7 Bästa metoder för HTML-säkerhet för statiska webbplatssårbarheter

Spread the love

Statiska webbplatser lagrar redan renderat innehåll, vilket är anledningen till att de inte behöver komma åt någon databas, köra komplexa skript eller vara beroende av en runtime-motor närhelst en användare begär en sida.

Det innebär tydliga fördelar i laddningstider och säkerhet: statiska sidor sparar mycket servertid och har färre sårbarheter. Det betyder i sin tur att sökmotorer rankar statiska sidor bättre än deras dynamiska motsvarigheter.

SEO-experter vänder sig till statiskt innehåll när de kan, för att bättre konkurrera i en värld där en bråkdel av en sekund kan göra skillnaden mellan total framgång och totalt misslyckande. Implementering av statiskt innehåll har blivit ett modeord mellan marknadsföringsstrateger och IT-personal älskar att de har en mindre sårbar plats att hålla ett öga på.

Men se upp – de är inte 100 % hacksäkra, så om du planerar att distribuera statiskt innehåll på din webbplats finns det några bästa praxis du bör följa för att hålla den säker.

Innehållsförteckning

Säkerhetsrubriker är en delmängd av HTTP-svarsrubriker – ett paket med metadata, felkoder, cacheregler etc. som webbservern lägger till i innehållet den betjänar – utformade för att tala om för webbläsaren vad den ska göra och hur den ska hantera innehållet den tar emot. Alla webbläsare stöder inte alla säkerhetsrubriker, men det finns en liten uppsättning som är ganska vanlig och tillhandahåller grundläggande säkerhetsåtgärder för att stoppa hackare från att utnyttja sårbarheter.

X-Frame-alternativ: SAMEORIGIN

Rubriken X-Frame-Options är avsedd att inaktivera eller minska risker som utsätts av iframes på din webbplats. Iframes kan användas av hackare för att fånga legitima klick och dirigera besökare till vilken webbadress de vill. Det finns olika sätt att förhindra missbruk av iframes.

Den bästa praxis som rekommenderas av OWASP (Open Web Application Security Project) föreslår att du använder den här rubriken med parametern SAMEORIGIN, som endast tillåter användning av iframes av någon med samma ursprung. Andra alternativ är DENY, för att inaktivera iframes helt, och ALLOW-FROM, för att endast tillåta specifika webbadresser att lägga sidor på iframes.

Kolla in implementeringsguiden för Apache och Nginx.

X-XSS-skydd: 1; mode=block

X-XSS-Protection header är utformad för att skydda webbplatser från cross-site scripting. Den här rubrikfunktionen kan implementeras på två sätt:

  • X-XSS-skydd: 1
  • X-XSS-skydd: 1; mode=block

Den första är mer tillåtande, filtrerar skript från begäran till webbservern men renderar sidan ändå. Det andra sättet är säkrare eftersom det blockerar hela sidan när ett X-XSS-skript upptäcks i begäran. Detta andra alternativ är OWASP-rekommenderad bästa praxis.

X-Content-Type-Options: nosniff

Den här rubriken förhindrar användningen av MIME ”sniffing” – en funktion som gör att webbläsaren kan skanna innehållet och svara annorlunda än vad rubriken anger. När denna rubrik finns måste webbläsaren ställa in innehållstypen enligt instruktionerna, istället för att sluta sig till det genom att ”sniffa” innehållet i förväg.

Om du använder den här rubriken bör du dubbelkolla att dina innehållstyper tillämpas korrekt på varje sida på din statiska webbplats.

Content-Type: text/html; charset=utf-8

Den här raden läggs till i förfrågnings- och svarsrubriker för HTML-sidor sedan version 1.0 av HTTP-protokollet. Den fastställer att alla taggar renderas i webbläsaren och visar resultatet på webbsidan.

Använd TLS-certifikat

Ett SSL/TLS-certifikat är ett måste för alla webbplatser eftersom det tillåter webbservern att kryptera data den skickar till webbläsaren genom det säkra HTTPS-protokollet. På så sätt, om uppgifterna fångas upp under sin resa, kommer de att vara oläsliga, vilket är viktigt för att skydda användarnas integritet och för att säkra webbplatsen. En statisk webbplats lagrar inte sina besökares personliga information, men det är viktigt att informationen de begär inte kan ses av oönskade tittare.

