В статье:

• Почему нужно обеспечить безопасность сайта
• Что угрожает безопасности сайта — классы угроз и способы решения:
  • Личная безопасность
  • Как проверить, были ли утечка пароля
  • Уязвимости в вашем коде
  • Уязвимости в CMS
  • Уязвимости в системном софте и библиотеках
  • Уязвимости открытых систем управления

• Итоги

16 марта на площадке Collaborator прошел вебинар с сооснователем PR-CY Евгением Барановым. Он рассказал, какие методы взломов используют хакеры, какие методы защиты не работают в 2021 году и как обезопасить свой проект.

Смотреть вебинар:

Составили конспект вебинара для тех, кому удобнее читать текст.

Почему нужно обеспечить безопасность сайта

Как минимум такие причины:

• Потеря трафика и денег
  Если сайт взломали, владельцы теряют клиентов, трафик и следовательно доход с сайта.

• Санкции от поисковых систем
  Поисковики оберегают пользователей и их данные, у взломанного сайта будем пометка в выдаче, при переходе пользователь увидит страницу с предупреждением, что сайт небезопасен. Из-за этого сайт потеряет большую долю трафика.

• Время на восстановление
  Вместо того, чтобы разрабатывать новые фичи и улучшать сайт, придется потратить время и ресурсы на поиск вектора атаки, анализ логов, восстановление из бэкапов.

• Ответственность перед пользователями
  Пользователи — главная ценность сайта, потеря их данных и паролей подрывает их доверие. Контроль действует на законодательном уровне: в РФ есть Закон о персональный данных, в Европе GDPR.

Что угрожает безопасности сайта — классы угроз и способы решения

Проблемы безопасности можно разделить на классы в зависимости от причины уязвимости:

Личная безопасность

Безопасность данных, которые могут скомпрометировать администратора сайта. К таким данным можно отнести пароли, сетевую активность и файлы на дисках.

1. Компрометация паролей

Обычно злоумышленники, которые уводят пароль от админки, добавляют на сайт ссылки на платные ресурсы, размещают на нем контент 18+ или по-другому топят ваш проект.

С помощью чего уводят пароли:

Трояны

Вирусные программы, появляющиеся на вашем компьютере под видом легитимного программного обеспечения.

Фишинг

Использование подставных страниц для заполнения данных.К примеру, злоумышленники под видом хостера присылают ссылку на страницу, похожую на админку хостинга или вашего же сайта, веб-мастер вводит пароль, и тот уходит злоумышленнику.

Брутфорс

Так называют перебор символов для подбора пароля. Элементарный пароль типа 1234 или 11111 подобрать будет довольно быстро. Также софт может быть уязвимым к подбору паролей. Например, если у админки нет какого-либо rate limiting — ограничения на количество запросов в единицу времени. Если она без ограничений позволяет очень быстро вводить пароли, злоумышленнику будет легко их перебирать.

Одинаковые пароли для разных сервисов

Представим, что пользователь придумал длинный надежный пароль со спецсимволами и заглавными буквами, но использует его на десятке сайтов. Администраторы одного из сайтов, куда он вводил пароль, решают сделать выгрузку из базы данных, а по какой-то причине все пароли хранятся в открытом виде. Недобросовестные сотрудники могут сливать данные или их могут украсть хакеры. Если будет слив данных и пароль с email попадут в даркнет, злоумышленники могут взять email и пароль из базы и попробовать его на разных популярных сайтах: в онлайн-банках, интернет-магазина, админках хостинг-провайдеров и других.

Проверить сайт на вирусы можно через сервис Анализ сайта, также он проанализирует сайт на санкции, оценит его техническую сторону и оптимизацию:

Проверка сайта

2. Перехват сетевого трафика

Ваш трафик можно перехватить, а вместе с ним и пароли. В каких случаях это может произойти:

При использовании публичного Wi-Fi

Допустим, веб-мастер пришел в кафе и подключился к бесплатному Wi-Fi с открытой сетью. Кто-то с обычным ноутбуком сидит за соседним столиком и может перехватить его трафик с помощью специальных программ. Веб-мастер заходит на свой сайт, где не используется HTTPS, то есть трафик не шифруется, вводит пароль — он оказывается у злоумышленника. Если трафик не шифруется, даже не обязательно вводить пароль, злоумышленник может утащить авторизационные cookie.

В корпоративной сети

Такое может произойти и в корпоративной сети, поскольку многие администраторы и владельцы бизнеса используют специальное ПО для мониторинга действий своих сотрудников. Кто-то с доступом к вашим данным может захотеть ими воспользоваться.

При использовании бесплатных прокси

Бесплатный сыр бывает только в мышеловке. Раньше было популярно размещать бесплатные прокси для перехвата трафика. Владелец может невозбранно перехватывать трафик, поскольку весь он идет через прокси.

Через Wi-Fi в гостях

Перехватить ваши данные могут люди, к чьей сети вы подключаетесь. Если вы подключились к Wi-Fi дома у приятеля, которому интересно почитать ваши переписки или выложить что-то шуточное в вашем блоге, он может настроить перехват трафика на роутере.

Также если вы вводите свои пароли на чужом компьютере, есть риск, что владелец компьютера сохраняет лог всех нажатых клавиш на клавиатуре с помощью специального ПО — кейлоггера.

Как проверить, была ли утечка пароля

Сайт haveibeenpwned.com сканирует публичные сливы приватных данных. Если вы введете пароль или email, он проверит их участие в сливах и покажет, когда они были, с каких сайтов и какие данные попали к злоумышленникам.

Сервис нашел проблемы
Почта участвовала в двух утечках

После проверки пароля его лучше поменять на новый в любом случае.

Что делать: решения для личной безопасности

Как обезопасить пароли:

• Для каждого сервиса придумывайте свой уникальный пароль.

