יש יצירתיות ויש יצירתיות

כשזה מגיע למגיע למכירות, כל ספק שרת וירטואלי (VPS) מנסה לבדל את עצמו מהשאר. חוץ מתשבוחות והצגה בולטת של היתרונות, ספקים משתמשים גם במיתוג של שמות שונים. כך לדוגמא אצל VPS נקרא אצל ספקים רבים “שרתי וירטואלי” וספקים אחרים קוראים לזה בשמות אחרים: “שרת מיני יעודי”, SDS, SGS, Private Server ועוד ועוד.

עד כאן הכל טוב ולגטימי לחלוטין.

אולם לעיתים ספקים קצת “מגמישים” את תאור המוצרים שלהם, וכתוצאה מכך המוצר שנמכר הוא לא המוצר שלקוחות מחפשים אלא משהו אחר “בתחפושת” של אותו מוצר שלקוחות מחפשים.

הנה דוגמא: לקוח פוטנציאלי פנה אלינו היום וביקש הצעת מחיר מול הספק שהוא נמצא עימו היום. אותו ספק מציע לאותו לקוח את הדבר הבא:

ההצעה הזו היא מוזרה, כי היא מדברת על 2 דברים שונים לחלוטין:

  • ריסלר (Reseller) זה מושג בתחום אחסון אתרים (ואחסון משותף) שבו אתה משלם סכום מסויים והחשבון שלך מוגדר בפאנל כ-Resller, כלומר אתה יכול לפתוח X תתי חשבונות תחת החשבון שלך (כאשר X נקבע על ידי הספק). כל החשבונות יתארחו על אותו שרת אחסון שיתופי יחד עם לקוחות אחרים שלא קשורים כלל לאותו Reseller, והם יושבים על אותו שרת ועל אותו דיסק ובאותה מערכת הפעלה.
  • VPS – הוא שרת וירטואלי עצמאי שנבנה על תוכנת וירטואליזציה, אך הוא כשלעצמו עצמאי, כלומר אתה יכול להחליף בו כל רכיב תוכנה, אתה יכול לפתוח עליו כמה חשבונות שתרצה, להריץ עליו מה שתרצה (ההגבלות הן בגודל הדיסק, רוחב הפס שמוקצה לשרת הוירטואלי עצמו ומהירות הליבה או המעבד שמוקצים לך). טכנית אם אתה מתקין פאנל על אותו VPS, אתה יכול להציע בעצמך ללקוחות חבילת Reseller, כי השרת הוא בעצם שלך.

כלומר יש פה משהו שהוא מעין “מיש-מש” אבל לא קולע לכלום אלא מנסה לשלב 2 דברים שונים, ואם הלקוח יטריח את עצמו באותו אתר של הספק להסתכל על חבילות ה-VPS, הוא ימצא שם דברים שונים לחלוטין.

הדוגמא הנ”ל אינה דוגמא שלילית, אלא היא יותר קשורה לכך שמישהו בשיווק אצל אותו ספק לא מבין דברים או שאינו יודע להסביר את עצמו נכונה.

דוגמא אחרת היא דוגמא שמנסים “לשחק” עם המספרים ולמכור ללקוח משהו שהוא לא מקבל בזמן הרכישה.

אחד מהספקים לדוגמא, “משחק” במספרים של הרוחב פס. הוא טוען בפרסומיו השונים שהוא נותן ללקוחות רוחב פס של 10 מגהביט. אם עושים בדיקה מהירה עם הספק, אז יוצאת האמת: הוא לוקח מספר ומנסה “לחלק אותו”. במקרה דנן, הוא לוקח רוחב פס סימטרי של 5 מגהביט (כלומר 5 מגהביט החוצה מהשרת ו-5 מגהביט פנימה לשרת) ומנסה להציג זאת כ-10 מגהביט, וזו הטעיה. קו 10 מגהביט אמור לתת לך 10 מגהביט (ברוטו) פנימה או החוצה מהשרת. מה שאותו ספק נותן זה 5, לא 10. כך יוצא שלקוח שמשלם X שקלים על אותם “10 מגהביט” מקבל בעצם חצי ממה שהובטח לו, וזה רע.