Användningen av kryptering av en webbplats är nödvändig för att markeras som en säker webbplats av de flesta webbläsare och är obligatoriskt för webbplatser som strävar efter att följa EU:s allmänna dataskyddsförordning (GDPR). Lagen anger inte specifikt att ett SSL-certifikat ska användas, men det är det enklaste sättet att uppfylla integritetskraven i förordningen.

När det gäller säkerhet tillåter SSL-certifikatet myndigheter att verifiera äganderätten till en webbplats och förhindra hackare från att skapa falska versioner av den. Användningen av ett SSL-certifikat gör att webbplatsbesökaren kan kontrollera utgivarens äkthet och känna sig säker på att ingen kan spionera på hans eller hennes aktiviteter på webbplatsen.

Den goda nyheten är att certifikatet inte kostar mycket. Faktum är att du kan få det GRATIS från NollSSL eller köp en premium från SSL butik.

Distribuera DDoS-skydd

Distributed Denial of Service (DDoS)-attacker blir allt vanligare nuförtiden. I denna typ av attack används en uppsättning distribuerade enheter för att överväldiga en server med en flod av förfrågningar, tills den blir mättad och helt enkelt vägrar att fungera. Det spelar ingen roll om din webbplats har statiskt innehåll – dess webbserver kan lätt bli ett offer för en DDoS-attack om du inte vidtar nödvändiga åtgärder.

Det enklaste sättet att implementera DDoS-skydd på din webbplats är att låta en leverantör av säkerhetstjänster ta hand om alla cyberhot. Denna tjänst kommer att tillhandahålla intrångsdetektering, antivirala tjänster, sårbarhetsskanning och mer, så att du praktiskt taget inte behöver oroa dig för några hot.

En sådan heltäckande lösning kan vara dyr, men det finns också mer fokuserade lösningar med lägre kostnader, som DDoS Protection as a Service (DPaaS). Du bör fråga din webbhotell om den erbjuder en sådan tjänst.

Mer prisvärda lösningar är molnbaserade DDoS-skyddstjänster, som de som erbjuds av Akamai, Sucuri, eller Cloudflare. Dessa tjänster tillhandahåller tidig upptäckt och analys av DDoS-attacker, och filtrering och avledning av dessa attacker – det vill säga omdirigera den skadliga trafiken bort från din webbplats.

När du överväger en anti-DDoS-lösning bör du vara uppmärksam på dess nätverkskapacitet: denna parameter indikerar hur mycket attackintensitet skyddet kan motstå.

Undvik sårbara JavaScript-bibliotek

Även om din webbplats har statiskt innehåll kan den använda JavaScript-bibliotek som innebär säkerhetsrisker. Det anses allmänt att 20 % av dessa bibliotek gör en webbplats mer sårbar. Lyckligtvis kan du använda tjänsten som tillhandahålls av Sårbarhet DB för att kontrollera om ett visst bibliotek är säkert eller inte. I dess databas kan du hitta detaljerad information och vägledning för många kända sårbarheter.

Förutom att kontrollera ett visst bibliotek för sårbarheter, kan du följa den här listan med bästa praxis för JavaScript-bibliotek som kommer att åtgärda dess potentiella risker:

  • Använd inte externa biblioteksservrar. Lagra istället biblioteken på samma server som är värd för din webbplats. Om du måste använda externa bibliotek, undvik att använda bibliotek från svartlistade servrar och kontrollera säkerheten för externa servrar med jämna mellanrum.
  • Använd versionshantering för JavaScript-bibliotek och se till att du använder den senaste versionen av varje bibliotek. Om versionshantering inte är ett alternativ bör du åtminstone använda versioner som är fria från kända sårbarheter. Du kan använda retire.js för att upptäcka användningen av sårbara versioner.
  • Kontrollera regelbundet om din webbplats använder externa bibliotek som du inte känner till. På så sätt kommer du att veta om en hackare injicerade länkar till oönskade biblioteksleverantörer. Injektionsattacker är osannolikt på statiska webbplatser, men det kommer inte att skada att göra den här kontrollen då och då.

Implementera säkerhetskopieringsstrategi

En statisk webbplats bör alltid ha sitt innehåll säkert säkerhetskopierat när det ändras. Säkerhetskopiorna måste förvaras säkert och lättillgängliga ifall du behöver återställa din webbplats i händelse av en krasch. Det finns många sätt att säkerhetskopiera din statiska webbplats, men i allmänhet kan de kategoriseras manuellt och automatiskt.

