КОНЬЯКОВ.ру

Аудит, Разработка, ИБ, Поддержка и SEO сайтов

Страница 2 из 22

WordPress 4.7.3 Security and Maintenance Release

Posted March 6, 2017 by James Nylen. Filed under Releases, Security.

WordPress 4.7.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately.

WordPress versions 4.7.2 and earlier are affected by six security issues:

  1. Cross-site scripting (XSS) via media file metadata.  Reported by Chris Andre Dale, Yorick Koster, and Simon P. Briggs.
  2. Control characters can trick redirect URL validation.  Reported by Daniel Chatfield.
  3. Unintended files can be deleted by administrators using the plugin deletion functionality.  Reported by xuliang.
  4. Cross-site scripting (XSS) via video URL in YouTube embeds.  Reported by Marc Montpas.
  5. Cross-site scripting (XSS) via taxonomy term names.  Reported by Delta.
  6. Cross-site request forgery (CSRF) in Press This leading to excessive use of server resources.  Reported by Sipke Mellema.

Thank you to the reporters for practicing responsible disclosure.

In addition to the security issues above, WordPress 4.7.3 contains 39 maintenance fixes to the 4.7 release series. For more information, see the release notes or consult the list of changes.

Download WordPress 4.7.3 or venture over to Dashboard > Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.7.3.

BEGIN PGP PUBLIC KEY BLOCK

Если у вас есть что-то важное и секретное для меня, прошу использовать мой публичный GnuPG ключ…

Read More

С Новым 2017 Годом!!!

Желаю вам всего хорошего, чтобы можно было выбрать лучшее!

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Kaspersky Security Bulletin 2016: Прогнозы на 2017 год

Конец «Индикаторов заражения»

Пролетел еще один год, и, судя по событиям, произошедшим в сфере информационной безопасности, он войдет в историю. Это был год драм, интриг и эксплойтов. Сегодня, мысленно возвращаясь к наиболее нашумевшим историям года, мы пытаемся заглянуть в будущее и дать прогноз, каким будет ландшафт угроз в 2017 году. Мы не будем предлагать читателям завуалированную рекламу, а постараемся построить свои прогнозы на основе тех тенденций, которые мы наблюдали в ходе наших исследований, и дать пищу для размышлений как экспертам в области IT-безопасности, так и просто интересующимся ею.

Прошлогодние прогнозы

Прошлогодние прогнозы оправдались практически полностью, некоторые – даже с опережением графика. Напомним наиболее примечательные из них.
АРТ-атаки. Мы ожидали уменьшения акцента на устойчивость к обнаружению, а также более частых попыток «смешаться с толпой» за счет использования стандартного вредоносного ПО в целевых атаках. Мы много раз видели проявление этой тенденции в применении атакующими бесфайлового вредоносного ПО, а также во множестве обнаруженных целевых атак на активистов и компании, проводимых с помощью широко распространенных вредоносных программ, таких как NJRat and Alienspy/Adwind.
Программы-вымогатели. 2016 год смело можно назвать годом вредоносных программ-вымогателей. Из финансовых вредоносных программ, позволяющих киберпреступникам завладеть деньгами жертв, остались практически только такие. В их основе лежит наиболее эффективная схема вымогания денег, и это позволило киберпреступникам привлечь ресурсы от менее прибыльных схем.
Больше банковских краж. Прогнозируя переход финансовых преступлений на самый высокий уровень, мы допускали, что мишенями могут стать такие организации, как фондовые биржи. Наши прогнозы реализовались в виде атак на систему SWIFT: эффективные и грамотно размещенные вредоносные программы позволили киберпреступникам положить в свой карман миллионы.
Интернет-атаки. Зачастую игнорируемая масса плохо защищенных устройств с подключением к интернету совсем недавно вторглась в нашу жизнь в виде отвратительного IoT ботнета, который вызвал перебои в работе крупных интернет-сервисов, а также проблемы у тех, кто полагался на конкретного поставщика DNS-сервисов.
Предание позору. Публикация порочащей информации и вымогательство продолжили свое победное шествие: стратегически спланированные и беспорядочные сливы информации стали причиной огромного количества личных, репутационных и политических проблем. Мы должны признать, что мы были поражены и масштабами некоторых из этих утечек, и тем, кто оказался в числе жертв.