• Для хранения учеток используйте менеджер паролей: 1Password, LastPass, Enpass, Dashlane или другой, есть бесплатные. Нужно будет запомнить один главный пароль для менеджера, а остальные можно сохранить в нем.

• Не вводите пароли на чужих устройствах.

• Используйте двухфакторную аутентификацию с подтверждением по sms, а лучше по специальному коду. К примеру, одноразовые пароли поддерживают Google Authenticator, Яндекс.Ключ или даже 1Password.

• Поставьте пароль на SIM-карту на случай, если у вас ее украдут и будут использовать для двухфакторной аутентификации.

• В админке сайта установите задержку для следующих попыток после ввода неправильного пароля, чтобы хакеру было сложнее их перебирать.

Как обеспечить сетевую безопасность:

• Переведите свои сайты на HTTPS.

• Если используете VPN, оценивайте, насколько доверяете провайдеру.

• Не используйте публичный Wi-Fi.

• Не используйте бесплатные прокси.

Уязвимости в вашем коде

RCE — удаленное выполнение кода

Это удаленное выполнение кода на взламываемом компьютере или сервере, злоумышленники могут получить доступ ко всем данным и учеткам.

Чаще всего это происходит через загрузку исполняемых файлов. Утрированный простой пример: злоумышленник берет php-файл, переименовывает его в shell.jpg.php и загружает в виде картинки на старую версию CMS WordPress в комментарии, галерею — в какое-то место, куда можно загружать файлы. Есть вероятность, что он загрузится и поместится в папку на сервере. После обращения к нему код из файла начнет исполняться и злоумышленник сможет запускать команды. Это немного устаревший способ, сейчас в чистом виде такое практикуют редко, но с сайтами на старых версиях WP может сработать.

SQL Injection — внедрение SQL-кода

Способ основан на внедрении в запрос какого-то SQL-кода, с его помощью можно получить доступ к базе данных, прочитать содержимое таблиц, изменить, удалить или добавить данные, выполнить команды, добавить еще одну учетную запись.

Как это часто происходит: вы берете какой-то параметр от пользователя — например, юзернейм, вставляете его в SQL-запрос и, если вы не фильтруете специальные символы, злоумышленник может отредактировать юзернейм так, чтобы он содержал часть запроса. После того, как он выполнится на сервере, данные из базы данных появятся у него на странице сайта.

XSS — межсайтовый скриптинг

XSS или Cross-Site Scripting работает так: злоумышленник ищет уязвимости на сайте и благодаря им вставляет на сайт код JavaScript. В браузере пользователя этот код отображается как часть сайта. Вам как админу ресурса может прийти письмо с какой-то ссылкой, при переходе на нее запустится скрипт. Вы авторизуетесь на сайте как админ, а в это время авторизационные куки улетают злоумышленнику. Либо переходить по ссылкам даже не нужно, достаточно зайти на страницу и код активируется.

CSRF — межсайтовая подделка запроса

Атака CSRF использует недостатки протокола HTTP. Пользователь заходит на созданный злоумышленником сайт и выполняет действие — к примеру, решает капчу, где нужно передвинуть один объект в другой. В это время от лица пользователя JavaScript отправляет запрос на другой сервер и выполняет действие на другом сайте. Например, переводит деньги или меняет пароль.

Что делать: решения для уязвимостей в коде

Решение только одно — найти хорошего разработчика.

Без навыков программирования будет очень сложно найти такие уязвимости на своем ресурсе. Но есть и хорошая новость: у злоумышленников нет доступов к исходникам, так что находить уязвимости им будет еще сложнее. Если вы не владеете популярным сайтом, скорее всего ваш ресурс не очень интересен для взлома.

DoS и DDoS — атака на вычислительную систему

DoS (Denial of Service) — в первую очередь это ошибка программиста, связанная с плохой архитектурой. Злоумышленник создает такие условия, при которых пользователи не могут получить доступ к сайту.

DoS работает так: на сайте есть страницы, где запросы на ваш сайт идут очень медленно. Злоумышленник находит такие медленные страницы, к примеру, со сложная фильтрацией, поиском, пагинацией на тысячную страницу и так далее. Он отправляет туда много параллельных запросов и сайт перестает работать.

DDoS отличается тем, что атака идет не с одного устройства, а сразу с нескольких компьютеров, которые отправляют запросы.

Что делать: решения для DoS и DDoS

• Исправить проблемы в коде, чтобы страницы отвечали быстро. Для этого тоже нужно найти хорошего разработчика.

• Добавить кэширование, но это не сработает для динамических сайтов с быстро обновляемым контентом.

• Подключить Reverse Proxy / CDN для защиты от DDoS.

Уязвимости в CMS

Когда-то, возможно, существовали благородные пираты, которые взламывали софт и раздавали его нуждающимся. Но не стоит гнаться за выгодой, взломанные версии платных ПО, программ, плагинов, расширений и всего остального могут навредить безопасности сайта. Если у вас нет бюджета на платное ПО, поставьте бесплатную свежую версию WordPress, но не связывайтесь с варезными сайтами.

С бесплатными CMS, включая WordPress, Drupal, Joomla и другие, тоже могут быть проблемы. Они имеют открытый исходный код, который может смотреть кто угодно. Хакеры тоже его смотрят и могут находить уязвимости. Дальше они ищут сайты на нужных им версиях WordPress, пишут скрипт и одной волной взламывают все эти сайты. И, например, размещают на них контент для взрослых или платные ссылки.

Что делать: решения уязвимостей CMS

• Если нет денег на платный софт, используйте бесплатный, но легальный.

• Не допускайте, чтобы версия движка устаревала, регулярно обновляйте.

• Не используйте взломанные и неизвестные плагины для CMS.

• Мониторьте уязвимости.

Для мониторинга можно использовать сервисы, для WordPress есть сканер с базой данных уязвимостей WPScan. Работает бесплатно с ограничением на количество проверок в сутки.

