Партнерский материал «Про бизнес» 8 ноября 2022

Как защитить интернет-магазин от DDoS-атак в разгар «черной пятницы»

К скидкам в «черную пятницу» готовятся не только покупатели, но и интернет-магазины. Надо успеть проверить, чтобы все работало как часы, спрогнозировать нагрузку на сайт и защититься от DDoS-атак, которые в этот период очень уж любят мошенники и конкуренты. Вместе с техническим директором hoster.by Денисом Отвалко собрали чек-лист о том, что важно сделать перед «черной пятницей». Сверяйтесь, чтобы защитить свой интернет-магазин.

**Денис Отвалко**
Технический директор hoster.by

1. Максимально оптимизируйте сайт

Это можно сделать силами своей команды. Из самого простого — сожмите все изображения и видео на сайте, чтобы он загружался быстрее. Также вместе со своими техническими специалистами проведите нагрузочное тестирование. Допустим, если на ваш сайт каждый день приходит 1000 пользователей, проверьте, как он справится с 10 000 посетителей.

Только сделайте это заранее — хотя бы за пару недель до планируемой распродажи.

2. Позаботьтесь о доступности интернет-магазина

Как я уже говорил, в период распродаж наплыв на ваш сайт резко возрастет. Если в обычный день на него приходит 1000 пользователей, то в разгар «черной пятницы» эта цифра может увеличиться многократно — до 5 000, 10 000 и больше.

Привычная инфраструктура может не вытянуть такой поток, и сайт в какой-то момент перестанет быть доступным вашим пользователям. Вместо того, чтобы оставлять заказы в корзине, они будут видеть пустые страницы или страницы без картинок, ошибку 403 и все в таком роде. А вы вместо того, чтобы наслаждаться сотнями заказов, будете спешно разбираться, как вернуть сайту доступность. Сделать это иногда не так быстро.

О чем можно подумать заранее? Об аренде дополнительных серверов или переходе на облако.

Преимущество облака перед дополнительным сервером в том, что оно гибкое и позволяет оптимизировать ресурсы и ваши затраты. Настройки клауда можно менять самому в любое время. Планируется наплыв посетителей? Увеличили параметры облачного сервера. Распродажа закончилась? Уменьшили. Самое крутое, что платите вы только за те мощности, которые использовали.

3. Подготовьте сайт к возможным DDoS-атакам

Такие атаки могут проводить как злоумышленники, так и ваши конкуренты.

DDoS-атака — это когда недоброжелатели направляют на ваш сайт огромное количество запросов с зараженных компьютеров, так называемых бот-сетей. Эти запросы формируются таким образом, чтобы сервер исправно их обрабатывал и не отклонял. В итоге большую часть времени сервер занимается «пустышками». Вместо того, чтобы нормально обрабатывать запросы от реальных пользователей, которые из-за DDoS никак не могут пробиться на ваш сайт.

Заказать стандартную DDoS-атаку — не слишком дорогое удовольствие, поэтому подобную схему часто используют конкуренты в преддверии и во время грандиозных распродаж.

Лучший способ не дать положить ваш сайт — заранее подумать о его безопасности и использовать специальные средства защиты. Об этом нужно думать всегда, но в период скидок и праздников это как никогда актуально.

Что можно сделать: использовать специализированные анти-DDoS-решения и межсетевые экраны. Эта комбинация позволяет отражать сложные атаки. Главное позаботиться о защите еще до начала возможной атаки — хотя бы за пару недель до начала распродажи. Надо понимать, что использование такого рода решений требует специальных знаний и обычно внушительных бюджетов. Если ни разу не закладывали это в свой финансовый план на год, пора. В случае какой-то атаки (тем более во время распродаж) это быстро окупится.

Подключить эти решения самостоятельно не так-то просто, поэтому лучше обратиться к своим техническим специалистам или хостинг-провайдеру. Они предложат разные варианты — от конкретных программ, которые будут блокировать трафик на уровне провайдера, до переноса всей инфраструктуры в защищенный контур, в котором уже есть все необходимое для защиты сайта.

