7 Βέλτιστες πρακτικές για την ασφάλεια HTML για στατικά τρωτά σημεία ιστότοπου

από
Tweet
Share
Share
Pin

Οι στατικοί ιστότοποι αποθηκεύουν περιεχόμενο που έχει ήδη αποδοθεί, γι’ αυτό δεν χρειάζεται να έχουν πρόσβαση σε καμία βάση δεδομένων, να εκτελούν πολύπλοκα σενάρια ή να εξαρτώνται από μια μηχανή χρόνου εκτέλεσης κάθε φορά που ένας χρήστης ζητά μια σελίδα.

Αυτό μεταφράζεται σε σαφή πλεονεκτήματα σε χρόνους φόρτωσης και ασφάλειας: οι στατικές σελίδες εξοικονομούν πολύ χρόνο διακομιστή και έχουν λιγότερα τρωτά σημεία. Αυτό, με τη σειρά του, σημαίνει ότι οι μηχανές αναζήτησης θα κατατάσσουν τις στατικές σελίδες καλύτερα από τις δυναμικές τους ισοδύναμες.

Οι ειδικοί SEO στρέφονται στο στατικό περιεχόμενο όποτε μπορούν, για να ανταγωνιστούν καλύτερα σε έναν κόσμο στον οποίο ένα κλάσμα του δευτερολέπτου μπορεί να κάνει τη διαφορά μεταξύ της απόλυτης επιτυχίας και της απόλυτης αποτυχίας. Η ανάπτυξη στατικού περιεχομένου έχει γίνει ένα τσιτάτο μεταξύ των στρατηγικών μάρκετινγκ και το προσωπικό IT λατρεύει ότι έχει ένα λιγότερο ευάλωτο σημείο για να παρακολουθεί.

Προσοχή όμως – δεν είναι 100% ανθεκτικά στο hack, οπότε αν σκοπεύετε να αναπτύξετε στατικό περιεχόμενο στον ιστότοπό σας, υπάρχουν ορισμένες βέλτιστες πρακτικές που πρέπει να ακολουθήσετε για να το διατηρήσετε ασφαλές.

Οι κεφαλίδες ασφαλείας είναι ένα υποσύνολο των κεφαλίδων απόκρισης HTTP — ένα πακέτο μεταδεδομένων, κωδικών σφαλμάτων, κανόνων κρυφής μνήμης κ.λπ. που προσθέτει ο διακομιστής ιστού στο περιεχόμενο που προβάλλει — σχεδιασμένο για να λέει στο πρόγραμμα περιήγησης τι να κάνει και πώς να χειρίζεται το περιεχόμενο που λαμβάνει. Δεν υποστηρίζουν όλα τα προγράμματα περιήγησης όλες τις κεφαλίδες ασφαλείας, αλλά υπάρχει ένα μικρό σύνολο που είναι αρκετά κοινό και παρέχει βασικά μέτρα ασφαλείας για να εμποδίσει τους χάκερ να εκμεταλλευτούν τις ευπάθειες.

X-Frame-Options: SAMEORIGIN

Η κεφαλίδα X-Frame-Options προορίζεται για την απενεργοποίηση ή τον μετριασμό των κινδύνων που επιβάλλονται από τα iframe στον ιστότοπό σας. Τα Iframes μπορούν να χρησιμοποιηθούν από χάκερ για να συλλάβουν τα νόμιμα κλικ και να κατευθύνουν τους επισκέπτες σε οποιαδήποτε διεύθυνση URL θέλουν. Υπάρχουν διάφοροι τρόποι για να αποτρέψετε την κακή χρήση των iframes.

Η βέλτιστη πρακτική που προτείνεται από το OWASP (Open Web Application Security Project) προτείνει τη χρήση αυτής της κεφαλίδας με την παράμετρο SAMEORIGIN, η οποία επιτρέπει τη χρήση iframes μόνο από κάποιον στην ίδια προέλευση. Άλλες επιλογές είναι το DENY, για να απενεργοποιήσετε πλήρως τα iframes και το ALLOW-FROM, για να επιτρέπεται μόνο σε συγκεκριμένες διευθύνσεις URL να τοποθετούν σελίδες σε iframes.