Количество уязвимостей конкретного сайта на WP

Уязвимости в системном софте и библиотеках

Уязвимости софта сложнее эксплуатировать, но они опаснее.

Многие забывают обновлять системное программное обеспечение: Apache, php и так далее. Актуальные версии php на сегодняшний день начинаются с 7.4 — это значит, что более старые версии от 7.2 и ниже не поддерживаются. Они сильнее уязвимы и скорее всего имеют незакрытые дыры в безопасности.

Бывает, что пользователи не обновляют php из-за старых плагинов и расширений, которые поддерживаются только на какой-то устаревшей версии. Такие плагины почти на 100% уязвимы.

Что делать: решения для уязвимостей софта

• Регулярно обновляйте софт на сервере. Иногда этим занимается хостинг-провайдер.

• Если у вас стоит старый софт и обновить его по каким-то причинам невозможно, ограничьте к нему доступ — закрывайте порты с помощью Firewall. Почему это важно: к примеру, если в Базе данных, которую вы используете, будет какая-то уязвимость, благодаря Firewall снаружи никто не сможет до нее достучаться.

• Устанавливайте только необходимое. Если можете обойтись без какого-то плагина — удалите его. Чем меньше софта, тем статистически менее вероятна уязвимость.

• Разносите разные сайты на разные сервера — если вас взломают и вы что-то потеряете, то хотя бы не все сразу.

Уязвимости открытых систем управления

Открытые системы управления позволяют просматривать данные пользователей и другую информацию из баз данных сайта. К примеру, phpMyAdmin с открытым исходным кодом для администрирования СУБД MySQL. Если пароль от вашей базы данных будет слит, хакеру не придется ничего придумывать, он просто зайдет в админку и сделает все, что ему нужно.

Что делать: как закрыть уязвимости систем управления

• Если нужен доступ к каким-то специфическим сервисам, установите VPN. Сначала подключайтесь к VPN, а потом получайте доступ к ресурсам, в том числе Базе данных.

• Лучшее решение — удалить и не пользоваться открытыми системами управления.

Итоги

Злоумышленники ищут уязвимости и новые способы взлома, так что если вы не следите за безопасностью сайта и вас еще не взломали, скорее всего вы пока просто не нужны хакерам. Взламывают даже крупные корпорации, а они обычно инвестируют в безопасность и ищут уязвимости с помощью Bug Bounty — нанятых хакеров, которые специально пытаются их взломать.

Что нужно делать: следить за уязвимостью своих сайтов и избегать веерных атак хакеров. И если сайт развивается и становится популярнее, нужно думать о вложениях в его безопасность.

Источник

ВКонтакте для бизнеса анонсировали изменения настроек выбора площадок в рекламном кабинете. Теперь система будет автоматически предлагать разместить объявление на всех площадках. По желанию можно выбрать один из трех вариантов: «Все площадки», «Только ВКонтакте» и «Только соцсети». Подробнее о местах размещения можно почитать в Справке.

Разработчики рекомендуют все же оставить автонастройку — для максимальной эффективности. Важная деталь: объявления в сообществах теперь будут показываться по умолчанию. Таким образом, ваши объявления появятся не только в ленте, но и в пабликах. Это нововведение уже вызвало волну негодования среди оптимизаторов в комментариях.

А как вы считаете, пойдет ли это нововведение на пользу маркетологам? Делитесь своим мнением в комментариях.

Источник

Пользователи редко покупают при первом контакте с сайтом. И даже если это произошло, такой «быстрой» покупке предшествовали другие этапы — формирование потребности, поиск и выбор товара, принятие решения и только потом покупка.

Понимание этапов, которые проходит пользователь на пути к покупке, играет важную роль при работе над сайтом — проектировании, улучшении юзабилити и повышении конверсии.

Customer Journey Map — инструмент, который позволяет наглядно представить путь пользователя и проанализировать все нюансы: потребности, цели, боли, каналы и точки контакта с компанией, сложности и препятствия на пути к конверсии. Коллеги из PromoPult рассказывают, как применить CJM в своем бизнесе.

Customer Journey Map — что это такое и зачем нужно

Понятие Customer Journey Map (CJM) обозначает карту пути клиента — последовательность действий при взаимодействии с вашим сайтом: от самого первого контакта до продажи и повторных покупок.

Карта пути клиента похожа по своей сути на воронку продаж, но есть отличия:

• классическая воронка продаж визуализирует только этапы от формирования потребности до покупки — осведомленность, интерес, решение, действие;

• CJM же более подробная — описывает все взаимодействия клиента, учитывает сомнения, ожидания и цели клиента на каждом из этапов.

В чем польза CJM

Детальная карта пути пользователей важна для маркетологов, руководителей и собственников бизнеса — тех, кто принимает решение при проектировании и разработке сайта, развитии каналов коммуникации и планировании рекламных активностей.

CJM отвечает на ряд важных вопросов, которые позволяют понять, каким должен быть сайт, какую коммуникацию использовать в рекламе, какой сервис и дополнительные возможности нужны пользователям для успешного клиентского опыта.

В частности, проработанная CJM дает понимание:

• как пользователи попадают на сайт;

• как взаимодействуют с сайтом — что просматривают, сколько времени проводят на определенных страницах и на сайте в целом, какой функциональностью пользуются;

• сколько времени занимает переход с одного этапа воронки на следующий, какой цикл покупки от первого контакта до оформления заказ;

• какие проблемы возникают у пользователей на разных этапах взаимодействия с сайтом — недостаточно информации о товаре, способах оплаты и доставки, неработающие формы обратной связи, сложная форма оформления заказа;

• какие целевые действия выполняют пользователи на каждом этапе взаимодействия — просмотр видеоролика о товаре, сохранение товара в избранное, добавление в корзину, подписка на рассылку, оформление заказа;

• как устранить сложности, отвлекающие клиента от покупки и улучшить взаимодействие с сайтом — например, упростить форму оформления заказа и убрать лишние поля; добавить блок рекомендуемых товаров, чтобы дольше удержать пользователя на сайте.

