Defaults.Exposed › Rettelser › CDN / WAF & hosting

Sådan retter du CDN / WAF & hosting

To læsninger af rørsystemet bag din hjemmeside: om du sidder bag et beskyttende skjold (et CDN med en Web Application Firewall, som Cloudflare) der filtrerer angreb og absorberer trafikstigninger, og et kort over hvem der faktisk kører dit DNS, din hjemmeside og din e-mail. Begge er informative på vores scoring — de bevæger ikke din karakter — men de beskriver, hvor eksponeret din oprindelsesserver er over for angreb og nedbrud, og hvor sammenviklede dine udbydere er. Et skjold foran og et fornuftigt opdelt sæt af udbydere er, hvordan modstandsdygtige virksomheder ser ud.

Det korte svar for din virksomhed: En hjemmeside uden et skjold foran modtager ethvert angreb og enhver trafikspids direkte på oprindelsesserveren — så en bot-oversvømmelse, en kampagnedag-stigning, eller et enkelt automatiseret angreb kan tage dig offline i timer, og opsving er op til dig. At sætte et CDN/WAF foran (gratis tier tilgængeligt) filtrerer det store flertal af automatiserede angreb, absorberer stigninger og fremskynder sitet verden over — typisk en eftermiddags arbejde for din IT-person, til ingen licensomkostning. Separat, bor dit DNS, din hjemmeside og din e-mail alle hos én udbyder, tager en enkelt driftsforstyrrelse eller brud der din hele online tilstedeværelse ned på én gang; at kende dit udbyderkort er det første du behøver ved en hændelse. Ingen af tjekene ændrer din karakter — men begge beskriver reel eksponering over for nedbrud, tabte salg og en langsom, smertefuld opsving.

Hvad dette kan koste dig

• En burst af bot-trafik eller et lille DDoS rammer din ubeskyttede server om morgenen på en stor kampagne — siden halter eller vælter, kunder får fejl ved checkout, og du mister dagens salg, mens din host kæmper med problemet. Et CDN/WAF foran ville have absorberet det.
• Dit DNS, din hjemmeside og din e-mail kører alle igennem én udbyder; den udbyder har en driftsforstyrrelse og din side, dit bookingssystem OG din e-mail mørklægges på samme øjeblik — du kan ikke engang sende 'vi er bevidste om problemet', fordi indbakken er nede.
• Et automatiseret angreb sonderer din side hele natten — SQL-injection og login-gætningsskripter der hamrer din oprindelsesserver direkte, fordi der ikke er noget firewall-lag til at filtrere dem — og du finder kun ud af det, når noget bryder. En WAF blokerer det meste af den støj, inden den nogensinde når din kode.
• En hændelse rammer og ingen kan besvare det grundlæggende spørgsmål 'Hvem ringer vi overhovedet til?' — er hjemmesiden hos den samme host som e-mailen? Hvem kører DNS'et? Timer forsvinder bare med at kortlægge rørene, mens siden er nede.
• Et prospects IT-team scanner dig inden underskrift og ser en bar oprindelsesserver uden CDN/WAF og et lækkende server-versions-header der reklamerer for præcis hvilken software (og version) du kører — et lille 'disse folk har ikke hærdet det grundlæggende'-signal på det værst mulige tidspunkt.

Hvorfor det betyder noget. Begge tjek her er informative på vores metodologi — de er registreret med nul point og ændrer aldrig din karakter — fordi de beskriver din infrastruktur frem for at teste en bestå/fejl-sikkerhedskontrol. Vi viser dem, fordi de kortlægger reel virksomhedseksponering. En side uden CDN/WAF modtager ethvert angreb og enhver trafikspids direkte på oprindelsesserveren, uden filtrering og ingen surgeabsorption; at tilføje et (Cloudflares gratis tier er den gængse vej) er en af de højest-løftestangs, lavest-pris modstandsdygtighedsopgraderinger en lille virksomhed kan foretage. Og et klart udbyderkort — at vide om dit DNS, web og e-mail er delt eller stablet på én udbyder — er det første du behøver, når noget går galt, og forskellen mellem en indeholdt hændelse og en total strømafbrydelse.

Hvad dette er på klart dansk

Enhver hjemmeside kører på en server et sted. Det spørgsmål denne side besvarer er: hvad står mellem det åbne internet og den server — og hvem kører faktisk delene af din online tilstedeværelse?

Der er to dele:

1. CDN / WAF — skjoldet foran. Et CDN (Content Delivery Network) er et globalt netværk der sidder foran din side, serverer dit indhold hurtigt til besøgende overalt, og absorberer trafikstigninger. En WAF (Web Application Firewall) er et filter der inspicerer indgående anmodninger og blokerer de ondsindede inden de når din server. De populære tjenester (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri og andre) bundler disse sammen. Vi kigger på din sides svar og rapporterer, om vi kan se et skjold foran — og vi noterer, hvilken webserver du kører, også.