Δείτε τον οδηγό υλοποίησης για Apache και Nginx.

X-XSS-Προστασία: 1; λειτουργία=μπλοκ

Η κεφαλίδα X-XSS-Protection έχει σχεδιαστεί για να προστατεύει τους ιστότοπους από τη δημιουργία σεναρίων μεταξύ τοποθεσιών. Αυτή η δυνατότητα κεφαλίδας μπορεί να εφαρμοστεί με δύο τρόπους:

  • X-XSS-Προστασία: 1
  • X-XSS-Προστασία: 1; λειτουργία=μπλοκ

Το πρώτο είναι πιο επιτρεπτό, φιλτράρει τα σενάρια από το αίτημα στον διακομιστή ιστού αλλά αποδίδει τη σελίδα ούτως ή άλλως. Ο δεύτερος τρόπος είναι πιο ασφαλής αφού μπλοκάρει ολόκληρη τη σελίδα όταν ανιχνεύεται ένα σενάριο X-XSS στο αίτημα. Αυτή η δεύτερη επιλογή είναι η βέλτιστη πρακτική που συνιστά το OWASP.

X-Content-Type-Options: nosniff

Αυτή η κεφαλίδα αποτρέπει τη χρήση του MIME “sniffing” — μια δυνατότητα που επιτρέπει στο πρόγραμμα περιήγησης να σαρώνει το περιεχόμενο και να ανταποκρίνεται διαφορετικά από αυτό που υποδεικνύει η κεφαλίδα. Όταν υπάρχει αυτή η κεφαλίδα, το πρόγραμμα περιήγησης πρέπει να ορίσει τον τύπο περιεχομένου σύμφωνα με τις οδηγίες, αντί να τον συμπεράνει «μυρίζοντας» το περιεχόμενο εκ των προτέρων.

  Πώς να ευθυγραμμίσετε το κείμενο μέσα σε πίνακες στο Microsoft Word

Εάν εφαρμόσετε αυτήν την κεφαλίδα, θα πρέπει να ελέγξετε ξανά ότι οι τύποι περιεχομένου σας εφαρμόζονται σωστά σε κάθε σελίδα του στατικού ιστότοπού σας.

Τύπος περιεχομένου: κείμενο/html; charset=utf-8

Αυτή η γραμμή προστίθεται στις κεφαλίδες αιτημάτων και απαντήσεων για σελίδες HTML από την έκδοση 1.0 του πρωτοκόλλου HTTP. Διαπιστώνει ότι όλες οι ετικέτες αποδίδονται στο πρόγραμμα περιήγησης, εμφανίζοντας το αποτέλεσμα στην ιστοσελίδα.

Χρησιμοποιήστε πιστοποιητικά TLS

Ένα πιστοποιητικό SSL/TLS είναι απαραίτητο για οποιονδήποτε ιστότοπο, επειδή επιτρέπει στον διακομιστή ιστού να κρυπτογραφεί τα δεδομένα που στέλνει στο πρόγραμμα περιήγησης ιστού μέσω του ασφαλούς πρωτοκόλλου HTTPS. Με αυτόν τον τρόπο, εάν τα δεδομένα υποκλαπούν στο ταξίδι τους, θα είναι δυσανάγνωστα, κάτι που είναι απαραίτητο για την προστασία του απορρήτου των χρηστών και την ασφάλεια του ιστότοπου. Ένας στατικός ιστότοπος δεν αποθηκεύει τις προσωπικές πληροφορίες των επισκεπτών του, αλλά είναι σημαντικό οι πληροφορίες που ζητούν να μην είναι ορατές από ανεπιθύμητους παρατηρητές.

Η χρήση κρυπτογράφησης από έναν ιστότοπο είναι απαραίτητη για να επισημανθεί ως ασφαλής ιστότοπος από τα περισσότερα προγράμματα περιήγησης ιστού και είναι υποχρεωτική για ιστότοπους που επιδιώκουν να συμμορφωθούν με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ. Ο νόμος δεν ορίζει συγκεκριμένα ότι πρέπει να χρησιμοποιείται πιστοποιητικό SSL, αλλά είναι ο απλούστερος τρόπος για να πληρούνται οι απαιτήσεις απορρήτου στον κανονισμό.