Какая информация нужна для создания Customer Journey Map

Данные о пользователях

Для качественного построения Customer Journey Map нужно изучить все особенности целевой аудитории.

Что пригодится:

• пол и возраст;

• местоположение;

• уровень доходов;

• интересы;

• устройства и операционные системы пользователей.

Источником данных может служить CRM или системы аналитики. К примеру, данные по полу, местоположению, устройству и ОС можно посмотреть в отчете «Посетители» в Яндекс.Метрике:

Отчет «Посетители» в Яндекс.Метрике

Также в отчете можно посмотреть данные об активности пользователей на сайте:

• дату первого и последнего визитов;

• общее время, проведенное на сайте;

• гистограмму активности пользователя;

• количество достигнутых целей.

С помощью отчета «Аудитории» можно проанализировать источники трафика и посмотреть количество достигнутых целей и полученный доход по каждому из них:

Отчет «Аудитории» в Яндекс.Метрике

Боли и потребности ЦА

Потребности потенциальных клиентов напрямую влияют на путь клиента, поэтому их необходимо собрать и проанализировать. Лучший способ это сделать — собрать обратную связь от потенциальных и действующих клиентов:

• проведите опрос в рассылке и аккаунтах соцсетей;

• прозвоните постоянных клиентов и попросите поделиться впечатлением о покупке, а также обратной связью о том, что можно улучшить на сайте или в обслуживании;

• проанализируйте отчеты менеджеров по продажам, которые ежедневно общаются с клиентами. Узнайте, какую обратную связь они получают от клиентов;

• изучите отзывы о вашей компании. Если у вас еще нет отзывов, изучите отзывы о конкурентах. В Яндекс.Браузере вы можете просто зайти на сайт конкурента и посмотреть доступные отзывы, открыв всплывающее окно в адресной строке:

Как посмотреть отзывы о сайте

Потребности целевой аудитории можно выявить и при анализе поисковых запросов в вашей тематике, особенно — информационных. Это запросы вида «какую столешницу на кухню выбрать» или «в чем отличие дорогого увлажнителя воздуха от дешевого». Быстро и бесплатно собрать такие запросы можно при заведении SEO-проекта в системе PromoPult. В несколько кликов даже небольшой список опорных ключевых фраз можно расширить средне- и низкочастотными запросами. Для дополнения семантики есть парсеры поисковых подсказок и фраз-ассоциаций.

Данные из систем аналитики: источники трафика, достижение целей, поведение на сайте

К примеру, в Google Аналитике есть отчет «Визуализация последовательностей». Он представлен в виде воронки продаж и показывает, какие каналы использовались клиентами на каждом этапе и какие действия предшествовали конверсии.

Воронка в Google Analytics

В Яндекс.Метрике можно узнать, сколько времени проходит между первым посещением сайта и повторным заходом в отчете «Время с первого визита»:

Отчет «Время с первого визита» в Яндекс.Метрике

Как составлять карту пути пользователя

Перед составлением карты важно собрать как можно больше данных:

• база текущих клиентов;

• данные из систем аналитики — о поведении пользователей на сайте;

• все каналы и точки пересечения клиентов с вашей компанией.

Затем действуйте по следующему плану:

1. Сегментируйте аудиторию. На этом этапе важно разделить аудиторию не по социально-демографическим признакам, а по поведению (при взаимодействии с вашим сайтом).

Сегментацию аудитории можно провести по таким признакам:

• Потребности — проявляют интерес к бытовой технике, холодильникам и т. д.

• Стадии принятия решения — думают о покупке вашего продукта, впервые знакомятся с продуктом, изучают детальную информацию о продукте, сравнивают цены, намереваются совершить покупку.

• Критерии выбора — цена, технические характеристики, внешний вид, наличие гарантии и сервиса.

Рассмотрим пример. На сайт приходят люди из двух источников трафика:

• Поисковая реклама — приходит «холодный» трафик, который впервые взаимодействует с сайтом. Эти пользователи изучают ассортимент, цены. В течение пары недель заходят на сайт еще несколько раз и через месяц делают покупку.

• Соцсети компании — отсюда приходят «теплые» клиенты (которые долго следят за брендом и в курсе особенностей товара, а также текущих акционных предложений). Покупку совершают в течение 1-2 дней.

Здесь мы можем обозначить два сегмента:

• Аудитория соцсетей — «теплая», готова к покупке.

• Аудитория из поиска — находится на стадии рассмотрения, путь к покупке более долгий.

2. Для каждого сегмента постройте путь — последовательность действий от контакта с вашим сайтом и до покупки.

Обратите внимание! Путь клиента не заканчивается на этапе конверсии. После этого этапа начинается этап «Удержания» — когда клиент делает повторные покупки, рекомендует компанию (или продукт) знакомым, становится «адвокатом бренда». Этот этап важно учитывать в CJM, чтобы заранее проработать механизмы удержания клиентов.

Последовательность составления CJM:

• Начните с крайних точек: первая — первый контакт с вашим сайтом, последняя — момент покупки.

• Пропишите последовательность действий пользователей между первым контактом и последним. Это могут быть: повторные посещения сайта, оформление регистрации, обращение в чат, просмотр контактных данных и страницы с условиями оплаты, добавление товара в корзину и т.д.

• Определите инструменты и каналы: как пользователь нашел сайт и перешел на него, какие инструменты на сайте использовал (например, обращался в онлайн-чат поддержки или звонил по контактному номеру).

• Пропишите барьеры покупателя — все, что мешает пользователю перейти к покупке: недоступность свободных менеджеров при звонке по телефону, сложности в регистрации, непонятная форма оформления заказа и т.д.

