Defaults.Exposed › Поправки
Поправете сигурността на вашия домейн — безплатни ръководства стъпка по стъпка
Ръководства на ясен език за поправяне на всеки проблем, който оценяваме — SPF, DKIM, DMARC, DNSSEC, TLS, сертификати и HTTP заглавки за сигурност. Всяко обяснява какво представлява, какво може да струва на вашия бизнес и точно как да го настроите при вашия доставчик.
- CAA records
CAA запис е кратка инструкция в настройките на домейна ви, назоваваща кои сертификатни компании имат право да издават 'катинар' сертификат за сигурност за вашия уебсайт. С активиран, никоя друга компания не може тихо да създаде валиден сертификат от ваше наименование. - CDN / WAF & hosting
Две четения на водопровода зад уебсайта ви: дали стоите зад защитен щит (CDN с Web Application Firewall, като Cloudflare), филтриращ атаките и поглъщащ пиковете на трафика, и карта на кой всъщност управлява DNS-а, уебсайта и имейла ви. И двете са информационни по нашата методология — те не местят оценката ви — но описват колко е уязвим оригиналният ви сървър към атака и авария и колко объркани са доставчиците ви. Щит отпред и разумно разделен набор от доставчици е как изглеждат устойчивите бизнеси. - Content-Security-Policy (CSP)
Политиката за сигурност на съдържанието е правило за безопасност, което вашият уебсайт предава на браузъра на всеки посетител, казвайки му кой точно код е разрешен да се изпълнява. Без нея, ако нещо злонамерено попадне на страница — чрез поле за коментар, хакнат плъгин или скрипт от трета страна — браузърът ще го изпълни свободно, включително код, тихо събиращ номерата на кредитни карти и паролите на вашите клиенти при въвеждане, с катинара все още показан. - DKIM
DKIM е невидимият неманипулируем печат на всеки имейл, изпратен от вашия бизнес. Той позволява на получаващия пощенски доставчик да потвърди, че имейлът наистина е от вас и е пристигнал непроменен. Без него пощата ви е по-лесна за фалшифициране, по-лесна за изменяне и с много по-голяма вероятност да попадне в нежеланата поща. - DMARC (Email Spoofing Protection)
DMARC е единствената настройка, действително казваща на пощенските доставчици в света да БЛОКИРАТ имейли, фалшифициращи наименованието на вашия бизнес. SPF и DKIM проверяват заключалките; DMARC решава какво се случва, когато фалшификацията не минава проверката — в боклука, маркирана или пусната. Неправилно зададен, домейнът ви е изцяло имитируем; зададен правилно — имперсонацията спира при входящата кутия. - DNSSEC
DNSSEC е цифров печат на адресната книга на домейна ви. Позволява на интернет да докаже, че отговорът на въпроса 'где живее този домейн?' наистина е дошъл от вас и не е бил манипулиран по пътя. Без него отговорът може да бъде фалшифициран — и посетителите ви тихо пратени другаде. - HSTS (Strict-Transport-Security)
HSTS е едноредова инструкция, изпращана от уебсайта ви към всеки браузър: 'завинаги се свързвай с мен само по сигурна, криптирана връзка — никога по незащитената.' Без нея, катинарът може тихо да бъде отнет при споделена WiFi мрежа и самото първо посещение на сайта е изложено. - HTTPS & forced-secure redirect
HTTPS е катинарът в лентата на браузъра — той криптира всичко, пътуващо между уебсайта ви и клиентите ви, така че да не може да бъде прочетено или манипулирано при пренос. Принудителното пренасочване към сигурен протокол гарантира, че посетителите попадат на криптираната версия автоматично, дори когато въведат адреса ви без 'https://'. Заедно те са единственото най-основно нещо, необходимо на уебсайт, за да се счита изобщо за сигурен. - IPv6 support
IPv6 е по-новата, много по-голяма версия на адресната система на интернет, въведена поради изчерпването на старата (IPv4). Добавянето на IPv6 поддръжка означава, че уебсайтът и имейлът ви могат да бъдат достигнати и по модерната мрежа, а не само по старата. По нашата методология това е информационно — липсата му не сваля оценката ви — но е реален проблем с достъпността: нарастващ дял от мобилни и задгранични клиенти се свързват по мрежи, поддържащи само IPv6, и те стигат до вас безпроблемно само ако го поддържате. Поправката е безплатна и се прилага в DNS и хостинг настройките ви. - MX записи (настройка на поща)