לסיכום: שיווק טוב הוא שיווק שאתה מדגיש את המוצר שלך, אתה מדגיש את היתרונות שלו מול מוצרים אחרים או מוצרים מתחרים. שיווק שאינו טוב הוא שיווק שבו הצרכן לא מבין על מה מדובר, ולא מבין את מה שהספק מציג לו. שיווק מאוד גרוע הוא שיווק שהספק “משחק” עם המספרים ואינו אומר אמת.

היכן לאחסן ומה לבדוק

שנים רבות אני שומע את השאלה הבאה בגרסאות שונות "אני בונה אתר ואני רוצה לאחסן אותו. מכיר מישהו מומלץ?" או "יש לי אתר באחסון XYZ אבל אני לא מרוצה מהשרות. מכיר חברה אחרת מומלצת?"

בעבר הייתי ממליץ על ספק זה או אחר, בארץ או בחו"ל. לפעמים הייעוץ היה טוב אבל לפעמים הספק המומלץ פישל בגדול . אי אפשר להיות "אחראי" על ספק ולתת המלצה שתחזיק לזמן ארוך, הכל תלוי איך אותו ספק יתנהג מחר, תלוי בלקוח ובהסכם שלו עם אותו ספק ויש עוד פרמטרים.

מכיוון שכיום "חץ ביז" זה כבר עסק עם מספר עובדים (פרילנסרים), אינני יכול להמליץ על ספק זה או אחר. לנו יש את החבילות שלנו (שרתי VPS, אחסון משותף ועוד) ולספקים אחרים יש את החבילות שלהם. במקרים מסויימים אנו מתחרים ובמקרים מסויימים אנו לא מוצאים הגיון בהצעת חבילות מסויימות (SEO Hosting, אחסון במחירים של דולרים בודדים לחודש) מסיבות שונות ואין לנו בעיה להודיע כי איננו מציעים את אותן חבילות ולהציע לפונה לפנות למתחרה ממול.

להלן טיפים שנתתי בעבר (וגם כיום) בכל הקשור לאחסונים שונים. שוב, לא מדובר בהמלצה על ספק מסויים אלא יותר "כללי אצבע":