Эти страшные АРТ-атаки

Появление индивидуальных и пассивных имплантов Несмотря на то что приходится прилагать немалые усилия, чтобы убедить компании и крупные предприятия реализовать защитные меры, когда эти меры становятся малоэффективными или вовсе перестают работать, необходимо признавать это. Индикаторы заражения (IoC) – отличный способ делиться данными о характеристиках (таких, как хэши и используемые домены) или об особенностях выполнения уже известных вредоносных программ, что позволяет жертвам обнаружить активное заражение. Тем не менее, киберпреступники, составляющие 1% наиболее серьезных участников кибершпионских игр, умеют защищаться от таких общепринятых мер. Недавно это было наглядно продемонстрировано APT-группировкой ProjectSauron, использующей полностью адаптируемую модульную вредоносную платформу, каждый элемент которой модифицируется в расчете на конкретную жертву, что не позволяет использовать индикаторы заражения для обнаружения вредоносного ПО в системах других жертв. Это не означает, что защититься от атак совершенно невозможно, однако мы убеждены, что пора активнее выступать за более широкое применение качественных правил Yara, которые позволяют полностью проверять всю инфраструктуру предприятия, внимательно изучать и определять признаки заражения в неактивных исполняемых файлах, а также проверять память на присутствие фрагментов известных атак.
ProjectSauron также продемонстрировала еще одну сложную тенденцию, развитие которой мы ожидаем увидеть в будущем, – применение пассивных имплантов. Сетевой бэкдор, размещенный в памяти или установленный в виде драйвера с бэкдор-функционалом на интернет-шлюзе или интернет-сервере, молча ожидает появления волшебных байтов для пробуждения своего вредоносного багажа. До отправки злоумышленниками сигнала на пробуждение пассивные импланты практически не подают признаков активного заражения. В результате они могут быть обнаружены только самыми дотошными специалистами по безопасности или в рамках более широкого сценария реагирования на инциденты. Нужно учитывать, что эти импланты не имеют заранее определенной инфраструктуры командных серверов, что усложняет их идентификацию и обеспечивает более высокую степень анонимности. Таким образом, это инструмент для самых осторожных киберпреступников, которым может потребоваться оперативно получить
доступ в атакуемую сеть.

Короткие заражения

Помимо того, что PowerShell приобрел популярность среди администраторов Windows, для которых он стал «инструментом мечты», его взяли на вооружение и многие разработчики вредоносного ПО, которые ищут пути для скрытного развертывания своих программ, механизмы распространения их по сети, а также возможности получения разведывательных данных без лишних записей в журналах событий, используемых в стандартных конфигурациях.
Можно предположить, что крошечные, размещаемые в оперативной памяти или в реестре вредоносные программы, использующие PowerShell, будут прекрасно себя чувствовать в современных системах Windows. В качестве развития этой тенденции в дальнейшем мы ожидаем увидеть короткие заражения: резидентное вредоносное ПО, предназначенное для проведения общей разведки и сбора учетных данных, для которого продолжительность нахождения в системе – не главное. В средах с высокими требованиями секретности злоумышленников, действующих скрытно, может устраивать возможность присутствия в системе до тех пор, пока при перезагрузке их вредоносная программа не будет удалена из памяти, если это будет означать отсутствие подозрений и риска провала при обнаружении их зловредов сотрудниками организации-жертвы или экспертами по безопасности. Риск подобных коротких заражений означает, что в состав передовых антивирусных решений должны входить системы проактивного обнаружения угроз и сложные эвристические механизмы (см.: Мониторинг активности).

Шпионаж становится мобильным

Мы уже сталкивались с использованием мобильных имплантов во вредоносных платформах, таких как Sofacy, RedOctober и CloudAtlas; они также применялись клиентами HackingTeam и, предположительно, использовались вредоносной программой для iOS под названием Pegasus, созданной компанией NSO.
Однако все это было в рамках кампаний, ориентированных прежде всего на настольные компьютеры. Учитывая падение интереса пользователей к настольным операционным системам и фактическое перемещение цифровой жизни среднестатистического пользователя в его карманы, мы ожидаем рост количества мобильных кампаний, в первую очередь шпионских.
Их реализацию, безусловно, облегчит менее пристальное внимание, а также наличие проблемы применения инструментов цифровой криминалистики к новейшими мобильными операционными системами. Широкое доверие к подписанному коду и проверкам целостности постепенно сходит на нет среди экспертов в мобильной безопасности, но это не заставит целеустремленных и имеющих в своем распоряжении значительные ресурсы злоумышленников отказаться от охоты на интересующие их объекты в этой области.