Пример готовой карты пути клиента:

Пример готовой CJM

Сервисы для создания Customer Journey Map

Карту пути клиента можно составить с помощью специальных сервисов, которые предоставляют готовые шаблоны. Это упрощает составление и помогает не упустить важные этапы контакта клиента с компанией.

Большинство таких сервисов платные, например Gliffy (от $4,99/месяц). Но в некоторых есть бесплатный функционал, которого обычно хватает для составления 1-2 карт. Среди таких сервисов:

• UXPRESSIA. Бесплатно можно создать одну карту, если нужно больше — стоимость подписки на сервис начинается от $24/месяц.

• Miro. 3 проекта бесплатно, дальше — от $8/месяц.

Рассмотрим, как составлять CJM в сервисе Uxpressia.

Интерфейс сервиса Uxpressia

При создании нового проекта необходимо выбрать шаблон карты из доступных вариантов:

• Общая карта пути клиента. Стандартный шаблон, подходит для большинства услуг. Содержит набор этапов, от осознания до ухода.

• Карта пути пользователя мобильного приложения. Подробная визуализация всех этапов взаимодействия пользователя с приложением — от формирования интереса и установки приложения, до удаления. В шаблоне предусмотрено описание действий и целей пользователей, пользовательский опыт на каждом этапе взаимодействия, возможные проблемы и пути их решения.

• Карта пути сотрудника. Шаблон подойдет для HR-специалистов и руководителей. Позволяет построить весь путь сотрудника от поиска работы до увольнения. Шаблон помогает учесть и структурировать цели и ожидания сотрудников, процессы и каналы, возникающие проблемы на разных этапах и идеи их решения.

• Путь клиента в e-commerce. Предназначен для построения CJM под интернет-магазины и другие e-commerce проекты. Позволяет построить полный путь клиентов от первого контакта до постпродажного обслуживания и повторных покупок.

Также в сервисе есть шаблоны для конкретных ниш и направлений — например, CJM для e-commerce в сфере потребительских товаров.

Шаблоны CJM

Нам подходит шаблон «Путь клиента в e-commerce». Выбираем его и переходим к созданию карты.

Карта пути клиента представлена в виде таблицы. Столбцы — этапы, которые проходит пользователь при взаимодействии с компанией:

• взаимодействие с рекламой (переход по объявлению);

• осведомленность о продукте;

• желание;

• исследование (сравнение похожих вариантов по цене и другим параметрам);

• покупка;

• доставка;

• использование товара;

• сервисное обслуживание;

• повторная покупка.

Горизонтальные поля (строки) предназначены для подробного описания каждого этапа:

• Цели покупателя. К примеру, на этапе взаимодействия с рекламой цель пользователя — узнать больше информации о товаре и понять, подходит ли он ему.

• Действия. На первом этапе — клик по объявлению и просмотр целевой страницы. На этапе покупки — добавление товара в корзину и оформление заказа.

• Процесс и каналы. На первом этапе клиент может видеть рекламу в Google. На этапе «Желание» — взаимодействовать с ретаргетингом в Инстаграм или Фейсбук.

• Ожидания покупателей — каких действий или возможностей ожидают пользователи на каждом этапе. Например, при клике на рекламу пользователь ожидает, что загрузится страница с товаром или каталогом. А на этапе покупки — увидеть, что в корзине поддерживаются удобные для пользователя способы оплаты и доставки

• Точки контакта — места, в которых пользователь соприкасается с компанией: сайт, социальные сети, телефон, поисковая реклама, органическая выдача Яндекса и Google и т. д.

• Сложности и преграды. Здесь важно учесть все, что может помешать пользователю перейти на следующий этап воронки: возражения, страхи, недостаток информации на сайте, ошибки в работе функционала сайта и т. д.

• Идеи — варианты действий, которые помогут устранить сложности и сделать путь клиента более удобным.

В итоге получаем визуализацию пути пользователя:

Готовая карта пути пользователя

Такую карту можно собрать хоть в Google Таблицах, но шаблоны удобнее — так как уже содержат базовую структуру CJM и помогут не упустить ключевые этапы и детали.

Главное, что нужно знать о CJM

• Customer Journey Map визуализирует процесс взаимодействия потенциальных клиентов с компанией в деталях: от первого контакта с рекламой до повторных покупок.

• Карта полезна не только для понимания воронки продаж, но и для анализа особенностей поведения пользователей на каждом из этапов: какие ожидания есть у пользователя, что движет им, что влияет на принятие решения, что может препятствовать покупке.

• Для качественного построения карты пути пользователя нужно собрать как можно больше данных: об аудитории и ее взаимодействии с сайтом (из систем аналитики), обратную связь от постоянных клиентов, отзывы о товаре, информационные поисковые запросы и т. д. Такая информация позволяет более ясно понять путь клиента и учесть все нюансы.

• CJM можно создать с помощью специальных сервисов — это быстрее, проще, а готовые шаблоны помогают не упустить важные детали.

Автор: Мария Трушкова, PromoPult

Источник

Для блога PR-CY мы уже конспектировали лекцию Вадима Макишвили «42» о личной эффективности. Недавно у него вышла лекция «55» о том, как управлять подчиненными и зачем создавать доверительные отношения в коллективе. В ней Вадим собрал представления из десятилетнего опыта работы руководителем и знания из нейрофизиологии и эволюционной психологии.

Вадим Макишвили

Врач-патологоанатом в прошлом, веб-разработчик с 1996 года. Автор книги «Большая книга манипуляций. Изучаем секреты управления сознанием», автор нашумевших докладов «36» и «42». 

Лекция подойдет специалистам любого уровня. Если вам удобнее читать текст, ниже предлагаем статью на основе конспекта.