  • אתר קטן או מספר אתרים קטנים: אם יש לך אתר קטן או מספר אתרים קטנים ואין חשיבות לזמן הטעינה שלהם, כמו בלוגים אישיים עם מספר מבקרים קטן, אתרים אישיים קטנים עם מספר נמוך של מבקרים ואתרים קטנים נוספים אשר אינם מקודמים (SEO) – אז אפשר לאחסן את האתר בארץ, בארה"ב או אירופה באחסון משותף.
  • בלוגים או אתרים קטנים עם מספר גולשים של מאות ביום או בלוגים מקודמים (SEO) עם קהל יעד ישראלי : בקידום אתרים יש חשיבות גדולה האם האתר נטען מהר או לא (לא רק ה-HTML של הדף הראשי אלא גם תמונות וכו') , ואתר קטן/בלוג עם כמות קוראים רבים צריך שהמידע יגיע כמה שיותר מהר לגולש – אתרים כאלו מומלץ לאחסן בארץ, ואם הפתרונות בארץ יקרים מדי לפונה, אחסון משותף באירופה יכול לתת תוצאות לא רעות (אם כי המהירות מאירופה וחו"ל אל ישראל יכולה להשתנות עקב האטת תקשורת מכוונת מצד ספקי התקשורת הישראליים).
  • אתרים בינוניים המיועדים לקהל הישראלי (מושכים כמות של אלפי גולשים ליום) – חד וחלק, חפשו אחסון משותף או שרת VPS (שרת וירטואלי) כאן בישראל. יכול להיות שהמחיר יהיה טיפה יותר יקר (על הבדלי המחירים אכתוב כאן בפוסט אחר), אך מצד שני הגולשים שלכם יקבלו את המידע בצורה מהירה וזורמת (תלוי כמובן בספק, רוחב הפס שלו, שרת VPS שלו וכו' – ואלו עניינים לפוסט אחר).
  • אתרים גדולים (עשרות אלפי גולשים, אלפי גולשים שמעלים תוכן ביום) המיועדים לקהל ישראלי – מומלץ לרכוש שרתים יעודיים מיבואני שרתים (DELL, HP, IBM וכו') ולארח אותם בחווה שהספק מארח. המחיר יצא זול בהרבה מאשר לקחת שרת וירטואלי מפלצתי שלא בטוח שיעמוד בעומסים ויהיה יקר בצורה משמעותית מאירוח שרת פיזי בחווה.
  • אתרים/שרותים בינוניים וגדלים המיועדים לקהל עולמי: כאן לצערי פתרון בישראל לא יסייע לך ("תודות" לספקי התקשורת הישראליים) אולם פתרון מקובל אחר שרבים משתמשים בו (השכרת שרתים/VPS בארה"ב) גם אינו הפתרון הכי יעיל. אם אתה מייעד את הפתרון שלך ככלל עולמי, עדיף לקחת פתרון באירופה (ישירות או דרך ספק ישראלי שיש לו שרתים באירופה). מדוע? כי רוחב הפס בין אירופה לשאר המקומות בעולם גדול משמעותית ממה שיש בין ארה"ב לשאר העולם.
  • פתרונות מורכבים (מספר שרתים וירטואליים ו/או יעודיים עם Load Balancer וכו') – רבים מעדיפים לקחת פתרונות כאלו מ-Amazon (כשמדובר בשרתים וירטואליים, אמזון אינה משכירה שרתים יעודיים ואינה נותנת שרותי Colo), אולם מומלץ לחשוב גם על פתרונות מספקים אחרים ולשקול אותם בגלל סיבה פשוטה: הפתרון של Amazon (ו-Amazon היא רק דוגמא אחת) הוא פתרון "נעול", כלומר אם מחר בבוקר לא תהיה מרוצה מהשרות שלהם/שרתים שלהם, אינך יכול לקום ולעבור ספק תוך יום יומיים, תצטרך לשנות מהקצה אל הקצה את כל התשתית שלך, דבר שיעלה לך לא מעט, ולכן לפעמים דווקא כדאי לקחת פתרונות סטנדרטיים (לדוגמא: מספר שרתים וירטואליים ו-Load Balancer בחומרה או תוכנה) כשהאיש הטכני שלך מגדיר אותם, ואם תרצה לעבור, כל מה שיהיה צריך לעשות זה לשכור חבילות זהות, וכל מה שנותר לאיש הטכני שלך יהיה להעתיק את התוכן מהשרתים הישנים לחדשים, לשנות כתובות, ולהגדיר את ה-LB מחדש, וזה לוקח רק חלקיק מהזמן שלוקח לעבור מ-Amazon.
  • לא להיות "יד רביעית": ישנם ספקים גדולים בעולם (המקרה הכי ידוע: חברת OVH) שמעדיפים לא לעבוד עם מדינות שונות (ובכללן ישראל) מסיבותיהן הפרטיות. מה קורה אז? מישהו באותה מדינה שוכר שרת/ים, משכיר אותם למישהו אחר (נניח בישראל) ואותו ישראלי משכיר לך את השרת, כלומר אתה בעצם "יד רביעית" (הספק עצמו, האזרח הזר, המשכיר הישראלי, ואתה) וכולם מרוויחים עליך לא רע. במקרה ויש לך תקלה או בקשת שדרוג והמשכיר הישראלי לא יודע או לא יכול  לפתור אותה, התקלה צריכה "להשתרשר למעלה" בכל המסלול, לכן מומלץ מאוד לשכור דרך נציג ישראלי שיש לו שרתים משלו (או שהוא שוכר שרתים) אצל הספק עצמו ולא דרך צד שלישי. זכור כי במידה והספק מצא לדוגמא שאתה ישראלי והוא אינו מעוניין לעשות עסקים עם ישראליים, הוא יכול פשוט לקום ולנתק את השרת, ולך תריב עם המוכר הישראלי או הבחור במדינה זרה שמכר לישראלי.
  • לא לשכור שרת VPS על סמך אתר בלבד: באתרים של ספקים הכל כתוב בצורה יפה ומושכת. המפרט הטכני מדבר על מעבדים חזקים, רוחב פס נדיב וכו'. אם אתה מעוניין בחבילה, בקש אותה ליום יומיים נסיון ותנסה "להתיש" את השרת VPS (לדוגמא) בסימולציות של מבקרים רבים, (בכמות שאתה מתכנן) ותוודא כי השרת עומד ביעדים שהגדרת. רק לאחר מכן כדאי שתסגור את העיסקה ותוודא שהשרת שקיבלת לניסוי – הוא זה שתקבל ולא אחר (טריק שיווקי ידוע).
  • חשוב לוודא שהספק נותן לך דברים מסויימים שאותם תצטרך בהמשך הדרך:
    • רוחב פס המוקצה לשרת שלך בכל הזמן (לא "מתפרץ"). מומלץ שתבדוק מדי פעם אם יש ברשותך את הרוחב הפס הנ"ל.
    • גישה לקונסולה ו/או KVM באופן מיידי (במקרה ואינך מצליח לגשת לשרת מרחוק אם בטעות נעלת את עצמך מרחוק). ספקים מסויימים לא נותנים זאת ובמקום זה מבקשים ממך סיסמת root על מנת לבצע מה שאתה רוצה – אל תיתן סיסמת root. אינך יודע מי הולך לטפל בשרת, מה הידע שלו ומה באמת הוא עושה.
    • הצמד שרות ניטור משלך לשרת הוירטואלי/יעודי שלך, לא תמיד תקבל התראה אם השרת שלך נפל.
    • ודא כי אם מדובר בשרת VPS, שהוירטואליזציה היא מלאה ואתה יכול לשדרג כל חלק במערכת עצמה ולא רק חלקים מסויימים, וכדאי שתבדוק באיזו וירטואליזציה מדובר.
    • החלף סיסמת root לאחר שקיבלת את המכונה וודא כי איש אינו נמצא במכונה זולתך.
    • ודא כי ישנה אפשרות התקנת כל העדכונים במערכת וודא כי האיש הטכני שלך מריץ עדכונים לפחות אחת לשבוע.