Будущее финансовых атак

«Мы слышали, вы хотите ограбить банк…»
Сообщения об осуществленных в этом году атаках на межбанковскую систему SWIFT вызвали волнение в финансовой отрасли – в том числе из-за дерзости атакующих, посягнувших на многомиллионные суммы. Эти атаки стали естественным этапом развития для таких игроков, как группировка Carbanak и, вероятно, другие известные группировки. Подобные ограбления – дело рук преступных групп, специализирующихся на APT-кампаниях, со сложившимся стилем работы и известной квалификацией. Вероятно, это не единственные игроки, кому интересна идея ограбить банк на крупную сумму?
Мы ожидаем, что, по мере роста интереса к данной теме со стороны киберпреступников, в многоуровневой структуре киберпреступных предприятий будут появляться посредники в организации SWIFT-краж. Чтобы осуществить подобное ограбление, требуется первоначальный доступ, специализированное ПО, терпение и, наконец, схема отмывания денежных средств. На каждом из этих этапов есть поле деятельности для уже состоявшихся киберпреступников, предлагающих свои услуги за деньги; недостающим звеном является специализированное ПО для проведения атак на SWIFT. Мы ожидаем, что произойдет товаризация таких услуг, а специализированные ресурсы станут предлагаться на продажу на подпольных форумах или в качестве криминальных сервисов.

Устойчивость платежных систем

Мы ожидали, что по мере внедрения и роста популярности платежных систем будет расти интерес к ним со стороны киберпреступников. Однако при реализации этих систем в них, по всей видимости, был заложен очень высокий уровень защищенности – на них по сей день не зафиксировано крупных атак. Для потребителя это к лучшему, однако для владельцев платежных систем все не так радужно, поскольку киберпреступники неизбежно будут пытаться осуществлять прямые атаки на инфраструктуру платежных систем. Вне зависимости от того, приведут ли такие атаки к прямым финансовым потерям или только к перебоям и отключениям сервисов, мы ожидаем, что рост популярности платежных систем приведет к повышению интереса к ним со стороны киберпреступников.

Грязное и лживое вымогательство

Хотя все мы ненавидим программы-вымогатели (и не без оснований), надо понимать, что в большинстве случаев успех вымогателей строится на своеобразных доверительных отношениях между жертвой и атакующей стороной.
Киберпреступная экосистема основывается на посылке, что злоумышленник будет соблюдать молчаливое соглашение с жертвой о том, что, заплатив выкуп, жертва получит назад свои файлы. Киберпреступники, как это ни удивительно, демонстрируют некое подобие профессионализма в исполнении этого негласного обещания; и это стало основой процветания данной экосистемы. Однако программы-вымогатели становятся все более притягательными, привлекая менее квалифицированные слои киберпреступников. В результате в будущем мы будем все чаще сталкиваться с программами-вымогателями, за которыми стоят киберпреступники, не выполняющие вышеописанное молчаливое соглашение – из-за ошибок в коде или в силу того, что функционал восстановления файлов в программе просто не реализован.
Итак, мы ожидаем появления программ-вымогателей, созданных так называемыми «скрипт-кидди» (начинающими хакерами), которые будут блокировать файлы или доступ к системе или будут просто удалять файлы, обманным путем заставляя жертв платить, но при этом не возвращая им доступ к файлам. В этом случае вымогатели мало чем будут отличаться от вредоносных программ, уничтожающих данные, и следует ожидать, что в экосистеме программ-вымогателей возникнет «кризис доверия». Вероятно, это не помешает крупным профессиональным игрокам продолжать делать деньги на программах-вымогателях, но приведет к тому, что силы, пытающиеся противостоять разрастающейся эпидемии вымогательства, перестанут рассматривать идею оплаты выкупа как сколько-нибудь осмысленное решение проблемы.