2. Hosting / udbyderkort — hvem kører dit rørsystem. Vi læser de offentlige records der siger, hvem der håndterer dit DNS (telefonbogen der omsætter dit domæne til en adresse), og hvem der håndterer din e-mail. Herfra kan vi se, om dit DNS, din hjemmeside og din e-mail er delt på tværs af udbydere (modstandsdygtig) eller stablet på én (bekvemt, men et enkelt fejlpunkt).

Det vigtigste at vide på forhånd: på vores scoring er begge disse informative. De påvirker ikke din karakter.

Hvad dette kan koste dig

• Slået offline på den dag det tæller mest. Din side sidder på oprindelsesserveren med intet foran den. Om morgenen på en kampagne stiger trafikken — eller en beskeden bot-oversvømmelse rammer — og serveren kan ikke klare det. Sider timer ud, checkoutet fejler, og du mister dagens omsætning. Et CDN absorberer stigninger og en WAF filtrerer skrald-trafikken; sammen er de forskellen på “travl dag” og “nede hele morgenen.”

• Alt mørklægges på én gang. Dit DNS, din hjemmeside og din e-mail kører alle igennem én udbyder. Den udbyder har en driftsforstyrrelse (det sker for dem alle til sidst) og din side, dit bookingssystem og din e-mail forsvinder på samme tid. Du kan ikke behandle ordrer, og du kan ikke engang e-maile kunder om at sige, at du er bevidst — for indbakken er nede. At dele udbydere betyder, at én fejl er indeholdt, ikke total.

• Din kode modtager ethvert angreb direkte. Uden WAF rammer enhver automatiseret sonde — injektionsforsøg, login-gætning, kendte-exploit-scannere — din applikationskode uden filtrering. Du vedder på, at din software er fejlfri og fuldt patchet, for evigt. En WAF blokerer det overvældende flertal af den automatiserede støj inden den når dig.

• En langsom, panisk hændelse fordi ingen har kortet. Noget bryder og den første time spilds på “vent, hvem kører vores DNS? Er e-mail på den samme host? Hvem ringer vi til?” Kendes dit udbyderkort på forhånd, forvandler det en scramble til et telefonopkald.

• Et dårligt første indtryk til en omhyggelig køber. Et prospects IT-team scanner dig inden underskrift og ser en bar oprindelsesserver uden CDN/WAF — og et server-header der åbent reklamerer for din præcise software og version.

Hvad det faktisk er

CDN / WAF — beskyttelseslaget

Når en besøgende (eller en angriber) anmoder din side, kan anmodningen enten gå direkte til din oprindelsesserver, eller den kan gå igennem et CDN/WAF først. Er der et skjold foran, kan det skjold:

• Filtrere ondsindede anmodninger (WAF-delen): blokere injektionsforsøg, bot-angreb og kendte udnyttelsesmønstre inden de nogensinde når din kode.
• Absorbere trafik (CDN-delen): serve cachet indhold fra servere tæt på enhver besøgende og absorbere stigninger, så en spike — legitim eller fjendtlig — ikke knuser din oprindelsesserver.
• Fremskynde siden: indhold leveret fra en nærliggende edge-server indlæses hurtigere for besøgende verden over.

Vi opdager et skjold ved at kigge på de fingeraftryk disse tjenester efterlader i din sides svar-headers — for eksempel et cf-ray-header (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), eller x-sucuri-id (Sucuri).

Hvad “godt” ser ud som: et CDN/WAF opdaget foran din oprindelsesserver, og et Server-header der ikke reklamerer for et specifikt versionsnummer.

Hosting / udbyderkort — dine infrastrukturafhængigheder

Dit domæne peger stille på flere forskellige tjenester:

• DNS — telefonbogen der omsætter dinvirksomhed.com til den faktiske serveradresse. Vi læser dine nameserver (NS)-records og genkender gængse udbydere (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner og regionale registrarer iblandt dem).
• E-mail — hvor din post håndteres. Vi læser dine MX-records og genkender gængse udbydere (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho og andre).

Herfra kan vi se, om disse ansvarsområder er delt på tværs af udbydere (en fejl i ét tager ikke de andre ned) eller stablet på én udbyder (bekvemt, men én driftsforstyrrelse eller brud tager alt).

Hvad “godt” ser ud som: som minimum DNS holdt af en dedikeret, pålidelig udbyder frem for bundtet ind i den samme konto som alt andet.

Sådan fikser du det (gratis, ~1 eftermiddag)

Overrækk dette til din IT-person eller webudvikler — fikset er gratis. At sætte et CDN/WAF foran din side koster ingenting på de gængse gratis tiers, og at undertrykke din serverversion er en ét-linjes indstilling. Ejeren behøver kun at beslutte: ja, sæt et skjold foran siden.