התחשבות בנקודות הנ"ל יכולה לסייע לך לא ליפול על ספקים שהשרות והחבילות המוצעות על ידיהן – מפוקפקות.

בהצלחה

בעקבות גניבות כרטיסי אשראי – שאלות ותשובות

בשבוע האחרון התוודענו כולנו לפורץ סעודי שהצליח לחדור לחברת אחסון ובניית אתרים בשם "דובל אתרים". הפורץ הצליח לפרוץ לאתרי דילים כמו "קבוצתי", "סייל 365", ולאתר הספורט One. הפורץ הסעודי התגאה בכך שהוא פרץ לעוד מספר רב של אתרים אולם לפי הכתב עידו קינן, רוב אותם אתרים הם קטנים ושוליים. הפורץ הסעודי כבר שיחרר פעמיים קבצים ובהם עשרות אלפי מספרי כרטיסי אשראי, חלקם תקינים וחלקם לא וחברות האשראי עושות הכל כדי לחסום את אותם כרטיסים ולהנפיק כרטיסים חדשים ללקוחות.

במאמר זה ננסה לענות על שאלות שעולות אצל בעלי אתרים.

האם המידע שמסרו בעלי חברת דובל נכון והפורץ חדר מתוך אתר בלתי מוגן אל אתרים מוגנים?

