О тупых владельцах сайтов
В общем-то сам не знаю для чего это пишу, наверно просто нужно высказаться. А люди то... люди не изменятся и такие будут попадаться всегда. но может кто-то прочтет, задумается и сделает для себя (и своего сайта) выводы.
Предыстория такова - более года назад умер один хороший человек. Я не буду называть имен, кто в курсе те поймут, а для остальных это и не важно. Так вот умер он, внезапно, инфаркт. И осталось более двух десятков сайтов, личных и которые он делал на заказ разным клиентам. И не только делал, но и обеспечивал хостингом, техподдержкой и всем таким прочим. Разумеется за некоторую денюжку.
{module Баннер2}
После его смерти, собралось несколько человек его друзей, совместно сели разобрались в паролями, доступами и решили так - его сайты (в смысле личные проекты) продолжают работать, а вот клиентские ставим перед выбором - или забираете и дальше рулите сами, или они продолжают хостится у нас, мы обеспечиваем техподдержку, а вы платите как и раньше ни о чем не задумываясь. Кто-то остался. А кто-то заявил что мы сами, давайте нам бекап, мы сами решим где хостится, и админить сами будем.
Ну сами так сами, люди взрослые, всем были переданы все файлы и дампы базы и распрощались. Собственно раздачей бекапов как раз я и занимался, просто лучше остальных в этом ориентируюсь :)
И вот проходит больше года и вдруг меня просят поглядеть один из тех, переданных владельцам, сайтов, мол у них что-то там некорректно работает. Ни о каких деньгах речи не идет, типа просто глянь по дружбе. Ну в общем-то мне "просто глянуть" не сложно, иду смотреть. Вроде в коде страниц все чисто, значит проблема в базе. Говорю владельцу - дайте мне доступ к базе, надо поглядеть что у вас там творится.
А тут маленькое лирическое отступление - сайт на Drupal, система то хорошая (хотя мне привычней и удобней для моих нужд Joomla), но за прошедший год там было несколько критических уязвимостей. Причем при взломе данные прописываются именно в базу данных, то есть просто физически вычистить сторонние файлы недостаточно, надо по любому иметь доступ к phpMyAdmin. Ну и, разумеется, для страховки от взлома, сайт надо регулярно обновлять, и ядро и модули, и не забывать закрывать через htaccess все важное.
Просить доступ к базе (я попросил дать мне доступ к админке хостера, там всегда есть возможность запустить phpMyAdmin) пришлось долго. Собственно я его так и не получил. Вначале мне дали доступ от админки сайта. Зашел и ужаснулся - сайт с момента как я его передал ни разу не обновлялся. Ядро, модули - все мигает красным, критическая уязвимость, срочно требуется обновление. Если честно, то я офигел, вроде же забирая сайт уверяли, что у них есть свой специалист, и чем он тогда занимался все это время? Или под "специалистом" подразумевалась девочка, которая вешает новости на главную? Но это не администрирование сайта, например поставить на сайт sxd и не закрыть папку где он стоит через htaccess - ну это вообще ни в какие ворота не лезет! Могли бы тогда сразу на главной большими буквами написать - Добро пожаловать, дорогие хакеры!
Поскольку пароль от админки был не совсем тем, что мне нужно, то пришлось продолжить переписку. В итоге спустя несколько дней мне таки дали пароль от ФТП, при этом письма от владельца сайта шли по 5 штук в день, в основном о том как все плохо, как он волнуется, как у них встали все продажи через сайт и все в таком же духе. В общем спустя неделю я понял, что доступов к базе мне не дождаться, дали ФТП, ну ладно. Выкачал файлы к себе, сделал сравнение с эталонной копией, все чисто. Значит все таки надо запускать phpMyAdmin и лезть в базу. Имея ФТП поставить phpMyAdmin не проблема, но на это нужно время. А если вы еще не забыли, об оплате ничего не говорилось. По этому я в первую очередь занялся своими заказчиками, люди мне все таки деньги платят и ждут результат. А вариант "просто посмотри" по дружбе отложил на свободное время.
Пока я несколько дней ковырялся со своими заказами, сайт лег окончательно, владелец разобиделся и вовсе отключил его на хостинге. Мне больше не пишет, я плохой, не помог :) То что сам тормозил и за три недели так и не смог прислать мне логин\пароль для админки хостера - наверно в этом тоже я виноват.
Если честно, то мне как-то наплевать. Я лично этого человека в глаза не видел, денег мне за работу не платили и даже не обещали, и откликнулся я просто потому что попросила за него знакомая.
Но меня поражает тупизм таких вот владельцев сайтов! Вам предлагали остаться на хорошем качественном хостинге под присмотром людей которые понимают, что и как надо делать чтобы сайт не взломали. Но нет же, мы сами с усами, у нас свой специалист есть! Но за это платить не хотят. Ведь работа админа незаметна - ну обновил он ядро, поставил новые версии модулей, закрыл каталог в картинками от запуска всяких cgi - это же со стороны не заметно. А вот девочка которая новый баннер нарисовала или два десятка товаров в базу вбила - вот она да, работает, результаты ее труда сразу видны. В итоге мы ей платить будем, а этому халявщику одмину - фиг! Он же ничего не делает!
Вот и получают в итоге взломанный сайт.
Можно ли его восстановить? Можно, но нужны а) доступы в админку, б) деньги за работу. Я чистил зараженные сайты на разных системах, в том числе и на Друпале, но дело это достаточно муторное и продолжительное, за пять минут там не управится. И разумеется не стану этим заниматься бесплатно. Но такие владельцы сайтов не перестают удивлять (сейчас я обобщаю несколько случаев) - вроде как уверяет человек, что сайт ему позарез нужен для работы, что через него продажи идут, заказы поступают и все такое прочее. Но как только разговор заходит об оплате, о сразу начинается, ой а просто посмотреть не можете? А может подешевле? А вы просто скажите нашему "специалисту" что делать, а дальше он сам. Ну и самый хит сезона - а давайте мы вместо денег вам сделаем скидку на продающуюся у нас супер-пупер мега хрень! Ага, и кушать я тоже эту мега хрень буду, да?
В общем, если вдруг, что крайне маловероятно, этот текст увидит (и дочитает) какой нибудь из владельцев сайтов, то вот мой вам совет! Не жмитесь на оплату админа! Поймите, что веб-дизайнер, контент-менеджер и админ - это разные вещи. И в одном человеке они сочетаются редко. Я вот никогда не возьмусь вбивать две сотни карточек товара на сайт. Во первых у меня терпения не хватит, а во вторых для этого мои знания не нужны. Сажаете любую девочку (не поверите, но даже высшего образования не надо), я ей пять минут показываю как пользоваться редактором, и она все прекрасно вбивает. И баннер я вам рисовать не буду. Просто не умею. Да, вот представьте себе - не умею. Вот такой вот я фиговый компьютерщик. Обеспечивать безопасность сайта умею, писать и адаптировать какие-то модули на php умею, прикручивать какую нибудь Янекс.Кассу к вашему долбанному магазину - все это я могу. А баннер - нет. Для этого есть миллион дизайнеров, которые нарисуют его куда быстрее, красивее и креативней, чем я при всем желании и старании. Но вот от взлома вас они защитят врядли. А у нас обычно как - посадят кого-то заниматься сайтом и ждут что один человек сделает все. Потом делают круглые глаза - а как это так нас взломали?
{module Баннер2}