В статье:

1. Никто не готов быть руководителем
2. Два типа руководителя: про проекты и про людей
3. Как сделать, чтобы сотруднику хотелось с вами работать
   1. Перестать мотивировать сотрудников
   2. Не ругать, а искать причины и помогать
   3. Понять, что вам не должны
   4. Изучить, как стресс действует на организм
   5. Дать время разобраться с новым
   6. Заслуженно хвалить
4. Простая идея — как лучше руководить

Никто не готов быть руководителем

У Вадима десятилетний опыт управления подчиненными. И за эти 10 лет он понял:

Никто не готов быть руководителем, когда приходит время.

Начальниками часто становятся случайно: команда разрослась и требуется разделить ее на две части, пришел срочный проект и нужно назначить ответственного. Тогда самого опытного или эффективного делают руководителем.

Если опыта управления не было, у новоиспеченного начальника скорее всего возникнут вопросы: «А что делать-то? Как руководить? Может быть, надо регулярно ругать подчиненных, чтобы они были в тонусе? Или, наоборот, чаще хвалить?»

Наступает растерянность: дали людей и руководи как знаешь. А ты никак не знаешь, потому что никогда не пробовал.

Тогда новый руководитель смотрит на очевидный пример перед глазами — своего начальника — и перенимает его модель управления. Ирония в том, что стиль руководства он повторит, даже если начальник ему не нравился, даже если с ним было плохо. И уже очень скоро также плохо будет и его подчиненным. Со временем ничего не изменится: с каждым годом управленец будет костенеть в своем стиле руководства.

Два типа руководителя: про проекты и про людей

На самом деле руководить несложно — это одновременно ремесло и искусство.

Управление в программировании, SEO, разработке, дизайне и других интеллектуальных сферах можно разделить на две сферы работы:

• руководить проектами;

• руководить людьми.

Руководить проектами — чистое ремесло. За год или два в этой должности можно освоить все навыки, даже если не слушать профильные семинары, не читать книг и не ходить на управленческие курсы. Это ремесленные навыки: принимать техническое задание, узнавать недостающие продуктовые требования, разбивать проект на подзадачи, распределять их между людьми, делегировать, собирать результаты.

Есть много руководителей-ремесленников, которые детально разбираются в своих проектах и технологиях. Это «руководители про проекты». Но в людях они разбираются не очень.

Руководить людьми — искусство, талант или дар. Когда в руководителе это есть, ему важно знать не только как продвигается проект, но и что чувствуют люди, которые с ним работают, к чему они стремятся, что их беспокоит. Таких руководителей меньше, это «руководители про людей».

Разница между «руководителями про проекты» и «руководителями про людей» в том, что чувствуют их сотрудники. Есть хорошая аналогия для стилей руководства.

Два типа отца: про работу и про семью

У каждого из нас есть отец, мы рядом с ним росли. Или отца не было, так случается, но мы видели отцов наших друзей во дворе. Отцов много, все разные, но особенно ярко выделяются два типажа, по аналогии с руководителями, можно дать им названия «отец про работу» и «отец про семью».

«Отец про работу» — уходит рано утром, сильно устает на работе, приходит поздно. Единственное его желание после работы — отдыхать. Детям он задает дежурные вопросы в стиле «Как дела? Двоек нет?» и, получив такие же дежурные ответы, отсылает заниматься своими делами, чтобы не мешать отдыхать.

«Отец про семью» тоже много работает и сильно устает, но приходя домой, он посильно участвует в делах семьи, предлагает помощь, задает вопросы, зная о чем нужно спросить. Ему важно знать, что чувствуют его родные люди.

Важно то, что чувствует ребенок рядом с таким отцом.

Если ребенок придет к «отцу про работу» с просьбой помочь разобраться с клеевым пистолетом и сделать поделку в школу, «отец про работу» поступит также, как «руководитель про проект». Он скажет:

«Я не буду решать за тебя твои проблемы! Мне нужно, чтобы ты сам научился с ними справляться. Откуда у тебя столько вопросов, в интернете куча роликов с объяснениями, — и добавит еще, — сынок, запомни: кто хочет, тот ищет возможности, кто не хочет, ищет отговорки».

Кажется, все правильно сказал, как еще учить самостоятельности. Но в этот момент ребенок растерян и не слышит, чему его учит отец. В его глазах папа отворачивается, когда у сына что-то не получается.

Если ребенок придет к «отцу про семью», ситуация будет другой. Даже если отец никогда не держал в руках клеевой пистолет, он сядет разбираться вместе с ребенком. Они перепачкаются клеем, но разберутся и сделают какую-нибудь поделку, пусть даже кривую, но сын понесет ее в школу с гордостью.

В следующий раз, когда у этих детей возникнет похожая задача, первый ребенок по-прежнему не будет уметь ее делать. И самое печальное — он не будет хотеть ее делать. Потом он вырастет и будет тем взрослым, про которого говорят «И почему он такой прокрастинатор?»

Ребенок из второго примера сядет клеить сам — он уже умеет пользоваться клеевым пистолетом, потому что они с папой разобрались в прошлый раз. И он будет знать, что если столкнется с проблемами, папа ему поможет.

Чем больше таких ситуаций происходит в жизни, тем больше различий будет между этими детьми. Второй будет рукастее, увереннее в себе. Это не значит, что первый не сможет вырасти мастеровитым и уверенным, но это будет скорее вопреки отцу. И чего точно не будет, так это доверия.

Причем тут руководители

С руководителем история такая же: сотрудник быстрее разберется в проблеме и быстрее научится, если у него будет наставник. Он будет эффективнее работать, если не стрессует от постоянной критики и страха незаслуженного увольнения. Он быстрее разберется с проблемными задачами, если будет знать, что не нарвется на порцию негатива, если попросит помощи.

