ארכיון תגיות: Shared Hosting

בוני אתרים, כדאי שתקראו

פורסם בתאריך על ידי

בדיוק יצא לי לקרוא מאמר מעולה של עו"ד יהונתן קלינגר על כל עניין החוזים בין בוני אתרים לבין לקוחותיהם, מה חוקי, מה מומלץ ומה לא (חשוב לדעתי לקרוא גם את החלק של רשיון קוד, חלק שלדעתי בוני אתרים מתעלמים ממנו, במיוחד לאלו שמשתמשים בכלים מבוססי קוד פתוח).

כבעל עסק לשרתים וירטואלים להשכרה, אני מעוניין להתייחס בהרחבה לדברים שיהונתן ציין שאחרים כתבו (הפוסט של ניצן ברומר, הפוסט של יובל דרור, והפוסט של רויטל סולומון) לגבי אחסון אתרים בארץ.

אם תשימו לב, כל 3 הפוסטים מגיעים לאותה מסקנה: לא לאחסן אתרים בארץ. חלק ממליצים על Go Daddy וחלק ממליצים על אחרים, כאשר כולם נמצאים מחוץ לישראל.

ראשית, אני רוצה לתת רקע: כותב שורות אלו מכיר את שוק ההוסטינג עוד מ-95 (מהזמנים של ISDN NET, בהם היה לנו לקוח ספאמר שבגללו חסמו לנו שרת דואר. אז לא היו בחבר'ה סוויצ'ים מנוהלים חכמים, והאפשרות היחידה לחסום את הספאמר שאירח "שרת" (PC פשוט) היתה .. לנתק לו פיזית את הכבל רשת. היו זמנים Smile). מאז שנות ה-90 המנטליות בארץ עדיין אותו מנטליות של מחירים ללא פרופורציה בהשוואה לחו"ל, במיוחד אצל בזק בינלאומי, 012 ונטויז'ן (אז היה גם את אינטרנט זהב, ואקטקום – אחת החברות היחידות שהותיקים זוכרים לטובה בגלל השרות והמחירים ועד היום אני חושב שהבעלים שלה עשו טעות שמכרו את העסק ל-ISDN NET, מה שלימים יהפך ל"בזק בינלאומי – אינטרנט"), וזה עדיין ממשיך כיום, אתם מוזמנים לחייג אליהם ולקבל מחירים שיגרמו לכם לא לנשום לכמה שניות.

הסיבה למחירים? מישהו צריך לממן את מערך התמיכה הגדול שלהם (תכניסו כאן את הבדיחות לגבי איכות התמיכה), שרות 24/7, תחזוקת שרתים וכו'. זו הסיבה שאני שמעתי מכל החברות הנ"ל כשהייתי מברר מחירים עבור אנשים לארח את האתר שלהם. גם גו-דדי ואחרים בחו"ל צריכים לשלם על אותם דברים והם גם מחזיקים אנשי תמיכה ומשלמים להם שכר, ובכל זאת אותם חברות בחו"ל מציעים במחירים הרבה יותר זולים, אבל אם אתם מחפשים את ההגיון מדוע כאן יקר, תהיה בעיה: זה לא בגלל מחירי הברזלים (מי שיודע לחפש ומכיר עם מי לדבר, יכול להשיג מחירים כמו בחו"ל ואף זולים מכך על שרתי מותג חדשים), זה לא בגלל עלות של כמות תעבורה חודשית (בין אם תעביר 100 מגהבייט או 20 טרהבייט, הספק ישלם בדיוק אותו דבר). זה בגלל שאפשר למקסם רווחים.

סעיף אחסון משותף אצל ספקים הוא סעיף הכי "בזבזני". הוא מצריך תומכים ולתומכים צריך לשלם מדי חודש. אין שוטף +30, אין קרדיט, אין תנאי אשראי. צריך בחודש להוציא מינימום 5K פר עובד (זאת מתוך הנחה שהעובד עובד בשכר רעב של תנאי שכר מינימום). בשביל תמיכה 24/7 צריך לפחות 3 תומכים, משמע הוצאה חודשית של 15K, כלומר בשביל לכסות את עניין האחסון המשותף צריך למכור לפחות ב-15K לחודש או שסעיפים אחרים יממנו את זה. אפשרות אחרת: להקפיץ את המחירים ולהוסיף מגבלות לחבילות כדי להרוויח.