Όσον αφορά την ασφάλεια, το πιστοποιητικό SSL επιτρέπει στις αρχές να επαληθεύουν την ιδιοκτησία ενός ιστότοπου και να εμποδίζουν τους χάκερ να δημιουργήσουν ψεύτικες εκδόσεις του. Η χρήση πιστοποιητικού SSL επιτρέπει στον επισκέπτη του ιστότοπου να ελέγξει την αυθεντικότητα του εκδότη και να αισθάνεται σίγουρος ότι κανείς δεν μπορεί να κατασκοπεύσει τις δραστηριότητές του στον ιστότοπο.

Τα καλά νέα είναι ότι το πιστοποιητικό δεν κοστίζει πολύ. Στην πραγματικότητα, μπορείτε να το αποκτήσετε ΔΩΡΕΑΝ από ZeroSSL ή αγοράστε ένα premium από Κατάστημα SSL.

Ανάπτυξη προστασίας DDoS

Οι επιθέσεις Distributed Denial of Service (DDoS) γίνονται όλο και πιο κοινές στις μέρες μας. Σε αυτόν τον τύπο επίθεσης, ένα σύνολο κατανεμημένων συσκευών χρησιμοποιείται για να κατακλύσει έναν διακομιστή με μια πλημμύρα αιτημάτων, μέχρι να κορεστεί και απλώς να αρνηθεί να λειτουργήσει. Δεν έχει σημασία αν ο ιστότοπός σας έχει στατικό περιεχόμενο — ο διακομιστής ιστού του θα μπορούσε εύκολα να γίνει θύμα επίθεσης DDoS εάν δεν λάβετε τα απαραίτητα μέτρα.

Ο ευκολότερος τρόπος για να εφαρμόσετε προστασία DDoS στον ιστότοπό σας είναι να ζητήσετε από έναν πάροχο υπηρεσιών ασφαλείας να φροντίζει όλες τις απειλές στον κυβερνοχώρο. Αυτή η υπηρεσία θα παρέχει ανίχνευση εισβολής, υπηρεσίες προστασίας από ιούς, σάρωση ευπάθειας και πολλά άλλα, έτσι πρακτικά δεν χρειάζεται να ανησυχείτε για τυχόν απειλές.

Μια τέτοια ολοκληρωμένη λύση θα μπορούσε να είναι ακριβή, αλλά υπάρχουν επίσης πιο εστιασμένες λύσεις με χαμηλότερο κόστος, όπως το DDoS Protection as a Service (DPaaS). Θα πρέπει να ρωτήσετε τον πάροχο φιλοξενίας σας εάν προσφέρει μια τέτοια υπηρεσία.

Πιο προσιτές λύσεις είναι οι υπηρεσίες προστασίας DDoS που βασίζονται σε cloud, όπως αυτές που προσφέρει η Akamai, Sucuri, ή Cloudflare. Αυτές οι υπηρεσίες παρέχουν έγκαιρη ανίχνευση και ανάλυση επιθέσεων DDoS, καθώς και φιλτράρισμα και εκτροπή αυτών των επιθέσεων — δηλαδή, επαναδρομολόγηση της κακόβουλης επισκεψιμότητας μακριά από τον ιστότοπό σας.

Όταν εξετάζετε μια λύση anti-DDoS, θα πρέπει να δώσετε προσοχή στη χωρητικότητα δικτύου της: αυτή η παράμετρος υποδεικνύει πόση ένταση επίθεσης μπορεί να αντέξει η προστασία.

