не могут наладить безопасную работу технически сложного продукта (сайта) и решила найти крайнего. Поскольку однажды я имел глупость связаться с этой шарашкой, размещая на нём материалы и капельку доработав, то в списке потенциальных виновников оказался и я. И ещё тогда сообщил о присутствии на сайте посторонней рекламы и дырах в защите, вызвался всё исправить, но доступов для внесения изменений так и не получил.

Объяснил абоненту, что размещение на их сайте посторонних статей и рекламы, скорее всего, вызван не личными, а чисто экономическими мотивами: за рекламу на раскрученных сайтах платят. А размещает, вероятно робот, находящийся даже и не в России. Но вот про Путина у меня осадочек остался… В финале нашего разговора дал директору несколько советов по повышению безопасности, услышал «понятно» и попрощались. Подозреваю, что ничего не изменится, а охота на ведьм, вместо управленческих и технических решений, будет продолжаться.

А вам, читатель, если также хотите иметь проблемы с сайтом и поохотиться на ведьм, дам насколько советов, как положить основу этой увлекательной забаве.

1. Доверьте сделать ваш сайт какому-нибудь сыну знакомого или вашему сотруднику, которого вы однажды видели за компьютером. Он точно будет делать это в 1й раз и гарантированно заложит кучу проблем уже в базовом варианте сайта. Основа есть.
2. Не заключайте никаких договоров с разработчиком сайта о гарантиях и сервисном обслуживании. В идеале после запуска сайта потеряйте все контакты с разработчиком. Если что-то случится, и вы пригласите другого специалиста решать проблему, он потратит кучу времени на понимание принципов работы системы. Не работающий пару недель сайт – это наша цель.
3. У вас не должно быть специалиста, который бы обеспечивал безопасность и отвечал за круглосуточной функционирование вашего сайта, делал мелкие доработки. Вы же всё равно не поймёте, в чём суть его работы: сайт будет всегда, стабильно и без проблем работать. Непонятно, делает ли что-то специалист для этого, или нет. А без специалиста вам будет не с кого спросить, придётся искать фантомных врагов снаружи.
4. Помните, что новые угрозы в мире информационных технологий появляются ежечасно. Предвкушайте: однажды обязательно найдётся способ взломать и ваш ресурс. Скорее всего, это сделает робот, в компании других сайтов. А вместе страдать веселее.
5. Ввиду предыдущего пункта, помните, что проблемы безопасности довольно быстро решаются в обновлениях. Поэтому никогда не обновляйте программное обеспечение вашего сайта – так он будет более беззащитен.
6. Лучшая практика: изначально используйте в базе не широко известные, поддерживаемые и тестируемые огромным сообществом системы, а закажите быстро и дёшево написать движок под вас. Так вы обеспечите сайту сбои и увеличенные расходы при любых необходимых доработках, плюс повысите шанс на взлом.
7. Ни в коем случае не используйте системы резервирования данных. Когда ваш сайт однажды отключится, потеряет все данные или начнутся сбои, вы не сможете восстановить последнюю рабочую версию в пару кликов мышки. Это именно то, что вам нужно.
8. Меняйте пароли как можно реже. Ни в коем случае не меняйте пароль, если вы дали кому-то временный доступ в систему управления сайтом. Вдруг однажды на его компьютер попадёт вирус? Пусть уничтожит и ваш сайт.
9. Если даёте кому-то доступ, например, для правки статьи, то не задумывайтесь о достаточном уровне привилегий. Сразу давайте суперпользователя с полными правами. Это позволит вам в дальнейшем обвинять во «взломе» каждого, кому такой доступ выдавался (пароль-то вы так и не сменили). Кроме того, поможет вам свалить вину на другого, если вы будете размещать статьи в стиле «Путин – вор», а вам джедаи намекнут, мол, не надо так, плохо кончишь свой бизнес, родной.
10. Ни в коем случае не делайте аудит безопасности ни бесплатными средствами в интернете, ни при поддержке специалистов. Больше угроз – бодрее жизнь.
11. Если же вам всё же стало известно о проблемах безопасности вашей информационной системы, то просто проигнорируйте это. Помните: ваша цель – максимум деструкции.
12. Не фиксируйте информацию о подключениях к сайту, действиях пользователей. Это могло бы сразу идентифицировать источник проблем (например, выявить спам-бота). А так вам будет повод подозревать всех.
13. Устанавливайте все расширения подряд, особенно из непроверенных источников. Это гарантированно откроет широкие ворота для доступа к вашему сайту все желающим. Но вы-то уже знаете, кто виноват. Продемонстрируйте вашу отвагу и слабоумие.

И, конечно же, обязательно перенесите Ваш опыт в ИТ на реальную жизнь: в квартире, офисе и на складе сами сделайте дверь, вставьте замки неизвестно качества со стандартными, в рамках всей серии, ключами, ключи раздайте всем, но не ведите учёт посещений, откажитесь от охраны и сигнализации. Заранее продумайте, кто будет виноват, когда у вас всё украдут (естественно, не вы сами). Истерите. Меньше адеквата. Приятных проблем!

Привет. Как у настоящего сапожника, у меня нет сапог, то есть мой сайт пока в разработке. Но Вы можете связаться со мной с помощью контактов, указанных ниже, и Ваш хороший сайт начнёт появляться.

Удобно написать через вконтакт, телеграмм или через форму.