בחו"ל, לפחות אצל גו דדי ואחרים, עושים טריק אחר באחסון שיתופי: נותנים לך מחירי רצפה, רק אם תשלם מינימום שנה מראש. רויטל הזכירה את MidPhase אך אם תציצו לאותיות הקטנות של החבילות במחיר הנמוך, תראו שאם לא תשלמו מינימום שנה מראש, תצטרכו לשלם "דמי הקמה" בסך 50 דולר מיידית. אותם ספקים עושים את הכסף בכך שהם גובים מראש מינימום שנה או שנתיים (בלו הוסט: שנתיים, לדוגמא), והם משקיעים המון בפרסום בכל מדיה אפשרית, ובכך הם מוכרים אלפי חבילות מדי חודש ומכסים בקלילות את שכר העובדים, הברזלים, שיווק וכו'. אם נחזור לארץ: אני לא מכיר אפילו ספק אחד שמוכר 10 חבילות ביום (ואני עבדתי אצל הרבה הספקיות בתמיכה, כך שאני מכיר את הנתונים).

בשנים האחרונות נמכרים בארץ פתרונות "אמצע": מישהו לוקח ב-100-200 יורו (או פחות) שרת באירופה, מתקין עליו לינוקס ו-WHM/cPanel ומתחיל לדפוק מחירים נמוכים של אחסון משותף (אפשר למצוא כמה כאלו כאן). במבט ראשון זו נראית עסקה מצוינת, אבל מי שמכיר את התחום ידע להיזהר מחבילות כאלו: רוחב הפס מאירופה לישראל מואט בכוונה ע"י ספקי האינטרנט הישראלים (אז תתעלמו מ"100 מגהביט רוחב פס", כי תקבלו אולי 2-3 מאיות מזה בד"כ), ואם יש תקלה אז אתם צריכים לפנות למי שקניתם את זה בארץ, הוא צריך לפנות לספק, הספק בחו"ל יענה לו, הוא יענה לכם, ואם הפתרון הזה לא יעבוד, אז הסיבוב יתחיל שוב. בקיצור, כאב ראש לא קטן.

אפשר למצוא בארץ פתרונות אחסון משותף זולים, אבל כדאי לנהוג במשנה זהירות לגביהם: הדבר האחרון שהייתם רוצים זה למצוא שעשיתם עיסקה עם מישהו שעוד חודשיים רוצה לנסוע לגואה בהודו לכמה חודשים ולעזאזל הלקוחות (כבר ראיתי מס' מקרים כאלו), לכן אם אתם מוצאים בארץ אחסון משותף טוב, תבדקו כמה זמן הוא קיים, מי הממליצים, מי הגב שלו וכו'.

גם אני חשבתי בזמנו להקים פתרון אחסון משותף, אבל כשחשבתי לעומק על כך, החלטתי לוותר על האופציה הזו מסיבה פשוטה: אני לא מוכן להמציא חבילות יקרות רק בשביל לכסות את עלויות תמיכה באחסון המשותף, ובגלל זה אני מעדיף להציע חבילה בסיסית
במחיר מצחיק שזולת מגבלת הליבה, היא יכולה להתחרות בכל אחסון משותף ואין ללקוח שום מגבלות דומיינים, מייל, MySQL ועוד.

נקודה נוספת שיהונתן ורויטל הזכירו ואני רוצה לחזק: אם מציעים לך תשלום שנתי, תבדוק את השוק ותבדוק אלו פתרונות מציעים לך. אם בונה האתרים שלך משתמש באחסון משותף וגובה ממך מחיר של יותר מ-1000 לשנה, אז אתה מסבסד לו את כל העלויות האחרות. כנ"ל לגבי בעלי חנויות: אתרים כמו Yalla ואחרים שגובים 2000 ש"ח + לשנה לא שווים את הכסף הזה! עדיף לשלם לבונה אתרים שיבנה לכם את החנות עם הדרישות שלכם מאשר ללכת אליהם, ואני אומר זאת לצערי על סמך נסיון.

לסיכום: אכן מחירי האחסון המשותף בארץ יקרים אצל חלק גדול מהספקים, ולפעמים פתרון אחסון משותף בחו"ל יכול להיות טוב (תלוי באיזו חברה. תסתכלו מה קרה לי עם Blue Host לדוגמא), אבל כדאי לזכור שפתרונות אחסון משותפים גם מגיעים עם שלל צרות ומגבלות משלהם. אם יש לבונה אתרים מספר אתרים, אולי כדאי לחשוב על פתרון אחר שכבר קשור ל-VPS (שאגב, לא זקוק להרבה תחזוקה, בניגוד למה שרבים חושבים) ששם יש לך הרבה חופש.

