Site-urile web statice stochează conținut deja redat, motiv pentru care nu trebuie să acceseze nicio bază de date, să ruleze scripturi complexe sau să depind de un motor de rulare ori de câte ori un utilizator solicită o pagină.
Acest lucru se traduce prin avantaje clare în timpii de încărcare și securitate: paginile statice economisesc mult timp pe server și au mai puține vulnerabilități. Aceasta, la rândul său, înseamnă că motoarele de căutare vor clasa paginile statice mai bine decât echivalentele lor dinamice.
Experții SEO apelează la conținut static ori de câte ori pot, pentru a concura mai bine într-o lume în care o fracțiune de secundă poate face diferența între succesul total și eșecul total. Implementarea conținutului static a devenit un cuvânt la modă între strategii de marketing, iar personalului IT îi place că au un loc mai puțin vulnerabil pe care să-l supravegheze.
Dar atenție – nu sunt 100% rezistente la hack, așa că dacă intenționați să implementați conținut static pe site-ul dvs. web, există câteva bune practici pe care ar trebui să le urmați pentru a-l păstra securizat.
Anteturile de securitate sunt un subset de anteturi de răspuns HTTP – un pachet de metadate, coduri de eroare, reguli de cache etc. pe care serverul web le adaugă la conținutul pe care îl servește – concepute pentru a spune browserului ce trebuie să facă și cum să gestioneze conținutul pe care îl primește. Nu toate browserele acceptă toate anteturile de securitate, dar există un set mic care este destul de comun și oferă măsuri de securitate de bază pentru a împiedica hackerii să exploateze vulnerabilități.
X-Frame-Options: SAMEORIGIN
Antetul X-Frame-Options are scopul de a dezactiva sau atenua riscurile impuse de iframe pe site-ul dvs. Iframe-urile pot fi folosite de hackeri pentru a captura clicuri legitime și a direcționa vizitatorii către orice adresă URL pe care o doresc. Există diferite moduri de a preveni utilizarea greșită a cadrelor iframe.
Cea mai bună practică recomandată de OWASP (Open Web Application Security Project) sugerează utilizarea acestui antet cu parametrul SAMEORIGIN, care permite utilizarea iframe-urilor doar de către cineva de aceeași origine. Alte opțiuni sunt DENY, pentru a dezactiva complet cadrele iframe, și ALLOW-FROM, pentru a permite numai adreselor URL specifice să plaseze pagini pe cadre iframe.
Consultați ghidul de implementare pentru Apache și Nginx.
X-XSS-Protecție: 1; mod=bloc
Antetul X-XSS-Protection este conceput pentru a proteja site-urile web împotriva scripturilor între site-uri. Această funcție de antet poate fi implementată în două moduri:
- Protecție X-XSS: 1
- X-XSS-Protecție: 1; mod=bloc
Primul este mai permisiv, filtrează scripturile de la cerere către serverul web, dar redând oricum pagina. A doua modalitate este mai sigură, deoarece blochează întreaga pagină atunci când este detectat un script X-XSS în cerere. Această a doua opțiune este cea mai bună practică recomandată de OWASP.
X-Content-Type-Options: nosniff
Acest antet împiedică utilizarea MIME „sniffing” – o caracteristică care permite browserului să scaneze conținutul și să răspundă diferit de ceea ce indică antetul. Când acest antet este prezent, browserul trebuie să seteze tipul de conținut conform instrucțiunilor, în loc să-l deducă prin „sniffing” conținutul în avans.
Dacă aplicați acest antet, ar trebui să verificați din nou dacă tipurile de conținut sunt aplicate corect pe fiecare pagină a site-ului dvs. static.
Tip de conținut: text/html; set de caractere=utf-8
Această linie este adăugată la anteturile de solicitare și răspuns pentru paginile HTML începând cu versiunea 1.0 a protocolului HTTP. Stabilește că toate etichetele sunt redate în browser, afișând rezultatul pe pagina web.
Utilizați certificate TLS
Un certificat SSL/TLS este obligatoriu pentru orice site web, deoarece permite serverului web să cripteze datele pe care le trimite către browserul web prin protocolul HTTPS securizat. În acest fel, dacă datele sunt interceptate în timpul călătoriei sale, acestea vor fi ilizibile, ceea ce este esențial pentru protejarea confidențialității utilizatorilor și pentru a securiza site-ul web. Un site web static nu stochează informațiile personale ale vizitatorilor săi, dar este esențial ca informațiile pe care aceștia le solicită să nu poată fi văzute de observatorii nedoriți.
Utilizarea criptării de către un site web este necesară pentru a fi marcată ca site sigur de către majoritatea browserelor web și este obligatorie pentru site-urile web care încearcă să respecte Regulamentul general privind protecția datelor (GDPR) al UE. Legea nu prevede în mod specific că trebuie utilizat un certificat SSL, dar este cea mai simplă modalitate de a îndeplini cerințele de confidențialitate din regulament.