Большая красная кнопка

Знаменитый Stuxnet, возможно, открыл ящик Пандоры, впервые реализовав возможности проведения атак на промышленные системы. Хотя разрабатывался он весьма тщательно с целью вывести из строя на длительное время совершенно определенные объекты. Даже когда вредоносная программа распространилась по всему миру, сопутствующий ущерб был невелик благодаря реализованным в ней ограничениям на запуск полезной нагрузки, и промышленного Армагеддона не произошло. Однако теперь при появлении любых слухов или сообщений об авариях на промышленных объектах или взрывах, произошедших по неизвестным причинам, будет выдвигаться версия кибердиверсии.
Тем не менее, аварии на промышленных объектах, вызванные подрывной деятельностью в киберпространстве, не являются чем-то невозможным. Поскольку критически важные объекты инфраструктуры и производственные мощности, будучи подключенными к интернету, часто по-прежнему не имеют надежной или хотя бы какой-нибудь защиты, они становятся привлекательными мишенями для хорошо обеспеченных ресурсами злоумышленников, стремящихся причинить как можно больший ущерб.
Если не поддаваться панике, то можно заметить, что подобные атаки требуют определенных навыков и целеустремленности. Атаки с применением кибердиверсий наиболее вероятны там, где растет геополитическая напряженность и есть хорошо подготовленные киберпреступные группировки, стремящиеся к целенаправленному уничтожению или нарушению нормальной работы важнейших сервисов.

Перенаселенный интернет: ответный удар. Кирпич, как его ни назови

Мы уже давно предсказывали, что слабая защита «интернета вещей» (возможно, правильнее было бы назвать его «интернетом угроз») обернется для нас большими проблемами, и вот час настал. Как недавно наглядно продемонстрировал ботнет Mirai, слабая защита устройств, которые без необходимости подключены к интернету, дает злоумышленникам возможность сеять хаос, не неся за это практически никакой ответственности. Хотя для экспертов по информационной безопасности это не сюрприз, следующий шаг может оказаться особенно интересным: мы считаем, что хакеры-вигиланты могут взять дело в свои руки.
Идея установки патчей для известных и вновь обнаруженных уязвимостей близка сердцу исследователей в области информационной безопасности, поскольку это свидетельство того, что их тяжелый (и часто безвозмездный) труд был не напрасен. Поскольку производители устройств интернета вещей продолжают выпускать незащищенные устройства, которые вызывают массу проблем, хакеры-вигиланты, скорее всего, возьмут на себя решение проблемы. А какое решение может быть лучше, чем создать проблемы самим производителям, массово превращая эти уязвимые устройства в «кирпичи»? Поскольку ботнеты, состоящие из устройств «интернета вещей», продолжают вызывать головную боль, устраивая DDoS-атаки и распространяя спам, иммунным ответом экосистемы может стать отключение сразу всех этих устройств к огорчению и потребителей, и производителей. Не исключено, что в ближайшем будущем мы столкнемся с «интернетом кирпичей».

Молчание мерцающих коробочек

В августе 2016 года группировка ShadowBrokers шокировала многих, опубликовав дамп, который содержал огромное количество работающих эксплойтов для межсетевых экранов нескольких крупных производителей. Затем появились сообщения об обнаружении эксплойтов из дампа «в дикой среде», а производители кинулись разбираться с уязвимостями и выпускать патчи. Масштаб бедствия еще предстоит определить. Что получили злоумышленники, имея на руках эти эксплойты? Какие импланты могут находиться в уязвимых устройствах, не проявляя себя до поры до времени?
Если выйти за рамки вопроса о конкретных эксплойтах (не забывая при этом об обнаружении бэкдора в операционной системе ScreenOS компании Juniper в конце 2015 года), существует более крупная проблема с целостностью устройств, которая требует дальнейшего исследования, когда дело касается критически важного для безопасности периметра предприятия оборудования.
Вопрос, «на кого работает ваш сетевой экран?», остается открытым.

А ты кто такой?

Тема киберпреступных операций, проводимых «под чужим флагом», и операций психологической войны представляет для нас особый интерес. Мы ожидаем активного развития угроз такого плана по нескольким направлениям.
Информационные войны Такие киберпреступные группировки, как Lazarus и Sofacy, выступили пионерами создания фальшивых ресурсов для целевого слива информации и вымогательства. На протяжении нескольких месяцев мы наблюдали их деятельность, которая была в определенной степени успешной и привлекла к себе много внимания. Мы ожидаем, что в будущем информационные войны будут все чаще использоваться для манипулирования общественным мнением и создания хаоса вокруг общественных процессов. Киберпреступники мало что теряют, сливая информацию, полученную в результате своих действий, – для этого они создают легенду, используют известную или вновь созданную группу хакеров-активистов и перенаправляют внимание с самой атаки на содержание сливаемой информации.
Главную опасность в таких случаях представляет не сам факт взлома или нарушения конфиденциальности, а то, что журналисты и заинтересованные граждане привыкают принимать слитые данные как факты, заслуживающие доверия и освещения в прессе, и таким образом создают благоприятную среду для злоумышленников, стремящихся манипулировать общественным мнением за счет манипулирования данными или их выборочной публикации.
Уязвимость к информационным войнам сейчас высока, как никогда, и мы надеемся, что по мере вовлечения в эту сферу новых (или старых, но сменивших маски) игроков потенциальные жертвы научатся вести себя осторожнее.

