20 апреля 2013 года прошла «Вебмастерская» – новая конференция Яндекса для всех, кто занимается созданием и развитием сайтов.



Вирусный аналитик Яндекса Петр Волков рассказал, что делать, чтобы сайт не заразился, и что делать, если он уже заражен. Были освещены основные способы заражения и инструменты, которые Яндекс предоставляет вебмастерам для борьбы с вредоносным кодом.





Антивирусная система Яндекса работает, в первую очередь, в поиске, но применяется и в других сервисах.



Вебмастера делают многое для того, чтобы наполнить сайт качественным контентом, сделать его удобным для пользователей, и бьются за основные метрики и показатели сайта, такие, как количество посетителей, индекс цитируемости, и все это начинает расти. Но с вебмастером может произойти неприятная ситуация, когда он видит, что сайт отображается в поиске с уведомлением о потенциальной опасности для посетителей. Так сайт могут увидеть и пользователи в браузере, а могут прийти почтовые уведомления о заражении на почту, указанную в сервисе Яндекс.Вебмастер, и на адреса, привязанные к домену.



Как только система обнаруживает присутствие вредоносного кода, связанного с хостом, который обслуживает сайт, вебмастеру высылается об этом уведомление. По данным выдачи, со страницы количество переходов на сайт с оповещением о вредоносном коде сокращается в сто раз. Кроме того, зачастую антивирусное программное обеспечение пользователя тоже начинает блокировать доступ к сайту, и трафик проседает. Подобная ситуация может произойти с любым сайтом.



Тем вебмастерам, чьи сайты Яндекс считает потенциально опасным, рекомендуется прежде всего ограничить приток посетителей на сайт – вплоть до остановки веб-сервера. Увидеть информацию о ремонтных работах на сайте для пользователя намного приятнее, чем узнать о его потенциальной опасности. Чем быстрее вебмастер это сделает, тем быстрее антивирусное ПО сможет определить, что вредоносный код уже перестал раздаваться.



Логично также зайти в сервис Яндекс.Вебмастер в раздел о безопасности, где антивирусная система распознала вредоносный код, а рядом будут стоять вердикты. Также есть кнопка перепроверки после устранения проблемы. Антивирусная система проверяет, что вредоносный код перестал выдаваться, и предупреждение пропадает.



Что же делать? Прежде всего надо понять, где искать. Когда злоумышленник получает доступ к какому-то сайту, как правило, ставится автоматизированный скрипт, который начинает инфицировать статические файлы – шаблоны или java-скрипты. Методом поиска по тексту в них можно найти какие-то посторонние элементы. Также это могут быть серверные скрипты, куда вредоносный код вставляет дополнительный функционал. Код может быть в базе данных, когда производится недостаточная фильтрация пользовательского ввода. Часты случаи мобильных редиректов, когда пользователей с мобильных устройств редиректят с хорошего сайта на вредоносные ресурсы. Для перенаправления используются конфигурационные файлы веб-сервера.



Если перенаправление на вредоносный ресурс происходит только со страницы поисковой выдачи, вебмастер может долго этого не замечать, поскольку сам он заходит на свой сайт не со страницы поисковой выдачи. Также следует досмотреть используемые партнерские программы – часто есть ряд партнерок, для которых распространение вредоносного кода – ключевой момент монетизации. За свое размещение они могут предлагать вебмастеру деньги больше обычных, а потом вебмастер теряет до 100% своей посещаемости. Есть также много ситуаций, когда легитимные, вполне обычные рекламные сети взламываются, и через них начинает раздаваться вредоносный код, от чего страдают все сайты, использующие их рекламу, в том числе, и весьма крупные. Нередко можно наблюдать, когда и флеш-банеры тоже начинают участвовать в распространении вредоносного кода. Его часто размещают в «небезопасном контейнере», к сожалению, часто вебмастера сами включают им доступ к распространению вредоносного кода.



Целью злоумышленника является как можно более хитрыми способами спрятаться от администратора сайта. Чем дольше администратор не видит проблемы, тем больше заражений сможет произвести вредоносный код. Для того, чтобы администратору поскорее заметить заражение, ему надо представиться уязвимым пользователем. Рекомендуется создать простую тестовую среду, например, виртуальную машину, на который ставится отладочный локальный прокси, который наглядно отобразит все запросы и ответы от сервера. Желательно при этом использовать устаревшее программное обеспечение, входить со страниц поисковой выдачи, а также периодически подменять себе IP-адрес.