למעט חברות האשראי ואולי לעוד מספר גורמים, אין לאף אחד מידע קונקרטי מה בדיוק התחולל שם בשרת. ישנם שביבי מידע והמון השערות, אבל הטענה של בעלי דובל אתרים כאילו האתר שלהם היה מוגן והוא נפרץ מאתר אחר אינה נשמעת אמינה, הואיל והקבצים עצמם של מספרי האשראי, פרטי הלקוחות, כתובות, סיסמאות, טלפונים וכו' – היו בלתי מוצפנים, כך שעניין ה"אתרים מוגנים" מוטל בספק על ידי מומחי אבטחה רבים.

יש לי אתר שאני מוכר בו מוצרים, האם גם האתר שלי חשוף לפריצות?

אין לי או לאף אחד אחר אפשרות לאמר לך אם האתר שלך חשוף או לא (ובמקרים רבים גם לא מי שבנה לך את האתר!) וההמלצה של כל איש מקצוע תהיה – שתשכור איש אבטחת מידע שיעבור על האתר שלך, יתן המלצות כיצד לאבטח את האתר שלך, הצעת מחיר – ומומלץ שתשכיר אותו או איש אבטחה אחר ליישם את ההמלצות. חשוב לזכור: רוב בוני האתרים אינם מבינים היטב באבטחת מידע, ו"דילוג" על אבטחת מידע יכול לגרום לך להפסדים ניכרים אם יפרץ האתר שלך.

באתר שלי אני סולק כרטיסי אשראי ישראליים. האם יש המלצות כלשהן?

ישנן מספר המלצות עיקריות:

  • להעביר את האתר בדחיפות סריקה של איש אבטחת מידע לגבי הצפנת הנתונים, מחיקת נתונים שאין צורך בהם ושאסור שישמרו אצלך (לדוגמא: 3 הספרות בגב כרטיסי האשראי, מה שנקרא CVV או CVV2) ובדיקת עדכונים לגבי התוכנה שאתה משתמש בה לניהול האתר/חנות.
  • מעבר לאחסון לשרת וירטואלי (שרת VPS) – ראה הסבר בהמשך המאמר מדוע.
  • חתימת חוזה מתמשך עם בונה האתרים שלך (או בונה אחר) להטמעת עדכוני תוכנה ואבטחה באחסון שלך לפחות אחת לחודש.
  • מעבר לסליקה דרך אתר חיצוני (כמו טרנזילה ואחרים) שלהם יש מומחיות בסליקה, הצפנה ועוד.

אם אני מוכר מוצרים אבל אני לוקח פרטי אשראי בטלפון, אני צריך לדאוג?

שאל את עצמך את השאלה הבאה: האם היית מוכן לתת למתחרים שלך את המידע על לקוחותיך, כמות המלאי של המוצרים שלך, מבצעים ומחירים או מוצרים נוספים שאתה הולך להכניס באתרך? סביר להניח שהתשובה תהיה "לא", ולכן מאוד מומלץ גם כאן לשכור איש אבטחה שיעבור על האתר שלך ויתקן מה שצריך לתקן. אם יפרצו אליך (ולמען האמת זו לא שאלה של "אם" אלא "מתי") והמידע יגנב מהאתר שלך, הדבר עלול ליצור לך נזקים חמורים ואם יהיה אפשר להוכיח שהתוכן נגנב ממך, תהיה חשוף לתביעות רשלנות מצד לקוחות וחברות אחרות.

למה אני צריך שרת וירטואלי? מה רע במה שיש לי היום? הספק אומר שהאחסון מאובטח

אם יש לך חנות פיזית, האם תסתפק בדלת דיקט עם צילינד ומפתח שעולים 20 שקלים? סביר להניח שלא. אתה תרכוש דלתות חזקות, תשים מצלמות במעגל סגור, אולי תשכור חברת שמירה שתפטרל באזורך בלילה, אולי גם תתחבר למערכת אבטחה חיצונית עם גלאים ועוד – אתה בעצם תשקיע רבות כדי להגן על עצמך.

