Как защитить интернет-магазин от DDoS-атак в разгар «черной пятницы»
09.11.2022
К скидкам в «черную пятницу» готовятся не только покупатели, но и интернет-магазины. Надо успеть проверить, чтобы все работало как часы, спрогнозировать нагрузку на сайт и защититься от DDoS-атак, которые в этот период очень уж любят мошенники и конкуренты. Вместе с нашим техническим директором Денисом Отвалко собрали чек-лист о том, что важно сделать перед «черной пятницей». Сверяйтесь, чтобы защитить свой интернет-магазин.1. Максимально оптимизируйте сайт
Это можно сделать силами своей команды. Из самого простого — сожмите все изображения и видео на сайте, чтобы он загружался быстрее. Также вместе со своими техническими специалистами проведите нагрузочное тестирование. Допустим, если на ваш сайт каждый день приходит 1000 пользователей, проверьте, как он справится с 10 000 посетителей.
Только сделайте это заранее — хотя бы за пару недель до планируемой распродажи.
2. Позаботьтесь о доступности интернет-магазина
Как я уже говорил, в период распродаж наплыв на ваш сайт резко возрастет. Если в обычный день на него приходит 1000 пользователей, то в разгар «черной пятницы» эта цифра может увеличиться многократно — до 5 000, 10 000 и больше.
Привычная инфраструктура может не вытянуть такой поток, и сайт в какой-то момент перестанет быть доступным вашим пользователям. Вместо того, чтобы оставлять заказы в корзине, они будут видеть пустые страницы или страницы без картинок, ошибку 403 и все в таком роде. А вы вместо того, чтобы наслаждаться сотнями заказов, будете спешно разбираться, как вернуть сайту доступность. Сделать это иногда не так быстро.
О чем можно подумать заранее? Об аренде дополнительных серверов или переходе на облако.
Преимущество облака перед дополнительным сервером в том, что оно гибкое и позволяет оптимизировать ресурсы и ваши затраты. Настройки клауда можно менять самому в любое время. Планируется наплыв посетителей? Увеличили параметры облачного сервера. Распродажа закончилась? Уменьшили. Самое крутое, что платите вы только за те мощности, которые использовали.
3. Подготовьте сайт к возможным DDoS-атакам
Такие атаки могут проводить как злоумышленники, так и ваши конкуренты.
DDoS-атака — это когда недоброжелатели направляют на ваш сайт огромное количество запросов с зараженных компьютеров, так называемых бот-сетей. Эти запросы формируются таким образом, чтобы сервер исправно их обрабатывал и не отклонял. В итоге большую часть времени сервер занимается «пустышками». Вместо того, чтобы нормально обрабатывать запросы от реальных пользователей, которые из-за DDoS никак не могут пробиться на ваш сайт.
Заказать стандартную DDoS-атаку — не слишком дорогое удовольствие, поэтому подобную схему часто используют конкуренты в преддверии и во время грандиозных распродаж.
Лучший способ не дать положить ваш сайт — заранее подумать о его безопасности и использовать специальные средства защиты. Об этом нужно думать всегда, но в период скидок и праздников это как никогда актуально.
Что можно сделать: использовать специализированные анти-DDoS-решения и межсетевые экраны. Эта комбинация позволяет отражать сложные атаки. Главное позаботиться о защите еще до начала возможной атаки — хотя бы за пару недель до начала распродажи. Надо понимать, что использование такого рода решений требует специальных знаний и обычно внушительных бюджетов. Если ни разу не закладывали это в свой финансовый план на год, пора. В случае какой-то атаки (тем более во время распродаж) это быстро окупится.
Подключить эти решения самостоятельно не так-то просто, поэтому лучше обратиться к своим техническим специалистам или хостинг-провайдеру. Они предложат разные варианты — от конкретных программ, которые будут блокировать трафик на уровне провайдера, до переноса всей инфраструктуры в защищенный контур, в котором уже есть все необходимое для защиты сайта.