Что надо искать в контенте? Различное активное содержимое – скрипты, подгружаемость с удаленных источников, подозрительные отгрузки с сайта активного содержимого, подозрительные хосты, в частности, недорогие индийские и китайские домены. Хорошо, если Вебмастер использует систему контроля версий, и вредоносный код он быстро найдет по несоответствию, по конфликтам версий.



Яндекс.Вебмастер публикует общие рекомендации и конкретные примеры. Есть раздел со списком распространенных образцов вредоносного кода, есть конкретные советы. Характерные черты: длинные нечитаемые скрипты; лишние операции со строками (переопределение, замена подстрок, смещение символов, конкатенация); поcторонний код в js-библиотеках; переопределение DOM элементов.



Когда вебмастер видит, как вредоносный код отдается в браузере, важно найти, как он реализован на серверной стороне. Это иногда очень нелегко, код может проникать совсем в дебри управления контентом. Из-за этого также очень важно заходить в раздел Вебмастер, где по всем пунктам есть советы, в частности, и по профилактике, по повышению защищенности сайта. Можно также использовать различные антивирусные сайты, но, если они не найдут, это еще не значит, что вредоносного кода там нет. Не стоит забывать об общем уровне безопасности своего сервера, обновлять серверное программное обеспечение, вплоть до ядра операционной системы, использовать систему контроля версий, или хотя бы просто проверять недавно созданные файлы.



Антивирусная система, которая предупреждает пользователей поиска, браузера – Яндекс-браузера, Оперы и еще ряда партнеров, – в сутки обнаруживает более 2,5 тысячи уникальных сайтов, использующих вредоносный код. В каждый конкретный момент времени число вредоносных хостов в общей базе составляет около 160 тысяч. Это число постоянно видоизменяется, вебмастера чистят свои сайты, и они пропадают из базы, появляются новые зараженные сайты.



У Яндекса есть свой блог, в котором при массовых случаях заражения хостов публикуются конкретные советы, общая информация о технологиях Яндекса. Вредоносный или просто сомнительный код можно прислать на анализ, чтобы избежать возможных проблем.



Вопрос: Есть ли срок жизни зараженных сайтов в индексе Яндекса, и почему Яндекс считает, что их не надо удалять из выдачи?



Петр Волков: Есть ряд сайтов, которые изначально были созданы для распространения вредоносного кода, и они вылетают из базы только тогда, когда сам сайт умирает, но зачастую в базе остаются. Обычные легитимные сайты, которые просто страдают от вредоносного кода, живут довольно быстро. Публиковалась любопытная статистика, что на сайтах религиозного содержания вредоносный код встретить намного проще, чем на порнографических. Это очень логично потому, что такой код проще всего найти на сайтах, за которыми вебмастера меньше всего следят - сайты университетов и школ в том числе. Те сайты, которые приносят ежедневный доход, обычно вебмастерами отслеживаются. Что касается выдачи – мы просто публикуем предупреждение, чтобы пользователь сам решал, хочет он посетить этот сайт или не хочет. Потому что, помимо потенциального распространения вредоносного кода, у пользователя может просто не остаться ответа, удовлетворяющего его запрос. Наша политика состоит в том, чтобы оставлять пользователю выбор. Как правило большинство пользователей с нами соглашаются, и не переходят на этот сайт.



Вопрос: Почему нет таких же пометок, к примеру, в картинках.



Петр Волков: Есть – и в картинках, и в картах, и в прочих сервисах.



Вопрос: Два года назад была уязвимость на сайте, он вывалился из выдачи, и только через полгода удалось восстановить позиции. Как сейчас заражение влияет на выдачу? Мы исправили проблему за два дня, а потом полгода ждали восстановления позиций.



Петр Волков: Само появление вредоносного кода – проблема вебмастера, и мы стараемся ее не усугублять, и как можно быстрее возвращать сайт на позиции. Скорее всего, ваш сайт редиректил посетителей на другой вредоносный сайт, и воспринимался антиспам-системой как дорвей. Мы обычно стараемся максимально уменьшить промежуток времени, чтобы сайт как можно быстрее появлялся.



Вопрос: Могу ли я как-то сообщать, что я нашел и исправил все проблемы, и готов вернуться.



Петр Волков: Разумеется, если проблемы уже нет, а сайт все еще не появился в индексе, следует поинтересоваться мнением саппорта на этот счет.