  Πώς να διορθώσετε το "Να επιτρέπονται οι μη αξιόπιστες συντομεύσεις" που είναι γκριζαρισμένες σε iPhone ή iPad

Αποφύγετε τις ευάλωτες βιβλιοθήκες JavaScript

Ακόμα κι αν ο ιστότοπός σας έχει στατικό περιεχόμενο, θα μπορούσε να κάνει χρήση βιβλιοθηκών JavaScript που επιβάλλουν κινδύνους ασφαλείας. Γενικά θεωρείται ότι το 20% αυτών των βιβλιοθηκών καθιστούν έναν ιστότοπο πιο ευάλωτο. Ευτυχώς, μπορείτε να χρησιμοποιήσετε την υπηρεσία που παρέχεται από ΒΔ ευπάθειας για να ελέγξετε εάν μια συγκεκριμένη βιβλιοθήκη είναι ασφαλής ή όχι. Στη βάση δεδομένων του, μπορείτε να βρείτε λεπτομερείς πληροφορίες και οδηγίες για πολλά γνωστά τρωτά σημεία.

Εκτός από τον έλεγχο μιας συγκεκριμένης βιβλιοθήκης για τρωτά σημεία, μπορείτε να ακολουθήσετε αυτήν τη λίστα βέλτιστων πρακτικών για βιβλιοθήκες JavaScript που θα παρέχουν αποκατάσταση στους πιθανούς κινδύνους:

  • Μην χρησιμοποιείτε εξωτερικούς διακομιστές βιβλιοθήκης. Αντίθετα, αποθηκεύστε τις βιβλιοθήκες στον ίδιο διακομιστή που φιλοξενεί τον ιστότοπό σας. Εάν πρέπει να χρησιμοποιήσετε εξωτερικές βιβλιοθήκες, αποφύγετε τη χρήση βιβλιοθηκών από διακομιστές στη μαύρη λίστα και ελέγχετε περιοδικά την ασφάλεια των εξωτερικών διακομιστών.
  • Χρησιμοποιήστε τη διαχείριση εκδόσεων για βιβλιοθήκες JavaScript και βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση κάθε βιβλιοθήκης. Εάν η διαχείριση εκδόσεων δεν αποτελεί επιλογή, τουλάχιστον θα πρέπει να χρησιμοποιείτε εκδόσεις που δεν έχουν γνωστά τρωτά σημεία. Μπορείς να χρησιμοποιήσεις συνταξιοδοτώ.js για τον εντοπισμό της χρήσης ευάλωτων εκδόσεων.
  • Ελέγχετε τακτικά εάν ο ιστότοπός σας χρησιμοποιεί εξωτερικές βιβλιοθήκες που δεν γνωρίζετε. Με αυτόν τον τρόπο, θα γνωρίζετε εάν ένας χάκερ εισήγαγε συνδέσμους σε ανεπιθύμητους παρόχους βιβλιοθηκών. Οι επιθέσεις ένεσης είναι απίθανες σε στατικούς ιστότοπους, αλλά δεν θα βλάψει να κάνετε αυτόν τον έλεγχο κάθε τόσο.

Εφαρμογή στρατηγικής δημιουργίας αντιγράφων ασφαλείας

Ένας στατικός ιστότοπος πρέπει πάντα να έχει ασφαλή δημιουργία αντιγράφων ασφαλείας του περιεχομένου του όποτε αλλάζει. Τα αντίγραφα ασφαλείας πρέπει να αποθηκεύονται με ασφάλεια και να είναι εύκολα προσβάσιμα σε περίπτωση που χρειαστεί να επαναφέρετε τον ιστότοπό σας σε περίπτωση κατάρρευσης. Υπάρχουν πολλοί τρόποι για να δημιουργήσετε αντίγραφα ασφαλείας του στατικού ιστοτόπου σας, αλλά γενικά, μπορούν να κατηγοριοποιηθούν σε χειροκίνητα και αυτόματα.