С каким отцом из этих двух вы бы хотели прожить? А с каким руководителем вы хотели бы работать? С «руководителем про проекты», который думает про технологии, софт, метрики, деньги, а сотрудник для него — бездушный винтик, которого он не ценит? Или с «руководителем про людей», которому важно знать, что чувствуют сотрудники, комфортно ли им работать и какие у них трудности?

Если у вас твердая позиция, что вы не нанимались думать о чувствах, а пришли пилить проекты, вас нельзя осудить. Такую систему часто практикуют в компаниях. Но чтобы сотруднику хотелось эффективно работать рядом с руководителем, это руководитель должен вкладывать в сотрудника силы, время и чувства.

Как сделать, чтобы сотруднику хотелось с вами работать

Перестать мотивировать сотрудников

Есть много статей о том, как мотивировать подчиненных. В них описывают всевозможные методы кнута, пряника, техники мотивирования, классифицируют мотивации, предлагают теории Врумера, Герцберга, Портера — Лоулера.

Руководителям не стоит думать о мотивах подчиненных. Дело в том, что мотивацию невозможно повысить. Мотив — это образ удовлетворенной потребности. Слабой мотивации не бывает. Есть потребность — будет мотивация, нет потребности — мотивация исчезнет.

При этом потребности не меняются, а мотивы могут меняться. Представим, что вы голодны и думаете, что именно хотите съесть, когда закончите задачу. Допустим, вам очень хочется горячего острого супа харчо. Этот суп и есть тот образ, который мотивирует вас на совершение каких-то действий, чтобы удовлетворить потребность в еде.

Вы были голодны вчера, хотите есть сегодня и будете хотеть завтра, но именно сегодня вы почему-то хотите этот конкретный суп. А завтра в это время вы можете захотеть борщ. И если вас руководитель будет мотивировать супом харчо, когда вы его не хотите, у него мало что получится. Потребность не поменялась, а мотив изменился.

Потребности рождаются в стволе головного мозга, сами собой, словно по расписанию. Они формируются в нервных центрах, на которые мы не влияем. Биологи и зоологи говорят, что у каждого живого существа много потребностей, но есть три базовых: желание жить, продолжать свой род и занимать все лучшее положение в обществе, в котором он живет.

У специалистов может быть потребность в реализации себя в профессии, кому-то очень хочется быть нужным, кто-то использует работу только как источник денег для содержания семьи. Кому-то просто в кайф писать код, это и может быть потребностью. Но иногда специалисты работают хуже.

Не ругать, а искать причины и помогать

Какой-то сотрудник стал работать хуже. Руководителю нужно, чтобы он работал хорошо. У него есть два пути:

• Начать ругать сотрудника, критиковать или даже пугать увольнением. Но проблема, из-за которой он стал хуже работать, не решится, зато у него прибавится стресса, что негативно скажется на работе.

• Узнать, что у него случилось. Если проблема касается работы, помочь с ней разобраться.

Руководителю нужно понять, почему у сотрудника не получается работать в полную силу. Обычно они не рассказывают о своих проблемах, тогда руководитель может делать то же самое, что делает родитель.

Молодой родитель, который сталкивается с паникой в первую ночь после роддома, довольно быстро открывает алгоритм линейного поиска — перебирает все проблемы новорожденного и отметает неподходящие. У взрослых проблем больше, но линейный алгоритм может сработать и с ними.

Допустим, сотрудник начал хуже работать.

1. У него дома проблемы, мысли о которых отвлекают его в рабочее время. Руководитель может проверить эту версию — поспрашивать коллег или аккуратно узнать у него самого. Если ничего нет, есть другие варианты.

2. Испортились отношения в коллективе. Руководитель должен выяснить, какие конфликты возникли среди его подчиненных. Если и здесь все в порядке, остается третья причина.

3. Что-то не так с рабочими задачами — обычно либо трудно, либо скучно. Условия непонятные, кажется, что задача неподъемная, не хватает умений.

Если причины не связаны с работой, проявление участия так или иначе добавит доверия в отношения. А с третьей причиной руководитель может помочь сотруднику, это вполне входит в его компетенции.

Задача кажется непонятной

Это то же самое, как если бы к руководителю попало неполное ТЗ. Он может узнать, что именно непонятно сотруднику, вместе сходить к коллегам, которые знают, что с этим делать, или разобрать проблему на примере. Руководитель может сделать так один раз или несколько, но в итоге сотрудник поймет и сможет решать такие проблемы сам. Не нужно делать за него, нужно делать с ним, тогда он научится.

Задача кажется огромной

Это бывает, когда непонятно за что хвататься в первую очередь. Это похоже на то, что делает руководитель — разделяет ее на подзадачи и расставляет приоритеты.
Он может вместе с сотрудником разбить задачу на составляющие и сделать план работы. Если сделать это вместе несколько раз, дальше сотрудник научится сам.

Проблемы повторяются

Если сотрудник раз за разом испытывает трудности с похожими задачами, это тоже решаемо. Руководитель видит, как справляется каждый сотрудник, и замечает его слабые места.
Он может обратить внимание работника на его слабую область, посоветовать статью, книжку, курсы, выделить день на обучение, обсудить это вместе с ним. Сотрудник увидит, что вы о нем заботитесь, поймет, что он значим в компании. Еще один вариант, который возможен в некоторых случаях — отдать эти задачи тому, кому в удовольствие их решать.

Руководители и так всё это делают, но обычно с младшими сотрудниками, со стажерами или теми, кто только пришел на рабочее место и вливается в коллектив. Но как только сотрудник вырастает в должности или набирает опыт, руководитель от него отходит и перестает помогать. А иногда еще и требует горящих глаз и самоотдачи.

Понять, что вам не должны

Ни один сотрудник ничего не должен руководителю сверх своих задач. Он трудится в компании не за высокую идею, а тратит время и силы в обмен на плату за выполнение работы.