Fordi begge tjek er informative er intet af dette scoret — men et CDN/WAF er en af de højeste-pris-opgraderinger en lille virksomhed kan foretage, så det er værd at gøre.

1. Sæt et CDN/WAF foran din side

Den mest gængse, gratis vej er Cloudflare:

1. Opret en gratis Cloudflare-konto og tilføj dit domæne.
2. Cloudflare læser dine eksisterende DNS-records; tjek at de importerede korrekt.
3. Skift dit domænes nameservere (hos din registrar) til de to Cloudflare giver dig. Det er det skift der ruter trafik igennem Cloudflare.
4. Sæt SSL/TLS-tilstand til Full (strict) så kryptering forbliver end-to-end mellem besøgende → Cloudflare → din oprindelsesserver. (Undgå “Flexible”, der efterlader det sidste ben ukrypteret.)
5. CDN’et og en baseline WAF er nu aktive.

Andre veje afhængigt af din stack:

• AWS CloudFront — opret en distribution der peger på din oprindelsesserver; par med AWS WAF til filtrering.
• Sucuri WAF — DNS-baseret, kræver ingen ændringer på din server; god hvis du ikke kan røre oprindelsesserveren.
• Fastly / Akamai — enterprise-grade CDN’er/WAF’er, typisk for større eller højere-trafik-sider.

2. Stop med at reklamere for din serverversion

Om du tilføjer et CDN eller ej, undertryk den version din server annoncerer.

Nginx:

server_tokens off;

Apache (i hovedkonfigurationen):

ServerTokens Prod
ServerSignature Off

Fjern et over-delt X-Powered-By-header (for eksempel fra PHP eller et app-framework) på server- eller CDN-niveau.

3. Sanitetstjek dit udbyderkort (valgfrit, ~10 minutter)

Kig på, hvor dit DNS, din hjemmeside og din e-mail faktisk bor:

• Sidder alle tre i én udbyderkonti, overvej i hvert fald at flytte DNS til en dedikeret udbyder (Cloudflare DNS er gratis og hurtigt). Den enkle opdeling betyder, at dit domænes telefonbog overlever en hosting-driftsforstyrrelse.
• Skriv kortet ned — DNS-udbyder, webhost, e-mailudbyder, registrar og login/supportkontakten for hver. Denne ene side er det mest nyttige du kan have foran dig ved en hændelse.

Platform-noter

• Google Workspace / Microsoft 365: disse er dine e-mail-udbydere, ikke din hjemmeside. At sætte et CDN/WAF foran hjemmesiden rører ikke e-mailen, og omvendt.
• Administrerede site-byggere (Wix, Squarespace, Shopify): disse inkluderer deres eget CDN og et niveau af WAF-beskyttelse som del af platformen, så du kan allerede være beskyttet, selv om vores header-tjek ikke navngiver en udbyder.
• WordPress på din egen hosting: ideelt kandidat til et gratis Cloudflare-lag foran.

Almindelige fejl

• At køre en bar oprindelsesserver “fordi sitet er lille.” Små sider rammes af de samme automatiserede angreb og bot-oversvømmelser som store — botterne tjekker ikke din omsætning først. Den gratis CDN/WAF-tier eksisterer præcis til små sider.
• At bruge Cloudflare “Flexible” SSL. Det viser en hængelås men efterlader forbindelsen mellem Cloudflare og din oprindelsesserver ukrypteret. Brug altid Full (strict).
• At cache de forkerte ting. At aggressivt cache indloggede sider, kurve eller checkouts kan vise én kundes indhold til en anden. Cache statisk indhold; lad personaliserede og transaktionssider stå uncachet.
• At stable alt hos én udbyder uden at indse det. Bekvemmelighed er fint, hvis det er et bevidst valg — men mange virksomheder opdager kun, at DNS, web og e-mail deler én konto, under den driftsforstyrrelse der tager alle tre ned.
• At lade serverversionen stå på skærmen. Det er et gratis, ét-linjes hærgningstrin der er let at glemme.

En note om karakter

For at sige det fuldstændig klart: ingen af disse tjek påvirker din karakter. De er registreret i vores metodologi som informative, med nul point, og vi straffer dig aldrig for en ubeskyttet oprindelsesserver eller en enkelt-udbyder-opsætning. Vi rapporterer dem, fordi de beskriver reel eksponering over for nedbrud, angreb og langsom hændelsesopsving — og fordi at tilføje et gratis CDN/WAF er en af de bedste-pris-opgraderinger en lille virksomhed kan foretage. Gør du intet her, er din karakter uændret. Sætter du et skjold foran din side og deler dit DNS af, har du gjort virksomheden meningsfuldt mere modstandsdygtig for gratis. Sådan bør du læse denne side: ikke et tal at forsvare, men en modstandsdygtighedsopgradering der er værd at foretage.

FAQ