Εάν το περιεχόμενο του ιστότοπού σας δεν αλλάζει πολύ συχνά, μια μη αυτόματη στρατηγική δημιουργίας αντιγράφων ασφαλείας μπορεί να είναι επαρκής — απλά πρέπει να θυμάστε να δημιουργείτε ένα νέο αντίγραφο ασφαλείας κάθε φορά που κάνετε μια αλλαγή στο περιεχόμενο. Εάν έχετε έναν πίνακα ελέγχου για τη διαχείριση του λογαριασμού φιλοξενίας σας, είναι πολύ πιθανό ότι μέσα σε αυτόν τον πίνακα ελέγχου, θα βρείτε μια επιλογή δημιουργίας αντιγράφων ασφαλείας. Εάν όχι, μπορείτε πάντα να χρησιμοποιήσετε έναν πελάτη FTP για να πραγματοποιήσετε λήψη όλου του περιεχομένου του ιστότοπου σε μια τοπική συσκευή όπου μπορείτε να το διατηρήσετε ασφαλές και να το επαναφέρετε εάν είναι απαραίτητο.

Φυσικά, η επιλογή αυτόματης δημιουργίας αντιγράφων ασφαλείας είναι προτιμότερη εάν θέλετε να διατηρήσετε τις εργασίες διαχείρισης του ιστότοπού σας στο ελάχιστο. Ωστόσο, τα αυτόματα αντίγραφα ασφαλείας προσφέρονται συνήθως ως premium χαρακτηριστικά από παρόχους φιλοξενίας, προσθέτοντας στο συνολικό κόστος διατήρησης της ασφάλειας του ιστότοπού σας.

Μπορείτε να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε την αποθήκευση αντικειμένων cloud για τη δημιουργία αντιγράφων ασφαλείας.

Χρησιμοποιήστε έναν αξιόπιστο πάροχο φιλοξενίας

Μια αξιόπιστη υπηρεσία φιλοξενίας ιστοσελίδων είναι απαραίτητη για να εγγυηθεί ότι ο ιστότοπός σας θα λειτουργεί ομαλά και γρήγορα, αλλά και για να είστε σίγουροι ότι δεν θα παραβιαστεί. Οι περισσότερες κριτικές φιλοξενίας ιστοσελίδων θα σας δείχνουν στοιχεία και συγκρίσεις σχετικά με την ταχύτητα, το χρόνο λειτουργίας και την υποστήριξη πελατών, αλλά όταν εξετάζετε την ασφάλεια του ιστότοπου, υπάρχουν ορισμένες πτυχές που πρέπει να τηρούνται προσεκτικά και για τις οποίες θα πρέπει να ρωτήσετε τον πάροχο σας πριν προσλάβετε την υπηρεσία του:

  • Ασφάλεια λογισμικού: θα πρέπει να μάθετε πώς γίνεται ο χειρισμός των ενημερώσεων λογισμικού. για παράδειγμα, εάν όλο το λογισμικό ενημερώνεται αυτόματα ή εάν κάθε ενημέρωση υποβάλλεται σε διαδικασία δοκιμής πριν από την ανάπτυξή της.
  • Προστασία DDoS: σε περίπτωση που αυτό το είδος προστασίας περιλαμβάνεται στην υπηρεσία φιλοξενίας, ζητήστε λεπτομέρειες σχετικά με τον τρόπο εφαρμογής της, για να επαληθεύσετε εάν πληροί τις απαιτήσεις του ιστότοπού σας.
  • Διαθεσιμότητα και υποστήριξη SSL: καθώς στις περισσότερες περιπτώσεις η διαχείριση των πιστοποιητικών γίνεται από τον πάροχο φιλοξενίας, θα πρέπει να ελέγξετε τι είδους πιστοποιητικό προσφέρει και ποια είναι η πολιτική ανανέωσης πιστοποιητικού.
  • Δημιουργία αντιγράφων ασφαλείας και επαναφορά: πολλοί πάροχοι φιλοξενίας προσφέρουν μια αυτοματοποιημένη υπηρεσία δημιουργίας αντιγράφων ασφαλείας, κάτι που είναι θετικό γιατί πρακτικά σας επιτρέπει να ξεχάσετε τη δημιουργία αντιγράφων ασφαλείας, την αποθήκευση και την ενημέρωση τους. Ωστόσο, λάβετε υπόψη το κόστος μιας τέτοιας υπηρεσίας και σταθμίστε το σε σχέση με την προσπάθεια που θα χρειαστεί για να διατηρήσετε το περιεχόμενό σας εφεδρικό μόνοι σας.
  • Προστασία από κακόβουλο λογισμικό: ένας αξιόπιστος πάροχος φιλοξενίας θα πρέπει να προστατεύει τους διακομιστές του από κακόβουλο λογισμικό, εκτελώντας περιοδικές σαρώσεις κακόβουλου λογισμικού και παρακολουθώντας την ακεραιότητα των αρχείων. Στην περίπτωση της κοινόχρηστης φιλοξενίας, είναι επιθυμητό ο πάροχος φιλοξενίας να κάνει χρήση της απομόνωσης λογαριασμού, για να αποτρέψει τη διάδοση μολύνσεων από κακόβουλο λογισμικό μεταξύ γειτονικών ιστοσελίδων.
  • Προστασία τείχους προστασίας: ένας πάροχος φιλοξενίας μπορεί να αυξήσει το επίπεδο ασφάλειας των ιστότοπων που φιλοξενεί αναπτύσσοντας ένα τείχος προστασίας που κρατά μακριά την εχθρική κίνηση.
  6 Εργαλεία Anti Spyware για να καθαρίσετε τις συσκευές σας