כך גם בעולם הוריטואלי. אחסון שיתופי שעולה כמה עשרות שקלים בחודש לא יכול לתת אבטחה מספקת לאתרים שסולקים כרטיסי אשראי או לאתרים שיש בהם מידע רגיש (פרטי לקוחות, מלאי שלך, תכנונים עתידיים, מבצעים שלא הוכרזו ועוד). בשרת וירטואלי (שרת VPS) אפשרויות ההגנה הרבה יותר גדולות ואיש טכני טוב יכול להגן בצורה רצינית על המידע שלך. אחסון שיתופי לעומת זאת, יכול לתת הגנה ברמה פשוטה עד בינונית, הואיל ואין אפשרות ליישם הגנות רבות ובמקביל לתת ללקוחות רבים להשתתף באותו אחסון שיתופי.

שרת וירטואלי עולה יותר מאחסון משותף ואין חולק על כך, אבל שרת וירטואלי גם נותן לך עצמאות באבטחה, אתר מהיר ללקוחותיך (מבלי להיות מואט על ידי לקוחות אחרים כמו באחסון שיתופי), אפשרויות גדילה מורחבות ועוד. לגבי המחיר: תלוי בספק והצעות המחיר שלו, ההבדל עצמו אינו כה גדול והוא נע בין 800 ל-1600 שקל לשנה. אצלנו לדוגמא ניתן לקבל שרת VPS כזה במחיר של 1800 שקל לשנה (פלוס מע"מ).

מה אם אני מעוניין לשמור פרטי אשראי למקרה והלקוח ירצה לרכוש פריטים/מוצרים נוספים?

לשם כך אני ממליץ לך להיוועץ במחלקת האבטחה של חברת האשראי איתה אתה סולק כרטיסים.

סולק צד שלישי יקר לי/לא מתאים לי ואני לא רוצה להיכנס להוצאות נוספות. אי אפשר להוזיל עלויות?

אפשרי לסלוק כרטיסים דרך אתר Paypal (אם כי לא ניתן לסלוק דרכם כרטיסי אשראי של ישראכרט בעלי 8 ספרות, לשם כך אפשרות להפנות לקוח כזה ל-וואלה פיי). במקרים כאלו יש צורך בהגדרת המערכת שלך וביצוע שינויים שיובילו את הלקוח בסיום בחירת המוצרים אל האתרים השונים, ולקוחות אלו יועברו לאתרים אלו, שם הם יזינו את פרטי כרטיס האשראי שלהם ולאחר ביצוע התשלום בפועל, הם יועברו בחזרה אל האתר שלך ואתה תקבל מ-Paypal או וואלה-פיי אישור/סירוב עיסקה.

העניין המרכזי שמומלץ לך לחשוב עליו הוא לא רק לגבי כרטיסי האשראי אלא פרטי הלקוחות ומידע שלך שצריך להיות מאובטח.

ספק האחסון שלי אומר שהשרתים שלהם מאובטחים והכל אצלם מאובטח. זה מספיק, לא?

אם תסתכל בחוזה שלך עם הספק (אם אין לך אתה יכול לבקש ממנו העתק), תראה בפירוש שהספק אינו מבטיח לך שאתרך לא יפרץ וזאת מסיבה פשוטה: שום ספק אינו עוקב אחרי הלקוחות שלו מה הם מעלים מבחינת תוכנות, אפליקציות (אפליקציה הכוונה התוכנה שמציגה ומאפשרת ניהול האתר/חנות), וגם אם יש לך שרות ניהול, הספק אינו מעדכן לך את האפליקציה/תוכנה שמותקנת בחשבון שלך. האבטחה היא ברמת נסינות תקיפה של השרתים, אך היא אינה ברמה של נסיון לפרוץ עם תוכנות מיוחדות לאתר שלך (כפי שקרה במקרה המפורסם הזה), וזה כך אצל כל הספקים. בנוסף, שום ספק לא יקדיש משאבים לחקור (במקרה של אחסון שיתופי) מהיכן בוצעה פריצה לאתרך (אם חס ושלום אירעה פריצה). המקסימום שיעשו זה שיחזור מגיבוי.

אם יש לכם עוד שאלות, אתם מוזמנים לכתוב אותם כאן בטוקבקים  ונשמח לענות לכם.