Он не должен руководителю профессионально расти, но он мог бы это делать, чтобы выполнять более сложные задачи и больше зарабатывать.

Он не должен быть более вовлеченным и осознанным, но он мог бы, чтобы глубже разбираться в проекте.

Сотруднику не нужен надсмотрщик, который будет пытаться мотивировать его постановкой целей, премиями, оценками на ревью. Сотрудник сможет профессионально расти и быть более вовлеченным, только если сам этого захочет. А захотеть он сможет, когда ему будет спокойно, уверенно и комфортно на рабочем месте, когда он будет чувствовать, что его уважают и хвалят, когда он этого заслужил.

Изучить, как стресс действует на организм

Каждому руководителю стоит знать о влиянии стресса на организм его сотрудников. Есть руководители, которые работают с людьми по принципу:

«Я только критикую. Все и так знают, в чем они хороши, а в чем плохи — не догадываются, поэтому я буду сообщать только о слабых сторонах, чтобы сотрудник мог над ними работать».

Дело в том, что любая критика, конструктивная или деструктивная, всегда воспринимается как угроза базовых потребностей человека.

К примеру, начальник говорит сотруднику, что тот плохо работает, а он за этими словами видит угрозу потенциального увольнения, потерю уважения и средств к существованию. Он начинает нервничать, после стресса в крови любого человека повышается концентрация глюкокортикоидов, один из них — «гормон стресса» кортизол. Их концентрация сохраняется на половину суток или даже двое суток в зависимости от человека. Если вы каждый день ругаете сотрудника, он каждый день будет с повышенным кортизолом.

Чем это чревато:

• Сотрудник будет заболевать, потому что снижаются иммунные силы организма. Бывает такое, что руководитель начинает проводить с сотрудником беседы на повышенных тонах, а тот уходит на больничный. Руководитель может подумать, что сотрудник так манипулирует, бежит от неприятных разговоров, но по факту он действительно начинает болеть.

• Сотруднику станет тяжелее работать — от стресса уменьшается количество нейронов в зонах, отвечающих за интеллектуальные функции. Он становится менее эффективным, тратит больше сил и времени на выполнение задач.

• Сотрудник может начать полнеть, поскольку от стресса происходит избыточное отложение жира.

Дать время разобраться с новым

Невозможно с ходу стать специалистом в вопросе, с которым столкнулся в первый раз.

Если у того же программиста плохо получается справляться с каким-то родом задач, это не потому что он знает как делать, но ленится, а потому что у него мало физических связей между нейронами, которые должны решать этот тип задач. Нейронные связи образуются с опытом работы над такими задачами. Чем больше работаешь, тем больше получается, тем крепче связи.

Руководитель должен это знать и давать время разобраться с новыми условиями, заработать опыт их решения, а не требовать идеальных результатов сразу.

Заслуженно хвалить

Заслуженная похвала помогает сотруднику чувствовать, что он нужен этой компании, что он справляется и его достоинства справедливо оценивают.

В 1925 году Элизабет Б. Херлок провела эксперимент: детей разделили на четыре группы, всем дали одинаковые задачки и в конце дня считали количество правильных и неправильных ответов. Эксперимент проводили пять дней.

Одна группа выступала контрольной, они просто решали задачи. У трех испытуемых групп были дополнительные условия:

• в первой группе детей хвалили за каждую правильную задачу, причем вызывали каждого и хвалили перед всем классом;

• вторую не хвалили, а только ругали за неправильные ответы, также прилюдно;

• третью не ругали и не хвалили, но они слышали, как хвалят и ругают участников первых двух групп.

Результаты такие:

• третья группа незначительно улучшила свою успеваемость и в таком режиме дошла до конца эксперимента;

• у второй группы успеваемость сильнее улучшилась на второй день, но на третий день резко упала и приблизилась к той, что была у третьей группы;

• а в первой группе ребята с каждым днем стали все лучше решать задачи, график шел по нарастающей и к концу эксперимента разница была существенной.

Скорее всего, если руководитель будет перед всеми ругать одного сотрудника, другие будут работать чуть лучше, но этот сотрудник ухудшит эффективность. А если заслуженно хвалить каждого работника, то результаты улучшатся.

Возникает справедливый вопрос: а за что хвалить того, кто стал хуже работать? Но ведь когда его брали на работу, то знали, за что берут. А в процессе совместной работы точнее узнали, какие качества ему присущи, какие у него достоинства и недостатки.

Хвалить за сильные стороны очень легко, а если давать задачи для его сильных сторон, то он справится с ними гораздо лучше.

Простая идея — как лучше руководить

Действительно сложно подбирать сотрудникам задачи под их сильные стороны, тем более что их нужно сначала правильно определить. Но если честно себе признаться, ведь мы так не делаем не потому что нет такой возможности, а потому что даже не пытаемся это делать?

Это идет против природы. Любой ребенок да и взрослый человек любит делать то, что у него получается. Чем больше он это делает, тем лучше у него выходит, и тем больше он воодушевлен. Получается замкнутый круг с положительной связью. Не этого ли мы хотим от сотрудников?

Руководитель нужен не для того, чтобы пилить проект — с техническими задачами справляются его подчиненные. Он нужен для того, чтобы люди, которые с ним работают, хотели пилить эти проекты. А для этого нужно делать две вещи: регулярно помогать им справляться с трудностями и заслуженно хвалить за успехи.

С чем вы можете согласиться, а с чем хотели бы поспорить? Ждем комментарии с вашими впечатлениями о материале, примеры из опыта и все, чем вам хочется поделиться после прочтения или просмотра!

Понравился материал? Советуем ознакомиться с конспектом лекции о личной эффективности «42» Вадима Макишвили и со статьей о том, как организовать работу на удаленке для руководителей и сотрудников.

Кстати, у вас есть идеи, почему лекция называется «55»?

Источник