בקצרה, כמה עדכונים

פורסם בתאריך על ידי

לא יצא לי לכתוב פה כמה ימים, עקב כתיבה בבלוג העסקי. חלק מהדברים אולי יעניינו את הקוראים פה, אז הנה לינקים:

  • כתבתי שאלון לאלו המעוניינים לשכור שרת פיזי/וירטואלי ואני ממליץ לשאול כמה שאלות שלא שואלים כדי שלא תקבלו חתול בשק. מומלץ לעיין. (קבצים מצורפים PDF ו-Word)
  • שרות חדש שאני מפעיל בימים הקרובים שמיועד ללקוחות "חץ ביז" וגם ללקוחות של מתחרים: אבטחה נגד כל מיני חולירות (XSS, SQL Injection, פריצות ב-JS ועוד) + שרות CDN, מבלי שתצטרך לשנות כמעט מאומה באתר שלך. מתאים לבעלי אתרים ולחברות סטארט אפ. המחיר יהיה זול מאוד (צריך לסגור מחיר סופי, אז יקח עוד מס' ימים, אני כן יכול להבטיח שזה יהיה בזול). הפרטים העיקריים אפשר לקרוא אותם כאן.
  • לפני מס' ימים כתבתי פוסט על גיבוי חיצוני ברשת, ואז במהלך מייל שפרסמתי שם אנשים פרסמו כמה רעיונות, הצעות ועוד. תודות לכל האנשים, אני מעלה שרות גיבוי חדש שיתן לא רק FTP, אלא תכונות נוספות, כולל תכונות שאהובות על חובבי לינוקס (אני בתוכם). פרטים יפורסמו בימים הקרובים.
  • ויש גם פורום חדש לאלו המתעניינים בפתרונות VPS ושם כולם מוזמנים לפרסם הצעות, לשאול שאלות, להגיב ולהשתתף.

טיפים לאבטחת אתרים (חלק 1 מתוך 2)

פורסם בתאריך על ידי

(אני מפרסם כאן מאמר ב-2 חלקים: בחלק הראשון אני מתייחס לאבטחת מידע מבחינת Hosting לאלו שיש להם אתרים על שרתים משותפים (Shared). החלק השני מדבר על שרתים וירטואליים ופיזיים וזה גם החלק המיועד לאנשים היותר מקצועיים)

כיום, בעידן האינטרנט, אנשים רבים, ארגונים, חברות, עמותות וכו' רוצים ומעוניינים בייצוג באינטרנט. אתר שישקף את הפעילות של אותה חברה/עמותה/ארגון ויש גם אנשים רבים המעוניינים לשתף תחושות, תמונות, וידאו וכו' באינטרנט. לשם כך כמובן קיים האינטרנט ורבים מחפשים (ומוצאים) אנשים שיבנו עבורם את האתר שהם רוצים. הם מוצאים להם חברת אחסון אתרים (בחלק מהמקרים בונה האתר הוא גם זה שמאחסן את האתר, שזה בהתחלה נשמע מפתה, עד שמבינים שאם מחר יש לך סכסוך עסקי עם בונה האתר, האתר שלך הוא "בן ערובה", אם לא סגרת את העניין בחוזה ביניכם), וכך תוך זמן קצר (יחסית) יש להם אתר באינטרנט, כאשר מרבית האתרים הקטנים נמצאים על שרתים משותפים.

לצערי, אחד החלקים הכי קריטיים בבניית אתר נשכח אצל אנשים וחברות רבות והוא עניין אבטחת המידע. אנשים וחברות סבורים במקרים רבים כי מי שבונה את האתר הוא מי שיאבטח אותו וזו טעות רצינית. בוני אתרים רבים אינם מבינים כמעט כלום בכל הנוגע לאבטחת מידע, שהוא תחום לא קטן, מסובך להפליא לעיתים ומחייב עדכון ידע מתמיד מבחינת שפות תכנות, אפליקציות, מערכות הפעלה, טכנולוגיות וכו'.