4. Заранее поговорите с сисадминами
В период распродаж команда сисадминов должна дежурить круглосуточно, мониторить систему и, в случае какой-то атаки, оперативно ее отбивать. Нападение на вашу инфраструктуру никак не должно сказаться на работе ресурса, а вы не должны терять прибыль.
Поэтому советую заранее проговорить график работы со своим техническим отделом. Важно, чтобы специалисты начали дежурить круглосуточно не только в дни «черной пятницы», а примерно за неделю.
Еще как вариант — обратить внимание на услугу «Мониторинг сайтов», которая заметно упростит работу вашим сисадминам. У нее есть как бесплатный базовый тариф, так и платные. С мониторингом вы увидите ключевые данные о доступности вашего сайта. И если что-то произойдет, сразу получите сообщение о недоступности ресурса в удобном канале — по SMS, почте или в телеграме.
Если в штате нет сисадминов или просто не хватает рук на «черную пятницу» — обратитесь к хостинг-провайдеру за услугой администрирования. С ней за стабильной работой вашего ресурса будут присматривать топовые системные администраторы. Услугой можно воспользоваться разово в рамках «черной пятницы» или на постоянной основе.
5. Скройте IP-адреса
Так вы усложните задачу тем, кто планирует DDoS-атаку на ваш ресурс. Скрыть IP-адреса можно через CloudFlare или DDoS-Guard. Попросите об этом штатных технических специалистов или, опять-таки, хостинг-провайдера.
6. Позаботьтесь о персональных данных ваших клиентов
Их нужно бережно хранить всегда, но в период «черной пятницы» важно перепроверить все еще раз. Дело в том, что во время распродаж люди любят создавать новые личные кабинеты и оставлять личные данные направо и налево. А чем больше таких данных в вашей базе, тем она заманчивее для мошенника.
Чтобы быть спокойным за личные данные ваших клиентов, перейдите на специализированный хостинг для персональных данных. Он включает множество средств дополнительной защиты — межсетевой экран, потоковый антивирус, системы обнаружения и предотвращения вторжений. Межсетевой экран блокирует нежелательный трафик и пропускает разрешенный. Делает это по заданным правилам, которые называются списками контроля доступа.
Также с хостингом для персональных данных вы не только минимизируете возможность утечки, но и будете следовать текущему законодательству РБ в области хранения и защиты персданных.
7. Проверьте срок регистрации домена
Обязательно! Это займет пару минут, зато вы будете уверены, что сайт не отключится в самый ненужный момент. Если срок регистрации домена подходит к концу — заранее оплатите его и сразу настройте автопродление. Удобная функция, которая сбережет ваше время, нервы и средства.
Еще рекомендую зарегистрировать домены, схожие по написанию и звучанию с доменом вашего официального сайта. И сразу направить их на основной сайт с помощью редиректов.
В период распродаж пользователи могут вводить имя вашего сайта напрямую в адресной строке. И велик шанс, что они могут ошибиться в написании. Этим могут воспользоваться фишинг-мошенники — зарегистрировать домены, похожие на ваш, и поместить на них полные копии вашего сайта. В итоге ничего не подозревающий посетитель, случайно попавший на фишинговый сайт, введет здесь свои личные и платежные данные. И они сразу утекут в руки мошенников.
Вроде вы не виноваты, но в итоге пострадает именно ваша репутация. А вот если заранее позаботиться об этом, приобрести схожие домены и настроить редирект — вы снизите вероятность фишинга и негативных последствий от него.
8. Настройте резервное копирование
Бекапы всему голова! Они действительно спасут вас, если с сайтом все-таки что-то произойдет. Резервная копия позволит восстановить ресурс вместе со всеми базами данных.
Лучше всего настроить автоматическое создание копий по расписанию. И чем чаще будет проводиться бекап, тем лучше.
Прямо сейчас еще раз сверьтесь с чек-листом и постарайтесь закрыть все пункты. Это позволит спокойно встретить «черную пятницу» и быть готовым к сотням заказов. Крутых продаж!
И не забывайте про остальные соцсети
