2.15.5. Сайт був скопійований зловмисниками

У сучасних реаліях досить частою проблемою популярних сервісів може стати клонування їх веб-сайтів зловмисниками. Найчастіше таке клонування спрямоване на фішинг або перехоплення замовлень. Клон сайту це дуже велика проблема для сервісу, так як потенційні клієнти йдуть, а їх дані можуть бути вкрадені і використані сторонніми.

Клонування сайту може здійснюватися декількома способами:

• Копіювання HTML-верстки та всіх супутніх файлів сайту. Зазвичай це робить певний бот-парсер, який обходить всі сторінки і копіює їх вміст у готовому HTML-форматі. Таких ботів відстежити досить просто.
• Копіювання HTML-верстки із завантаженням усіх файлів з існуючого сайту. Досить поширений спосіб копіювання сайту, оскільки простіший у реалізації і не вимагає копіювання та розміщення безлічі файлів. Достатньо лише HTML-версії сторінок, а всі інші файли та ресурси будуть завантажені з сайту-донора.
• Отримання файлів сайту-донора. Найчастіше це найбільш трудомісткий спосіб клонування, але такий сайт неможливо буде відрізнити від сайту-донора, а також вкрай складно боротися з такими копіями.

Якщо було виявлено, що сайт скопіювали повністю, то слід виконати наступні рекомендації:

1. Обмежте доступ до сайту для IP-адрес сервера, де розміщений сайт-клон. Така дія може допомогти у випадках, якщо сайт просто автоматично копіюється ботами. Для цього:
   1. Отримайте IP-адресу сервера сайту-клону, виконавши один із наведених нижче прикладів запитів до нього:
      • У командному рядку Windows:

        nslookup example.com

      • У терміналі Linux або macOS:

        host example.com

      • У будь-якому терміналі виконайте команду:

        ping example.com

        
        Замість example.com вкажіть необхідний домен.

   2. Заблокуйте доступ з отриманого IP в обмеженнях доступу або у файлі .htaccess.
2. Встановіть на сайті захист HotLink. Цей захист допоможе усунути можливість завантаження файлів сайту на сайт-клон.
3. У налаштуваннях сайту вимкніть опцію «Додавати заголовок Access-Control-Allow-Origin: * для статичних файлів»:
4. Змініть усі паролі на сайтах і в адмін-панелі хостингу, увімкніть двоетапну аутентифікацію, а також змініть паролі для FTP-користувачів і користувачів баз даних.
5. Після виконання первинних дій щодо усунення можливості клонування потрібно проаналізувати логи веб-сервера на наявність запитів до всіх сторінок з одного або декількох IP за короткий проміжок часу. Також слід перевірити дані, доступні в розділі аналітики, де може бути знайдено підозрілу кількість запитів з одного IP або безліч відповідей 404, які можуть з'являтися при використанні парсер-бота для копіювання сайту.
6. Слід перевірити всі логи FTP, лог авторизацій в обліковому записі, логи авторизацій в адмін-панелі сайту, якщо такі є, та інші доступні дані.
7. Оскільки доступ до файлів сайту міг бути отриманий за допомогою вразливостей CMS або плагінів, то слід оновити всі плагіни до останньої версії, а також перевірити наявність нових версій ядра CMS. Додатково варто скористатися плагінами, які можуть допомогти в захисті сайту від злому.
8. Слід звернутися до пошукових систем для зазначення крадіжки даних сайту та його клонування. Цей метод не завжди дієвий, але все ж можливий.
9. Після всіх виконаних дій на хостингу слід звернутися до хостинг-провайдера, де розміщений сайт-клон, і в поліцію для подальшого розгляду.