Как противостоять киберпреступникам

Кибератаки играют все более значимую роль в международных отношениях, и соответственно растет важность определения их источника (их атрибуции).
Государственным органам предстоит решить непростую задачу – определить, какой уровень атрибуции будет достаточен для принятия решений о целесообразности дипломатических шагов или выдвижения публичных обвинений. Поскольку точная атрибуция практически невозможна ввиду фрагментированности информации, полученной от различных государственных и частных организаций, «приблизительная атрибуция» может быть принята как приемлемая в данном контексте. С одной стороны, в этом деле требуется крайняя осторожность, но с другой – необходимо, чтобы авторы кибератак почувствовали, что их действия чреваты последствиями для них же самих.
При этом наше главное опасение состоит в том, что ответные меры способны вызвать еще более серьезные проблемы: хитрые киберпреступники могут обходить атрибуцию, ведя экспертов по ложному следу. Также нужно помнить, что по мере того как «ответные меры» будут набирать обороты, для проведения кибератак начнут широко использоваться вредоносные программы с открытым исходным кодом и продаваемые на коммерческой основе – такие как утилиты типа Cobalt Strike и Metasploit, использование которых позволяет киберпреступникам «скрыться в толпе» – возможность, отсутствующая при использовании проприетарных вредоносных программ.

«Чужие флаги»: повышение ставок

В отчете об операциях, проводимых «под чужим флагом», приводились случаи APT-атак «в дикой среде», использующих элементы мимикрии, но собственно операций «под чужим флагом» по сей день не наблюдалось. Под такой операцией мы понимаем действия, выполняемые злоумышленником.
А в полном соответствии со стилем злоумышленника Б и с использованием его ресурсов, с целью вызвать у жертвы ответные действия в отношении ни в чем не повинного злоумышленника Б. Действия такого рода будут иметь смысл только в том случае, если возмездие за кибератаку станет устоявшейся практикой. (При этом нельзя полностью исключать, что такие случаи уже имеют место, но пока неизвестны экспертам.) По мере того как ответные действия жертв кибератак (будь то зондирование, карательные меры или ответная эксплуатация компьютерных сетей) будут становиться более распространенными и импульсивными, можно ожидать появления собственно операций «под чужим флагом».
В этом случае можно прогнозировать, что киберпреступники будут готовы вкладывать еще больше ресурсов в операции «под чужим флагом» и, возможно, организовывать утечку данных об инфраструктуре и даже выкладывать во всеобщий доступ проприетарный набор инструментов, который сейчас ревниво охраняется. Таким образом ушлые киберпреступники могут спутать карты потенциальных жертв и экспертов по информационной безопасности, поскольку «скрипт-кидди», хакеры-активисты и киберпреступники получат доступ к проприетарным инструментам, принадлежащим продвинутой группе киберпреступников, что позволит сохранять анонимность при осуществлении значительной массы атак и отчасти подорвет возможности атрибуции для криминалистов и правоохранительных органов.

Какая еще конфиденциальность? Ничего личного

Устранение последних остатков анонимности в киберпространстве чрезвычайно выгодно как рекламщикам, так и шпионам. Для первых ценным методом оказалось отслеживание активности пользователя с помощью постоянных cookie-файлов. Есть вероятность, что этот метод в будущем будет использоваться ещё шире, совмещаться с виджетами и прочими безобидными элементами на популярных веб-сайтах, что позволит компаниям отслеживать действия конкретных пользователей, в том числе за пределами доменов, принадлежащих этим компаниям, и таким образом получать связную картину поведения этих пользователей в интернете (к этой теме мы вернемся ниже).
В некоторых регионах будут развиваться удивительные по своей сложности методы отслеживания деятельности активистов и действий в соцсетях, которые «несут угрозу стабильности», а заинтересованные лица со средствами будут находить на редкость квалифицированные компании, о которых никто никогда не слышал, владеющие ноу-хау отслеживания деятельности диссидентов и активистов на просторах Сети. Такие лица зачастую проявляют большой интерес к отслеживанию тенденций в социальных сетях на уровне целых географических регионов и к тому, как голоса диссидентов влияют на настроения в целом. Нельзя исключить возникновение группировки киберпреступников, которая осмелится взломать какую-либо социальную сеть – неиссякаемый источник персональных данных пользователей и компромата на самых разных людей.