Михаил Сливинский (Викимарт) рассказал, как сделать сайт привлекательным для пользователей и поисковых машин.





Очень часто, несмотря на размеры проекта, маркетинг находится в каменном веке. Есть формальные метрики, по которым можно пытаться делать выводы, насколько успешен проект и интернет-маркетинг – по позициям в поиске, видимости, трафике, лидам. Это плохие метрики, так как сайты очень разнообразны, запросы разные, эффективность разная. На сайте Викимарт есть несколько миллионов документов, соответственно, несколько миллионов ключевых слов, и считать, что просто нужна какая-то позиция в поиске по какому-то запросу – это совершенное безумие. Ну есть сайт в поиске по какому-то запросу, и что? Из этого вообще не следует, что есть продажи, удовлетворенный покупатель и прочее.



Есть более честные метрики, коммерческие. Это конверсия, это средний чек, маржа – те метрики, которые отражают реальную удовлетворенность пользователя. Гораздо честнее смотреть на них. Что важно: в последнее время на разных конференциях много народу говорит о том, как оптимизировать конверсию. Это здорово. Но конверсия – это важная, но не единственная метрика в е-commerce. Если вы торгуете разными товарами, то вам не все равно, сколько вы зарабатываете на заказе, какой там средний чек и прочее. К примеру, в электронике маржа очень низкая, и деньги зарабатываются с помощью аксессуаров. А есть и другие, более маржинальные товары.



Как выглядит задача? Попытаться максимизировать счастье. Счастье состоит из двух частей – это счастье пользователя, которому нужно быстро и правильно купить, и счастье бизнеса, который при этом должен зарабатывать. Эти вещи должны быть сбалансированы. Есть конверсия, которая объединяет счастье пользователя и счастье бизнеса. Викимарт делаем ряд вещей, достаточно нетипичных для поисковой маркетинговой аналитики. Например, строит рекомендательные системы, которые улучшают счастье пользователя. Это ценная штука, которая позволяет делать так, чтобы пользователь доверял, возвращался.



Как добиться этого счастья? Первое, что нужно сделать – это сделать аналитику, посмотреть на сайт внимательно, и разобраться, чем живут пользователи, что хорошо и что плохо, где сайт зарабатывает и где теряет. Второе – это сфокусироваться. Самая частая проблема – это отсутствие фокусировки. Есть какой-то бюджет на привлечение трафика, маркетинговые инструменты, и их размазывают по всему сайту. Есть миллион товаров, но, при этом, не наберется значимая статистика; что-то произойдет, но невозможно будет сделать разумные выводы.



Не надо гнаться за масштабом. Начать нужно с узких сегментов, которые понятны, сфокусироваться. Эта фокусировка может быть сделана двумя способами – либо фильтрацией, либо приоритезацией. Фильтр – это грубая вещь. Есть миллион товаров, из них «вот эти 990 тысяч – они какие-то не такие, а вот эти 10 тысяч – они вроде ничего». Приоритезация – приклодение усилий сообразно со значимостью документа, и этот миллион товаров выстраивается в порядке убывания значимости по какой-то метрике.



Дальше вводятся какие-то процессы и автоматы, можно заказывать и делать интернет-маркетинг как угодно, главное – управлять процессом, выступить квалифицированным заказчиком. Полагаться на то, что исполнитель сам что-то сделает, как минимум, неосмотрительно.



За эффективность процесса отвечает заказчик. И важны внутренние связи между подразделениями бизнеса. Простой пример: часто в интернет-магазине ассортимент определяется каким-то неведомым образом, сбоку вообще. То есть, гендиректор говорит: «Все продают, и мы будем это продавать». Это решение понятное, и оно неверное потому, что нет оснований делать именно так.



Ассортимент в Викимаркете сначала определяли коммерсанты. Потом был создан инструмент, который определяет качество ассортимента, уровень цен, таким образом, маркетинг формирует задачу. Например, нужны телевизоры определенной диагонали и определенного цвета. И уже эту конкретную задачу коммерсанты решают, привлекают нужный нам ассортимент по нужным нам ценам. Иначе получится, что маркетинг решает задачу, которая, по сути, не решаема – ассортимент не соответствует ожиданиям пользователей, они не хотят это покупать, не готовы за это платить.