În ceea ce privește securitatea, certificatul SSL permite autorităților să verifice dreptul de proprietate asupra unui site web și să împiedice hackerii să creeze versiuni false ale acestuia. Utilizarea unui certificat SSL permite vizitatorului site-ului web să verifice autenticitatea editorului și să se simtă încrezător că nimeni nu poate să-și spioneze activitățile de pe site.
Vestea bună este că certificatul nu costă mult. De fapt, îl poți obține GRATUIT de la ZeroSSL sau cumpărați unul premium de la Magazin SSL.
Implementați protecția DDoS
Atacurile Distributed Denial of Service (DDoS) devin din ce în ce mai frecvente în zilele noastre. În acest tip de atac, un set de dispozitive distribuite este folosit pentru a copleși un server cu un val de solicitări, până când acesta devine saturat și pur și simplu refuză să funcționeze. Nu contează dacă site-ul dvs. are conținut static – serverul său web ar putea deveni cu ușurință victima unui atac DDoS dacă nu luați măsurile necesare.
Cel mai simplu mod de a implementa protecția DDoS pe site-ul dvs. este să aveți un furnizor de servicii de securitate să se ocupe de toate amenințările cibernetice. Acest serviciu va oferi detectare a intruziunilor, servicii antivirale, scanare a vulnerabilităților și multe altele, astfel încât practic nu trebuie să vă faceți griji în legătură cu amenințările.
O astfel de soluție cuprinzătoare ar putea fi costisitoare, dar există și soluții mai concentrate, cu costuri mai mici, cum ar fi DDoS Protection as a Service (DPaaS). Ar trebui să întrebați furnizorul dvs. de găzduire dacă oferă un astfel de serviciu.
Soluțiile mai accesibile sunt serviciile de protecție DDoS bazate pe cloud, cum ar fi cele oferite de Akamai, Sucuri, sau Cloudflare. Aceste servicii oferă detectarea și analiza timpurie a atacurilor DDoS, precum și filtrarea și redirecționarea acestor atacuri, adică redirecționarea traficului rău intenționat de pe site-ul dvs.
Când luați în considerare o soluție anti-DDoS, ar trebui să acordați atenție capacității rețelei sale: acest parametru indică cât de multă intensitate de atac poate rezista protecția.
Evitați bibliotecile JavaScript vulnerabile
Chiar dacă site-ul dvs. are conținut static, ar putea folosi biblioteci JavaScript care impun riscuri de securitate. În general, se consideră că 20% dintre aceste biblioteci fac un site web mai vulnerabil. Din fericire, ai putea folosi serviciul oferit de Vulnerabilitate DB pentru a verifica dacă o anumită bibliotecă este sigură sau nu. În baza sa de date, puteți găsi informații detaliate și îndrumări pentru o mulțime de vulnerabilități cunoscute.
Pe lângă verificarea unei anumite biblioteci pentru vulnerabilități, puteți urma această listă de bune practici pentru bibliotecile JavaScript care vor oferi remediere la riscurile potențiale ale acesteia:
- Nu utilizați servere de bibliotecă externe. În schimb, stocați bibliotecile pe același server care găzduiește site-ul dvs. Dacă trebuie să utilizați biblioteci externe, evitați să utilizați biblioteci de pe serverele aflate pe lista neagră și verificați periodic securitatea serverelor externe.
- Utilizați gestionarea versiunilor pentru bibliotecile JavaScript și asigurați-vă că utilizați cea mai recentă versiune a fiecărei biblioteci. Dacă gestionarea versiunilor nu este o opțiune, cel puțin ar trebui să utilizați versiuni care nu conțin vulnerabilități cunoscute. Poți să folosești pensionare.js pentru a detecta utilizarea versiunilor vulnerabile.
- Verificați în mod regulat dacă site-ul dvs. folosește biblioteci externe despre care nu știți. În acest fel, veți ști dacă un hacker a injectat link-uri către furnizori de biblioteci nedoriți. Atacurile prin injecție sunt puțin probabile pe site-urile web statice, dar nu va fi rău să faceți această verificare din când în când.
Implementați strategia de backup
Un site static ar trebui să aibă întotdeauna o copie de siguranță a conținutului său ori de câte ori este schimbat. Copiile de rezervă trebuie să fie stocate în siguranță și ușor accesibile în cazul în care trebuie să vă restaurați site-ul web în caz de blocare. Există multe modalități de a face backup pentru site-ul dvs. static, dar, în general, acestea pot fi clasificate în manuale și automate.