4. Заранее поговорите с сисадминами

В период распродаж команда сисадминов должна дежурить круглосуточно, мониторить систему и, в случае какой-то атаки, оперативно ее отбивать. Нападение на вашу инфраструктуру никак не должно сказаться на работе ресурса, а вы не должны терять прибыль.

Поэтому советую заранее проговорить график работы со своим техническим отделом. Важно, чтобы специалисты начали дежурить круглосуточно не только в дни «черной пятницы», а примерно за неделю.

Еще как вариант — обратить внимание на услугу «Мониторинг сайтов», которая заметно упростит работу вашим сисадминам. У нее есть как бесплатный базовый тариф, так и платные. С мониторингом вы увидите ключевые данные о доступности вашего сайта. И если что-то произойдет, сразу получите сообщение о недоступности ресурса в удобном канале — по SMS, почте или в телеграме.

Если в штате нет сисадминов или просто не хватает рук на «черную пятницу» — обратитесь к хостинг-провайдеру за услугой администрирования. С ней за стабильной работой вашего ресурса будут присматривать топовые системные администраторы. Услугой можно воспользоваться разово в рамках «черной пятницы» или на постоянной основе.

5. Скройте IP-адреса

Так вы усложните задачу тем, кто планирует DDoS-атаку на ваш ресурс. Скрыть IP-адреса можно через CloudFlare или DDoS-Guard. Попросите об этом штатных технических специалистов или, опять-таки, хостинг-провайдера.

6. Позаботьтесь о персональных данных ваших клиентов

Их нужно бережно хранить всегда, но в период «черной пятницы» важно перепроверить все еще раз. Дело в том, что во время распродаж люди любят создавать новые личные кабинеты и оставлять личные данные направо и налево. А чем больше таких данных в вашей базе, тем она заманчивее для мошенника.

Чтобы быть спокойным за личные данные ваших клиентов, перейдите на специализированный хостинг для персональных данных. Он включает множество средств дополнительной защиты — межсетевой экран, потоковый антивирус, системы обнаружения и предотвращения вторжений. Межсетевой экран блокирует нежелательный трафик и пропускает разрешенный. Делает это по заданным правилам, которые называются списками контроля доступа.

Также с хостингом для персональных данных вы не только минимизируете возможность утечки, но и будете следовать текущему законодательству РБ в области хранения и защиты персданных.

7. Проверьте срок регистрации домена

Обязательно! Это займет пару минут, зато вы будете уверены, что сайт не отключится в самый ненужный момент. Если срок регистрации домена подходит к концу — заранее оплатите его и сразу настройте автопродление. Удобная функция, которая сбережет ваше время, нервы и средства.

Еще рекомендую зарегистрировать домены, схожие по написанию и звучанию с доменом вашего официального сайта. И сразу направить их на основной сайт с помощью редиректов.

В период распродаж пользователи могут вводить имя вашего сайта напрямую в адресной строке. И велик шанс, что они могут ошибиться в написании. Этим могут воспользоваться фишинг-мошенники — зарегистрировать домены, похожие на ваш, и поместить на них полные копии вашего сайта. В итоге ничего не подозревающий посетитель, случайно попавший на фишинговый сайт, введет здесь свои личные и платежные данные. И они сразу утекут в руки мошенников.

Вроде вы не виноваты, но в итоге пострадает именно ваша репутация. А вот если заранее позаботиться об этом, приобрести схожие домены и настроить редирект — вы снизите вероятность фишинга и негативных последствий от него.

8. Настройте резервное копирование

Бекапы всему голова! Они действительно спасут вас, если с сайтом все-таки что-то произойдет. Резервная копия позволит восстановить ресурс вместе со всеми базами данных.

Лучше всего настроить автоматическое создание копий по расписанию. И чем чаще будет проводиться бекап, тем лучше.

Прямо сейчас еще раз сверьтесь с чек-листом и постарайтесь закрыть все пункты. Это позволит спокойно встретить «черную пятницу» и быть готовым к сотням заказов. Крутых продаж!

Партнер проекта — hoster.by

В hoster.by есть все для того, чтобы ваш проект работал еще эффективнее: специализированные виды хостинга под самые популярные CMS. Закажите бесплатную консультацию.