Признаки коммерческого сайта, которые озвучил Кирилл Николаев (Яндекс) в 2011 году: удобство выбора, доверие, качество услуги и дизайн сайта. Это четыре вещи, которые нужно учитывать, представляя, как поисковая машина относится к сайту. Всем нужен трафик, и вопрос в том, как его получить. Поисковая машина умеет измерять удовлетворенность пользователя и учитывать это при ранжировании, и привлекать трафик на плохой сайт существенно сложнее, чем на хороший. Вкладывая деньги и силы в развитие сайта, вы по сути инвестируете в собственный трафик.



Часто бывает, что коммерсанты приходят из оффлайна, и видение у них оффлайновое. В оффлайне измерять трудно, а онлайн создан для измерений. Каждый чих пользователя, каждый клик, переход на документ, отказ – все это можно зафиксировать. И измерить.



В онлайне можно провести АВ-тестирование – одной части пользователей показать один контент, другой части – другой, причем, в одно и то же время. Последовательное тестирование работает хуже: если сегодня показывать красную кнопку «купить», а завтра оранжевую, то, извините, завтра не равно сегодня – это разные дни недели, разная погода, куча обстоятельств. Параллельное тестирование позволяет честно ответить на вопрос, какая кнопка красивее и полезнее.



Плюс не работает пуш-маркетинг – в оффлайне в магазин можно принести товар, и пользователи вынуждены либо купить то, что им предлагают, либо уйти куда-то, и пользователь оказывается заложником этой ситуации: он уже пришел в магазин, ему не хочется куда-то идти, он вовлекся уже. В онлайне все не так. Если не удовлетворить пользователя за несколько секунд – до свидания. Он ушел, его потеряли. Поэтому, с одной стороны – потребитель доступнее, с другой стороны – цена ошибки существенно выше. Значительная доля того, что делается, связана именно с измерением спроса. Нужно понимать, что нужно людям, когда, как, и прочее.



Также нужна обязательная фокусировка и автоматизация, особенно если вы работаете с большими сайтами, потому что может получится так, что вы будете делать что-то действительно неплохое и осмысленное, но масштаб будет не соответствовать ожиданиям.



К сути. Что предлагается измерять и улучшать.



Документы на сайте. Они очень разные. Например, список товаров в категории GPS-навигаторы. У них разные цены, отзывы, характеристики. Представьте оффлайновый магазин, там на полках стоят какие-то товары, товаров много. Как понять, какие полезны, какие нет? Как сделать рекомендательную систему, имея мало информации о пользователе? Когда пользователь зашел на какую-то конкретную модель, значит, он уже обладает о ней какой-то информацией. Но когда пользователь пришел просто за навигатором – вы о нем мало знаете.



Если у вас на сайте много страниц - измерьте, какие работают лучше, какие работают хуже. Существуют коммерческие метрики – это конверсия, средний чек, монетизация трафика. Их можно получить при правильно настроенных счетчиках в отчетах. Если коммерческих метрик не хватает, так как на сайте сотни тысяч товаров, а реальным спросом сопровождаются всего несколько тысяч, а про остальные мало известно, можно использовать коммерческие метрики как суррогат – если пользователь проводит достаточно времени на документе, следовательно, он ему как-то интересен.



Удержать пользователя сложной навигацией и некачественным сайтом невозможно, это иллюзия. Есть вынужденные случаи, если речь идет о монопольном положении вашей компании. Поэтому такие метрики, как глубина просмотра, время на сайте можно взять из счетчиков поисковых систем. Есть также формальные метрики, которые позволят, не имея трафика, спрогнозировать качество документа входа. Например, очень важна визуализация, качество изображения.



Нельзя идти на поводу у стереотипов. Викимарт раньше думал, что в ноутбуках правильный листинг должен состоять из списка с характеристиками. Оказалось, что так давно люди не покупают, так было 10 лет назад, когда ноутбук был уделом специалиста. Мы заметили, что картиночная выдача работает гораздо лучше, когда листинг идет уже после фотографии. Изменилось время, и люди стали по-другому относиться к товару. Пользователь выбирает банально по картинке. Или, например, по отзывам. Нужно поощрять пользователей писать отзывы.



Что делать? Посчитать эффективность каждого документа, разделив профит на расходы. Сгруппировать документы – и посчитать, что потрачено, что заработано.



Документы разные, запросы тоже разные. Идеально решение – для пары "запрос-документ" считать чистую экономику, конверсию в том числе. Но, скорее всего, не хватает данных – по высокочастотным запросам эти данные есть, а по остальным нет. Отсюда – вынужденные приближения.