MX записът е указателят, който казва на останалата част от света къде да доставя имейл, адресиран до вашия домейн. Ако липсва или е повреден, всяко съобщение, изпратено до вашия бизнес — запитвания от клиенти, нулиране на пароли, фактури, договори — се връща директно на подателя. Без MX, без входяща поща. - Referrer-Policy
Referrer-Policy е еднолинейна инструкция, предавана от вашия уебсайт на браузъра на всеки посетител, контролираща колко от вашия уеб адрес пътува с тях, когато кликнат върху линк към друг сайт. Без нея пълният адрес на страницата, на която са — думи за търсене, номера на акаунти, линкове за нулиране, вътрешни пътеки на страниците — тихо се предава на следващия сайт, на който попадат, включително рекламодатели, анализни фирми и навсякъде другаде, към което линкът сочи. - SPF (Sender Policy Framework)
SPF е редът в настройките на домейна ви, указващ кои пощенски услуги имат право да изпращат имейл от ваше бизнес наименование. Без него, всеки по света може да изпраща имейли, изглеждащи като от вас — а реалният ви имейл е по-вероятно да попадне в нежеланата поща на клиентите. - Заглавки за cross-origin изолация (COOP / CORP / COEP)
Три незадължителни инструкции за браузъра, контролиращи как другите уебсайтове имат право да взаимодействат с вашия — отварянето му в изскачащи прозорци, вграждането на неговите изображения и скриптове или изтеглянето на ресурсите му в собствените им страници. Те са съвременно втвърдяване, а не основна задължителна функция, и в нашата оценка са информационни: липсата им не намалява оценката ви. Но двете безопасни затварят тиха пропаст за фишинг с изскачащи прозорци и кражба на честотна лента, и внимателният IT екип на купувача ще забележи когато са налице. - Защита срещу clickjacking (X-Frame-Options)
Еднолинейна инструкция, казваща на браузърите да не позволяват на други уебсайтове тайно да зареждат вашия сайт вътре в техния. Без нея измамник може да скрие вашите реални влезли страници зад фалшива страница и да подмами клиентите ви да кликват върху неща, за които не са целяли — одобряване на плащане, смяна на парола, предоставяне на достъп. - Защита срещу MIME-sniffing (X-Content-Type-Options)
Еднолинейна заглавка, спираща браузърите да познаят какво реално е един файл. Без нея файл, качен на вашия сайт — или файл на собствените ви страници — може да бъде погрешно прочетен от браузъра и да се изпълни като код, което именно е начинът, по който някои атаки превръщат безвредно изглеждащо качване в начин за кражба на сесиите на клиентите ви. - Здраве на TLS сертификата
Вашият SSL/TLS сертификат е дигиталната лична карта, която доказва, че посетителят наистина говори с вашия уебсайт — а не с измамник — и захранва катинара в браузъра. Тази проверка разглежда дали сертификатът е валиден и доверен, дали не предстои да изтече и дали е изграден със силна, съвременна криптография. - Настройка на nameserver-и (разнообразие и SOA)
Вашите nameserver-и са директорията, която казва на целия интернет къде да намери вашия уебсайт и имейл. Ако всички те се намират в една мрежа и тя падне, вашият бизнес изчезва от интернет едновременно — без сайт, без имейл, нищо — а небрежна настройка на часовника на тези сървъри може да остави промените, които правите, заседнали за дни. - Обратен DNS (PTR)
Обратният DNS е лентата за самоличност на сървъра, който изпраща бизнес имейлите ви. Когато получаващ доставчик като Gmail или Microsoft 365 търси кой стои зад изпращащия адрес и получи потвърдено ниме, вашата поща изглежда легитимна. Когато няма лента — или нимето и номерът не съвпадат — вашите напълно реални фактури и оферти се третират като подозрителни и тихо се изхвърлят или отхвърлят. - Съвременно криптиране (TLS версия и шифри)
TLS е ключалката, скремблираща данните, протичащи между вашите посетители и вашия уебсайт. Две неща правят тази ключалка надеждна: използването на съвременна версия на TLS (а не старите, повредените) и силни шифри (реалната рецепта за скремблиране). Тази страница обхваща и двете — плюс няколко свързани настройки, незасягащи вашата оценка, но заслужаващи да знаете за тях.