כאשר בונה אתרים בונה אתר, המחשבה שלו (ברוב המקרים לפחות) היא לבנות ללקוח את מה שהלקוח מבקש. הלקוח מבקש דף כזה, גרפיקה כזו, בסיסי נתונים וכו', ובונה האתרים יושב ובונה (או מעתיק… מדהים כמה העתקות יש) את מה שהלקוח רוצה, כאשר עניין האבטחה לא תמיד נמצא בעדיפות הראשית(אם זה כתוצאה של חוסר ידע באבטחה או בגלל סיבות אחרות). הלקוח מאשר את האתר, האתר עולה לאוויר, בונה האתרים מוסיף שינויים שהלקוח מבקש וכולם מרוצים בסופו של דבר.

…עד שפורצים לאתר של הלקוח, וכשהלקוח רואה דברים כמו Defacement הוא לא ירגע כל כך מהר. סביר להניח שהוא יקח את הפריצה באופן אישי ואי אפשר לדעת מה אותו לקוח יחליט לעשות. נכון, במקרים רבים יש גיבוי ואפשר לשחזר ואין ממש נזק מבחינת תוכן, אבל בכל זאת, זה לא נעים. במקרים אחרים יש פריצות יותר חמורות כאשר מישהו מבחוץ קורא את כל בסיס הנתונים או משנה אותו, וגם אז המצב לא נעים, במיוחד אם יש נזק.

אז מה מומלץ לעשות? הפתרון פשוט אך לפעמים יקר: למצוא מישהו שמבין טוב באבטחת מידע כדי לסרוק את האתר שלך ולתת לך טיפים. אם האתר שלך נכתב "ידנית" ע"י בונה אתרים, אפשר למצוא אנשים ו/או חברות שיעשו עבורך "סריקה" על הקוד של האתר שלך, מה שנקרא בעגה המקצועית Code Audit. אם בונה האתר משתמש בפלטפורמת בניית/ניהול תוכן כמו Joomla/Drupal/WordPress או ניהול חנות וירטואלית עם אפליקציות כמו oSCommerce או Magneto לדוגמא, אז צריך לבדוק שגרסאות האפליקציה הם האחרונות, שהדטהבייס מוגדר להרשאות שצריך בלבד (ולא לתת לכל העולם ואחותו אפשרות יצירה/עריכה/שינוי/מחיקה/grant וכו', טעות שרבים עושים), שההרשאות בתוכנה נכונות וגם בקבצים עצמם. אלו דברים שחשוב מאוד שיבדקו, כי ברגע שהאתר של הלקוח באוויר, יהיו המון נסיונות פריצה.

נקודה נוספת וחשובה מאוד שבעלי אתרים לא מודעים אליה היא עניין העדכונים: זה שהאתר פועל כיום והוא יחסית מאובטח, זה טוב, אך פריצות חדשות מתגלות כמעט בכל יום, וחייבים לעדכן את הפלטפורמה של האתר ולבדוק כי דברים לא השתנו מרגע שפורסם שיש עדכון אבטחה לפלטפורמה שהלקוח משתמש בה עד העדכון. זו אחת הסיבות העיקריות מדוע אתרים רבים נפרצים: איש לא עידכן את הפלטפורמה, פורץ ניסה את הפירצה שפורסמה (הן תמיד מתפרסמות) והופס – יש לו גישה לאתר, מכאן והלאה הכל תלוי בפורץ ובתחכום שלו.

בעלי אתרים רבים (המאחסנים את האתר בשרתים משותפים) מצפים שחברת אחסון האתרים תגן עליהם במקרה של פריצה לאתר שלהם אולם חברות אחסון האתרים לא יכולות לאבטח. הן יכולות לאבטח את השרתים הפיזיים, אך חברות האחסון לא יקחו שום אחריות לאתר של הלקוח עצמו. זה לא שווה להם מבחינה כלכלית, ואין להם את המשאבים לבדוק מה כל לקוח מכניס לאתר שלו, איזה קוד וכו'. יש להם מערכות שיגנו במידה מסויימת אם האתר של הלקוח "משתולל" מבחינת צריכת משאבים, אך בכך מסתכמת בד"כ ה"הגנה" בשרתים משותפים.

לסיכום: אם אתה בעל אתר והאתר מאוד חשוב לך, בין אם האתר פרטי או מסחרי, כדאי לחשוב גם על עניין אבטחת מידע ועל כך שאחת לתקופה שאותו אחד שיתן לכם את אבטחת המידע יעדכן את הפלטפורמה ויבדוק שהכל תקין ומאובטח.

החלק הבא: על אבטחת שרתים.