Невозможно угадать, какой маркер обеспечит лучшую конверсию. Поэтому не надо угадывать - надо измерить, понять и использовать.





Слово "магазин" и слово "купить". Что лучше конвертируется?



Если посмотреть в лоб - то магазин сильно лучше, чем купить. Но, если посмотреть внимательно на эти запросы, то часто оказывается, что вместе со словом "магазин" присутствует слово "Викимарт". И, возможно, высокая конверсионность - это не заслуга слова "магазин", а заслуга слова "Викимарт". И эти люди более лояльны к нашему магазину. И если выкинуть слово "Викимарт", то доминирование получается не такое и сильное. А если при этом еще выкинуть слово "купить", то оказывается вообще все равно - и "магазин", и "купить" обеспечивают примерно одинаковую посещаемость.



Такого рода измерения нужно делать обязательно, они показывают, что происходит на сайте.



На каждом сайте будет все по-своему - потому, что разные целевые аудитории, люди по-разному воспринимают проекты, разные источники трафика, и прочее. Статистика постоянно меняется. Нет очевидных решений. Нужно измерять, и принимать решения на основе измерений.



Важное в самом начале опыта интернет-маркетинга - не бежать сразу в сторону поискового продвижения. Это кажется дешевым каналом продвижения. Но нужно учитывать особенности. Во-первых, эта дешевизна кажущаяся. На это уходит много времени.



Начать лучше с контекстной рекламы. Это может быть болезненно, но за короткое время многое даст понять и о бизнесе, и о сайте. Даст возможность протестировать запросы, которыми предполагается привлечь трафик. И будет понятно, что они ошибочны. Пользователи на самом деле хотят другого. Будет возможность протестировать страницу входа - и понять, что она неудачная, пользователь конвертируется плохо, он не видит описаний, редко жмет на кнопку "купить" потому, что она плохо расположена, и почему-то решено было не выводить цену, рассчитывая на то, что как-то само рассосется. Будет решено много задач. И что важно: они решатся не только в онлайне, но и в оффлайне потому, что будет видно, что конверсия по факту есть, а бизнес грустит. Оказывается, доставка не доставляет, call-центр не call-центрит, и подобное. Контекстная реклама поможет это понять.



Дальше возможно два варианта: либо это принять, улучшить сайт и учиться жить в условиях среды, которая оказалась другой. И, когда экономика улучшится, можно начать заниматься и поисковым продвижением, и всем прочим. Либо понять, что в этой ситуации сделать ничего невозможно, но, по крайней мере, это грустное решение будет быстрым.



И в конце - несколько невредных советов. Нужно выступать квалифицированным заказчиком. Как заказчик, нужно выполнять функцию аналитика.



Нужно тестировать и измерять. Онлайн - он создан для тестирования и измерения, и этим нужно пользоваться.



Нужно фокусироваться. Не размывать цели. Научиться работать на узких запросах по узким тематикам, по узким специфическим товарам, документам. И только после этого расширяться. Не размывать интересы сразу.



Вопрос: Большая часть консервативных пользователей не совершает заказ через сайт, а предварительно звонит по телефону. Это часть аналитики, которая достаточно сложная. Каким способом вы оцениваете эту аудиторию?



Михаил Сливинский: У нас для этого есть внутреннее решение - у нас на сайте в правом верхнем углу есть шестизначный номер, который операторы call-цента спрашивают у пользователя, и этот номер связывает сессию на сайте, источник трафика, ключевые слова входа, документ входа и прочее - в общем, делает связку с транзакцией через этот уникальный шестизначный номер. Примерно для 3/4 сделанных через call-центр заказов это позволяет привязать к остальным данным по сессии. Четверть заказов, действительно, не удается привязать.



Вопрос: Есть много инструментов по веб-аналитике, посоветуйте какие-то ключевые.



Михаил Сливинский: Аналитика - это не смотреть на цифру на счетчике и радоваться, что стало на 15 посетителей больше. Аналитика - это измерение, причем, сфокусированное. Лучше всего использовать публичные общедоступные инструменты - Яндекс.Метрику и Google Analytics. Это самые подходящие для большого бизнеса инструменты, которые легко настраивать и понятно, как использовать.




Обсудить  

Читайте также


Комментарии Кто голосовал Похожие новости

Комментарии