Шпионские рекламные сети

Среди повсеместно распространенных интернет-технологий рекламные сети больше всего подходят для использования при проведении целевых атак в полном смысле этого понятия. Рекламные сети – это по определению полностью коммерциализированные системы, и при этом их деятельность слабо регламентирована – иллюстрацией тому являются неоднократные случаи применения вредоносной рекламы на крупных веб-сайтах. В силу самой своей природы рекламные сети предоставляют отличные возможности профилирования потенциальных жертв путем отслеживания IP-адресов, сбора данных о браузере и системе пользователя, отслеживания предпочтений пользователя при интернет-навигации, а также путем идентификации пользователя по вводимым логинам. Использование таких данных позволяет атакующей стороне избирательно внедрять вредоносный контент в демонстрируемые пользователю страницы или перенаправлять отдельных пользователей на соответствующие их профилю вредоносные ресурсы, избегая таким образом использования «лишних» вредоносных программ и отказываясь от постоянной доступности в сети вредоносного контента, который так привлекает внимание экспертов по информационной безопасности. Мы ожидаем, что наиболее квалифицированные киберпреступники, специализирующиеся на кибершпионаже, придут к выводу, что создать рекламную сеть (или взять под контроль существующую) – это не слишком большое вложение, учитывая значительную потенциальную прибыль. Таким образом они смогут достичь своих целей, не подвергая риску свои новейшие наборы инструментов.

Выход на сцену хакеров-вигилантов

В 2015 году таинственный Финеас Фишер публикует дамп серверов HackingTeam, а затем он же выпускает пособие для начинающих хакеров по взлому нечистоплотных организаций и сомнительных компаний. Это вода на мельницу латентной веры в то, что асимметричная сила хакеров-вигилантов является силой добра – несмотря на тот факт, что в результате публикации дампа HackingTeam действующие APT-группировки бесплатно получили в свое распоряжение уязвимости нулевого дня. Не исключено также, что HackingTeam в результате слива получила новых клиентов, полных энтузиазма. По мере усиления вокруг избирательной кампании в США конспирологической риторики, основанной на убежденности в том, что утечка и слив данных – это способ склонить чашу информационных весов в определенную сторону, будет появляться все больше хакеров-вигилантов, взламывающих серверы ради получения дампов и организующих утечку данных в уязвимых организациях.

PDF

KASPERSKY SECURITY BULLETIN 2016

KASPERSKY SECURITY BULLETIN 2016

KASPERSKY SECURITY BULLETIN 2016 RUS

KASPERSKY SECURITY BULLETIN 2016 EMG

RUS | ENG

Чеклист для проверки seo-оптимизации своего сайта

Анализ ключевых слов

  • 1. Определить целевую аудиторию
  • 2. Подобрать ключевые слова
    • 2.1 Мозговой штурм
    • 2.2 Поисковые подсказки Google и Яндекса
    • 2.3 Сервисы статистики и подбора ключевых слов
    • 2.4 Статистика сайта
    • 2.5 Слова, используемые конкурентами
    • 2.6 Ключевые слова, предложенные сервисами контекстной рекламы
  • 3. Расширить ядро запросов
    • 3.1 Однословные и многословные запросы
    • 3.2 Синонимы и аббревиатуры
    • 3.3 Комбинации слов
    • 3.4 Опечатки
  • 4. Проверить ключевые фразы, выбранные с помощью мозгового штурма. Ищут ли их пользователи?
  • 5. Посмотреть количество результатов поиска по подобранным фразам
  • 6. Выбрать перспективные ключевые запросы

Структура сайта

  • 1. Скомпоновать ключевые фразы
    • 1.1 Сгруппировать ключевые слова в категории и подкатегории
    • 1.2 Создать схематическое дерево сайта
  • 2. Оптимизировать структуру сайта
    • 2.1 Сайт состоит преимущественно из html
    • 2.2 Любая страница доступна с главной максимум в два клика
    • 2.3 На важные разделы сайта размещена ссылка с главной страницы
    • 2.4 Использовать хлебные крошки
    • 2.5 Создать sitemap.xml
  • 3. Оптимизировать адреса страниц
    • 3.1 В адресе страницы отразить структуру сайта
    • 3.2 ЧПУ для адресов внутренних страниц
    • 3.3 Небольшая длина URL внутренних страниц