Dacă conținutul site-ului dvs. nu se schimbă foarte frecvent, o strategie de backup manuală poate fi adecvată – trebuie doar să vă amintiți să faceți o copie de rezervă nouă ori de câte ori faceți o modificare a conținutului. Dacă aveți un panou de control pentru a vă gestiona contul de găzduire, este foarte probabil ca în cadrul acelui panou de control să găsiți o opțiune de a face copii de rezervă. Dacă nu, puteți utiliza oricând un client FTP pentru a descărca tot conținutul site-ului pe un dispozitiv local unde îl puteți păstra în siguranță și îl puteți restaura dacă este necesar.
Desigur, opțiunea de backup automat este de preferat dacă doriți să mențineți sarcinile de gestionare a site-ului dvs. la un nivel minim. Dar backup-urile automate sunt de obicei oferite ca caracteristici premium de către furnizorii de găzduire, adăugând la costul total pentru menținerea site-ului dumneavoastră securizat.
Puteți lua în considerare utilizarea stocării obiectelor în cloud pentru backup.
Utilizați un furnizor de găzduire de încredere
Un serviciu de găzduire web de încredere este necesar pentru a garanta că site-ul dvs. web va funcționa fără probleme și rapid, dar și pentru a vă asigura că nu va fi piratat. Cele mai multe recenzii de găzduire web vă vor arăta cifre și comparații despre viteză, timp de funcționare și asistență pentru clienți, dar atunci când luați în considerare securitatea site-ului web, există câteva aspecte care ar trebui respectate cu atenție și despre care ar trebui să întrebați furnizorul înainte de a-și angaja serviciul:
- Securitate software: ar trebui să aflați cum sunt gestionate actualizările software; de exemplu, dacă tot software-ul este actualizat automat sau dacă fiecare actualizare este supusă unui proces de testare înainte de a fi implementată.
- Protecție DDoS: în cazul în care acest tip de protecție este inclus în serviciul de găzduire, solicitați detalii despre modul în care este implementat, pentru a verifica dacă îndeplinește cerințele site-ului dvs.
- Disponibilitate și suport SSL: deoarece în majoritatea cazurilor certificatele sunt gestionate de furnizorul de găzduire, ar trebui să verificați ce fel de certificat oferă și care este politica de reînnoire a certificatelor.
- Backup și restaurare: mulți furnizori de găzduire oferă un serviciu de backup automat, ceea ce este un lucru bun, deoarece practic vă permite să uitați de a face copii de rezervă, de a le stoca și de a le păstra actualizate. Dar luați în considerare costul unui astfel de serviciu și ponderați-l față de efortul pe care îl va necesita pentru a vă păstra conținutul susținut de dvs.
- Protecție împotriva programelor malware: un furnizor de găzduire de încredere ar trebui să aibă serverele protejate împotriva programelor malware, efectuând scanări periodice de malware și monitorizarea integrității fișierelor. În cazul găzduirii partajate, este de dorit ca furnizorul de găzduire să folosească izolarea contului, pentru a preveni propagarea infecțiilor malware între site-urile web vecine.
- Protecție firewall: un furnizor de găzduire poate crește nivelul de securitate al site-urilor web pe care le găzduiește prin implementarea unui firewall care ține departe traficul ostil.
Consultați platforma fiabilă de găzduire statică a site-ului.
Aplicați o politică puternică de parole
Deoarece un site static nu are o bază de date sau un sistem de conținut gestionat, are mai puține nume de utilizator și parole de gestionat. Dar tot trebuie să aplicați o politică de parole pentru conturile de găzduire sau FTP pe care le veți folosi pentru a actualiza conținutul static.
Bunele practici pentru parole includ, printre altele:
- Schimbându-le periodic
- Setarea unei lungimi minime a parolei.
- Utilizarea combinațiilor de litere mari/minuscule împreună cu caractere și numere speciale
- Evitați să le comunicați prin e-mail sau mesaje text.
De asemenea, parola implicită pentru conturile administrative trebuie schimbată de la bun început – aceasta este o eroare comună pe care hackerii o pot exploata cu ușurință. Nu vă speriați să pierdeți parola; utilizați un manager de parole pentru a le gestiona în siguranță.
Să fim statici
Cu câțiva ani în urmă, conținutul dinamic era calea de urmat: totul putea fi schimbat și actualizat cu ușurință, permițând reproiectarea întregului site în câteva secunde. Dar apoi, viteza a devenit prioritatea principală, iar conținutul static a devenit brusc din nou cool.
În acest sens, toate practicile de securitate a site-ului ar trebui reevaluate – cu siguranță sunt mai puține aspecte de luat în considerare, dar nu ar trebui să vă relaxați cu totul. Această listă de bune practici vă va ajuta cu siguranță să vă creați propria listă de verificare pentru a vă menține site-ul static în siguranță.