Ελέγξτε την αξιόπιστη στατική πλατφόρμα φιλοξενίας ιστοτόπων.

Εφαρμόστε μια πολιτική ισχυρού κωδικού πρόσβασης

Δεδομένου ότι ένας στατικός ιστότοπος δεν διαθέτει βάση δεδομένων ή σύστημα διαχειριζόμενου περιεχομένου, έχει λιγότερα ονόματα χρήστη και κωδικούς πρόσβασης για διαχείριση. Ωστόσο, εξακολουθείτε να πρέπει να επιβάλλετε μια πολιτική κωδικού πρόσβασης για τους λογαριασμούς φιλοξενίας ή FTP που θα χρησιμοποιήσετε για να ενημερώσετε το στατικό περιεχόμενο.

Οι καλές πρακτικές για τους κωδικούς πρόσβασης περιλαμβάνουν, μεταξύ άλλων:

  • Αλλάζοντάς τα περιοδικά
  • Ορισμός ελάχιστου μήκους κωδικού πρόσβασης.
  • Χρησιμοποιώντας συνδυασμούς κεφαλαίων/πεζών γραμμάτων μαζί με ειδικούς χαρακτήρες και αριθμούς
  • Αποφύγετε την επικοινωνία τους μέσω email ή γραπτών μηνυμάτων.

Επίσης, ο προεπιλεγμένος κωδικός πρόσβασης για λογαριασμούς διαχειριστή πρέπει να αλλάξει από την αρχή — αυτό είναι ένα συνηθισμένο σφάλμα που μπορούν εύκολα να εκμεταλλευτούν οι χάκερ. Μην φοβάστε να χάσετε τον κωδικό πρόσβασης. χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για να τα διαχειριστείτε με ασφάλεια.

Ας γίνουμε στατικοί

Πριν από μερικά χρόνια, το δυναμικό περιεχόμενο ήταν ο καλύτερος τρόπος: τα πάντα μπορούσαν να αλλάξουν και να ενημερωθούν εύκολα, επιτρέποντας τον επανασχεδιασμό ενός ολόκληρου ιστότοπου μέσα σε λίγα δευτερόλεπτα. Στη συνέχεια, όμως, η ταχύτητα έγινε η κορυφαία προτεραιότητα και το στατικό περιεχόμενο έγινε ξαφνικά και πάλι cool.

Υπό αυτή την έννοια, όλες οι πρακτικές ασφάλειας ιστοτόπων θα πρέπει να επαναξιολογηθούν — σίγουρα υπάρχουν λιγότερες πτυχές που πρέπει να ληφθούν υπόψη, αλλά δεν πρέπει να χαλαρώνετε. Αυτή η λίστα βέλτιστων πρακτικών σίγουρα θα σας βοηθήσει να δημιουργήσετε τη δική σας λίστα ελέγχου για να διατηρήσετε τον στατικό σας ιστότοπο ασφαλή και υγιή.