Технический аудит

  • 1. Оптимизировать индексацию сайта
    • 1.1 Размер html-кода не превышает 100-200 килобайт
    • 1.2 Скорость загрузки страницы не превышает 3-5 секунд
    • 1.3 Используемый флеш не содержит важный для индексации контент
    • 1.4 Отсутствуют фреймы
    • 1.5 В html-коде страницы нет лишнего мусора
    • 1.6 Серверные логи, админ. панель и поддомены с тестовой версией сайта закрыты от индексации
    • 1.7 На страницах прописана соответствующая кодировка
  • 2. Избавиться от дублей
    • 2.1 Выбрать основное зеркало (с www или без)
    • 2.2 Настроить файл robots.txt
    • 2.3 Для Яндекса основной хост прописать в robots.txt
    • 2.4 Главная страница не доступна по адресу /index.php или /index.html
    • 2.5 Движок сайта не генерирует сессионных переменных в адресе страниц
    • 2.6 Старые адреса редиректят посетителей на новые страницы
    • 2.7 Используется rel=canonical
    • 2.8 Несуществующие страницы выдают 404 ошибку
  • 3. Пользователи и роботы видят одинаковый контент
  • 4. Используется надежный хостинг!
  • 5. Сайт зарегистрирован в панели для вебмастеров

Контент

  • 1. Оптимизировать заголовки <title>
    • 1.1 Длина заголовка не более 70 символов
    • 1.2 Отобразить в title содержимое страниц
    • 1.3 Заголовки сделать привлекательными для клика
    • 1.4 Использовать в title ключевые слова
    • 1.5 Важные слова вставлять в начале заголовка
    • 1.6 Title является уникальным в пределах сети
  • 2. Оптимизировать сниппеты
    • 2.1 Текст в meta description не более 130 символов
    • 2.2 Описание составлено так, что привлекает внимание и побуждает пользователя к действию
    • 2.3 В описании присутствует ключевое слово
    • 2.4 Использовать микроразметку данных
  • 3. Оптимизировать контент
    • 3.1 Использовать уникальный контент, удобный для чтения
    • 3.2 Вставить ключевые фразы в H1-H6
    • 3.3 Ключевая фраза встречается в тексте
    • 3.4 Отсутствует невидимый текст
    • 3.5 Отсутствуют дубли контента
    • 3.6 Ключевые слова используются в атрибуте alt (при наличии изображений)
    • 3.7 Отсутствует всплывающая реклама, закрывающая основной контент
    • 3.8 Текст на странице состоит из минимум 250 слов

Ссылки

  • 1. Оптимизировать внутренние ссылки
    • 1.1 На страницы имеется переход хотя бы по одной текстовой ссылке
    • 1.2 Число внутренних ссылок на странице не более 100
    • 1.3 Использовать ключи во внутренних ссылках
    • 1.4 Основная навигация доступна поисковым роботам, не использующим javascript
  • 2. Модерировать исходящие ссылки
    • 2.1 Количество внешних исходящих ссылок минимально
    • 2.2 Нерелевантные и немодерируемые исходящие ссылки закрыты в rel=nofollow
    • 2.3 Размещаемые посетителями ссылки модерируются
    • 2.4 Отсутствует линкопомойка
    • 2.5 Отсутствует обмен ссылками
  • 3. Разместить обратные ссылки на сайт
    • 3.1 Проверить количество обратных ссылок, поставить цель к их увеличению
    • 3.2 Использовать ключевые слова во внешних ссылках
    • 3.3 Использовать уникальные ссылки
    • 3.4 Есть ли ссылки с сайтов подобной тематики?
  • 4. Все ссылки работают!

Соцактивность

  • 1. Исследовать рынок
    • 1.1 Исследовать социальные медиа для поиска наличия в них бизнес-активностей в интересуемой нише
    • 1.2 Проанализировать найденные бизнес-страницы и перенять из них самое лучшее
    • 1.3 Просмотреть активность аудитории, обращая внимания на её портрет и возникающие вопросы
  • 2. Представить себя в социальных сетях
    • 2.1 Настроить бизнес-страницу на Facebook, Вконтакте или Google+, учитывая результаты анализа рынка
    • 2.2 Завести микроблог в Твиттер
    • 2.3 Обсуждать вопросы по теме и давать полезные советы
    • 2.4 Отказаться от ботов и автофолловинга
    • 2.5 Сделать видимыми ссылки на профили в соцсетях
  • 3. Завести корпоративный блог
    • 3.1 Писать интересные статьи, подталкивающие к обсуждениям
    • 3.2 Отправлять обновления блога на площадки социальных сетей
    • 3.3 Использовать гостевой блоггинг
    • 3.4 Использовать социальные кнопки
  • 4. Управлять репутацией
    • 4.1 Проверять, кто о вас пишет в различных сетях, на блогах и форумах
    • 4.2 Использовать Google Alerts

Освойте английский язык онлайн через фильмы, клипы и аудиокниги от носителей языка!