Om innehållet på din webbplats inte ändras särskilt ofta kan en manuell säkerhetskopieringsstrategi vara tillräcklig – du behöver bara komma ihåg att göra en ny säkerhetskopia när du gör en förändring i innehållet. Om du har en kontrollpanel för att hantera ditt värdkonto, är det mycket troligt att du inom den kontrollpanelen hittar ett alternativ för att göra säkerhetskopior. Om inte, kan du alltid använda en FTP-klient för att ladda ner allt webbplatsinnehåll till en lokal enhet där du kan hålla det säkert och återställa det om det behövs.

Naturligtvis är alternativet för automatisk säkerhetskopiering att föredra om du vill hålla dina webbplatshanteringsuppgifter till ett minimum. Men automatiska säkerhetskopieringar erbjuds vanligtvis som premiumfunktioner av värdleverantörer, vilket ökar den totala kostnaden för att hålla din webbplats säker.

Du kan överväga att använda molnobjektlagring för säkerhetskopieringen.

Använd en pålitlig värdleverantör

Ett pålitligt webbhotell är nödvändigt för att garantera att din webbplats fungerar smidigt och snabbt, men också för att vara säker på att den inte kommer att hackas. De flesta recensioner av webbhotell visar dig siffror och jämförelser om hastighet, drifttid och kundsupport, men när du överväger webbplatssäkerhet finns det några aspekter som bör observeras noggrant och som du bör fråga din leverantör om innan du anlitar dess tjänst:

  • Programvarusäkerhet: du bör ta reda på hur programuppdateringar hanteras; till exempel om all programvara uppdateras automatiskt eller om varje uppdatering utsätts för en testprocess innan den distribueras.
  • DDoS-skydd: om denna typ av skydd ingår i värdtjänsten, be om detaljer om hur det implementeras, för att verifiera om det uppfyller kraven på din webbplats.
  • SSL-tillgänglighet och support: eftersom certifikaten i de flesta fall hanteras av värdleverantören, bör du kontrollera vilken typ av certifikat den erbjuder och vad som är policyn för certifikatförnyelse.
  • Säkerhetskopiering och återställning: många värdleverantörer erbjuder en automatisk säkerhetskopieringstjänst, vilket är bra eftersom det praktiskt taget låter dig glömma att göra säkerhetskopior, lagra dem och hålla dem uppdaterade. Men ta hänsyn till kostnaden för en sådan tjänst och väg den mot den ansträngning som krävs för att hålla ditt innehåll säkerhetskopierat av dig själv.
  • Skydd mot skadlig programvara: en pålitlig värdleverantör bör ha sina servrar skyddade mot skadlig programvara, genom att utföra periodiska skanning av skadlig programvara och övervaka filintegriteten. I fallet med delad värd är det önskvärt att värdleverantören använder kontoisolering för att förhindra skadlig programvara från att spridas mellan grannwebbplatser.
  • Brandväggsskydd: en värdleverantör kan höja säkerhetsnivån för de webbplatser den är värd för genom att distribuera en brandvägg som håller fientlig trafik borta.

Kolla in den pålitliga statiska webbhotellplattformen.

Genomför en stark lösenordspolicy

Eftersom en statisk webbplats inte har en databas eller ett hanterat innehållssystem har den färre användarnamn och lösenord att hantera. Men du måste fortfarande tillämpa en lösenordspolicy för de värd- eller FTP-konton du kommer att använda för att uppdatera det statiska innehållet.

God praxis för lösenord inkluderar bland annat:

  • Byter dem med jämna mellanrum
  • Ställa in en minsta lösenordslängd.
  • Använda kombinationer av versaler/små bokstäver tillsammans med specialtecken och siffror
  • Undvik att kommunicera dem via e-post eller textmeddelanden.

Dessutom måste standardlösenordet för administrativa konton ändras från första början – detta är ett vanligt fel som hackare lätt kan utnyttja. Var inte rädd för att förlora lösenordet; använd en lösenordshanterare för att hantera dem säkert.

Låt oss bli statiska

För några år sedan var dynamiskt innehåll vägen att gå: allt kunde enkelt ändras och uppdateras, vilket möjliggör en hel webbplats omdesign inom några sekunder. Men sedan blev hastigheten högsta prioritet, och statiskt innehåll blev plötsligt coolt igen.

I den meningen bör alla säkerhetspraxis för webbplatser omvärderas – det finns säkert färre aspekter att ta hänsyn till, men du bör inte bli helt avslappnad av det. Den här listan med bästa praxis kommer säkert att hjälpa dig att skapa din egen checklista för att hålla din statiska webbplats säker och sund.

  Hur man lägger till ett Gmail-konto i Outlook