Увлекательное обучение разговорному английскому языку онлайн для взрослых и детей на LinguaLeo.com.
Освойте английский язык онлайн через фильмы, клипы и аудиокниги от носителей языка!
lingualeo.com

Курсы валют

Exchange rate of the US Dollar, Euro to the Russian Ruble (dynamic)

Chrome будет помечать сайты, работающие по HTTP, как небезопасные

В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.

Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:

В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные:

По статистике Google Transparency Report, пользователи загружают больше половины сайтов через HTTPS протокол. Доля растёт особенно быстрыми темпами в России.

Если вы ещё не установили на свой сайт SSL-сертификат — самое время это сделать. До выхода Chrome 56 осталось меньше месяца.

Скидки на любые сертификаты до конца декабря 2016, спешите (вам также помогут: выбрать, купить и установить сертификат на ваш хостинг).

Выбрать и купить SSL-сертификат можно здесь.

Единственный минус покупного сертификата — это требование наличия выделенного IP-адреса для сайта (доменного имени) на которого он выпускается. У Let’s Encrypt такого требования нет. Но как правило покупные SSL-сертификаты выпускаются на срок не менее 1 года. Это большой плюс, т.к. не придётся часто его перевыпускать и соответственно обновлять сертификат на хостинге.

Если у вас есть возможность самостоятельно устанавливать сертификаты на свой хостинг, но нет желанию платить деньги за выпуск SSL-сертификата, вы можете воспользоваться свободной автоматизированной системой центра сертификации — Let’s Encrypt. Чтобы получить больше информации по внедрению Let’s Encrypt, воспользуйтесь этой ссылкой. Но надо понимать, что сертификаты Let’s Encrypt выпускаются на 4 месяца, после этого их надо перевыпускать и обновлять сертификат на хостинге. Для реализации этой задачи, необходимо писать скрипты (Python, Bash, и пр.) автоматизирующие этот рутинный процесс. Не каждый хостинг позволяет производить данные манипуляции. Как правило для этого нужен VPS/VDS хостинг. А это как правило значительно дороже, нежели простой виртуальный хостинг. Если вы хотите использовать Let’s Encrypt на виртуальном хостинге без выделенного IP-адреса, то в этом вам поможет хостинг от Timeweb, проверенный временем. При покупке хостинга в Timeweb, у вас появляется возможность подключить к вашему сайту бесплатный SSL-сертификат от Let’s Encrypt. Всё интуитивно понятно, делается в несколько кликов из админ-панели управления хостингом. SSL-сертификаты в этом случае перевыпускаются и устанавливаются автоматически, не требуя реакции с вашей стороны. Поверьте, это очень удобно, так что советую воспользоваться.

PS: Moving Toward SSL

We’re at a turning point: 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. Just as JavaScript is a near necessity for smoother user experiences and more modern PHP versions are critical for performance, SSL just makes sense as the next hurdle our users are going to face.

SSL basically means the link between your browser and the server is encrypted. SSL used to be difficult to implement, and often expensive or slow. Modern browsers, and the incredible success of projects like Let’s Encrypt have made getting a certificate to secure your site fast, free, and something we think every host should support by default, especially in a post-Snowden era. Google also weighs SSL as a search engine ranking factor and will begin flagging unencrypted sites in Chrome.

First, early in 2017, we will only promote hosting partners that provide a SSL certificate by default in their accounts. Later we will begin to assess which features, such as API authentication, would benefit the most from SSL and make them only enabled when SSL is there.

Separately, I also think the performance improvements in PHP7 are particularly impressive, and major kudos to everyone who worked on that. We will consider whether hosts use PHP7 by default for new accounts next year as well.

Разработчик отечественной операционной системы Astra Linux «НПО РусБИТех» из-за санкций не смог включить в нее популярные шрифты, в том числе стандартные для ведомственных документов Arial, Verdana, Tahoma и Times New Roman.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Загрузка...

© 2007–2017, konyakov.ru