Defaults.Exposed › Διορθώσεις
Διορθώστε την ασφάλεια του τομέα σας — δωρεάν οδηγοί βήμα προς βήμα
Οδηγοί σε απλή γλώσσα για τη διόρθωση κάθε ζητήματος που βαθμολογούμε — SPF, DKIM, DMARC, DNSSEC, TLS, πιστοποιητικά και κεφαλίδες ασφαλείας HTTP. Καθένας εξηγεί τι είναι, τι μπορεί να κοστίσει στην επιχείρησή σας και ακριβώς πώς να το ρυθμίσετε στον πάροχό σας.
- CDN / WAF και φιλοξενία
Δύο αναγνώσεις της υδραυλικής πίσω από τον ιστότοπό σας: αν κάθεστε πίσω από προστατευτική ασπίδα (CDN με Web Application Firewall, όπως Cloudflare) που φιλτράρει επιθέσεις και απορροφά κορυφές κίνησης, και χάρτης ποιος εκτελεί στ' αλήθεια το DNS, ιστότοπο και email σας. Και τα δύο είναι πληροφοριακά στη βαθμολογία μας — δεν μεταβάλλουν τη βαθμολογία σας — αλλά περιγράφουν πόσο εκτεθειμένος είναι ο origin server σας σε επίθεση και διακοπή. - Content-Security-Policy (CSP)
Μια Content Security Policy είναι κανόνας ασφαλείας που ο ιστότοπός σας παραδίδει στο πρόγραμμα περιήγησης κάθε επισκέπτη, λέγοντάς του ακριβώς ποιος κώδικας επιτρέπεται να εκτελεστεί. Χωρίς αυτήν, αν κάτι κακόβουλο καταλήξει ποτέ σε μια σελίδα — μέσω πεδίου σχολίου, χακαρισμένου plugin ή script τρίτου — το πρόγραμμα περιήγησης θα το εκτελέσει ελεύθερα, συμπεριλαμβανομένου κώδικα που αθόρυβα αντιγράφει αριθμούς κάρτας και κωδικούς των πελατών σας καθώς πληκτρολογούν, με το λουκέτο ακόμα να εμφανίζεται. - DKIM
Το DKIM είναι η αόρατη, αδύνατο-να-παραβιαστεί σφραγίδα σε κάθε email που στέλνει η επιχείρησή σας. Επιτρέπει στον πάροχο αλληλογραφίας λήψης να επιβεβαιώσει ότι το email προήλθε πραγματικά από εσάς και έφτασε αναλλοίωτο. Χωρίς αυτό, το email σας είναι πιο εύκολο να πλαστογραφηθεί, πιο εύκολο να αλλοιωθεί, και πολύ πιο πιθανό να καταλήξει σε spam ή να απορριφθεί εντελώς. - DMARC (Προστασία κατά Πλαστοπροσωπίας Email)
Το DMARC είναι η μία ρύθμιση που λέει στ' αλήθεια στους παρόχους αλληλογραφίας του κόσμου να ΜΠΛΟΚΑΡΟΥΝ emails που πλαστογραφούν το όνομα της επιχείρησής σας. Το SPF και το DKIM ελέγχουν τις κλειδαριές· το DMARC αποφασίζει τι συμβαίνει όταν μια πλαστογραφία αποτυγχάνει τον έλεγχο — πέταξέ το, σημείωσέ το, ή άφησέ το να περάσει. Λανθασμένα ρυθμισμένο, το domain σας είναι πλήρως πλαστογραφήσιμο· σωστά ρυθμισμένο, η πλαστοπροσωπία σταματά στα εισερχόμενα. - DNSSEC
Το DNSSEC είναι μια ψηφιακή σφραγίδα στο βιβλίο διευθύνσεων του domain σας. Επιτρέπει στο internet να αποδείξει ότι η απάντηση στο «πού βρίσκεται αυτό το domain;» πραγματικά ήρθε από εσάς και δεν παραποιήθηκε στη διαδρομή. Χωρίς αυτό, η απάντηση μπορεί να πλαστογραφηθεί — και οι επισκέπτες σας να σταλούν αθόρυβα κάπου αλλού. - Headers απομόνωσης cross-origin (COOP / CORP / COEP)
Τρεις προαιρετικές οδηγίες browser που ελέγχουν πώς επιτρέπεται σε άλλους ιστότοπους να αλληλεπιδρούν με τον δικό σας — ανοίγοντάς τον σε παράθυρα popup, ενσωματώνοντας εικόνες και scripts ή αντλώντας τα resources του στις δικές τους σελίδες. Είναι σύγχρονη σκλήρυνση, όχι βασικό must-have, και στη βαθμολογία μας είναι πληροφοριακές: η απουσία τους δεν μειώνει τη βαθμολογία σας. Αλλά οι δύο ασφαλείς κλείνουν ένα αθόρυβο κενό phishing και κλοπής εύρους ζώνης, και μια προσεκτική ομάδα ΙΤ αγοραστή θα το παρατηρήσει όταν υπάρχουν. - HSTS (Strict-Transport-Security)
Το HSTS είναι μια οδηγία μιας γραμμής που ο ιστότοπός σας δίνει σε κάθε πρόγραμμα περιήγησης: 'επίστρεψε πάντα σε εμένα μέσω της ασφαλούς, κρυπτογραφημένης σύνδεσης — ποτέ μέσω της ανασφαλούς.' Χωρίς αυτό, το λουκέτο σας μπορεί να αφαιρεθεί αθόρυβα σε κοινόχρηστο WiFi, και η πρώτη επίσκεψη στον ιστότοπό σας μένει εκτεθειμένη. - HTTPS και αναγκαστική ασφαλής ανακατεύθυνση
Το HTTPS είναι το λουκέτο στη γραμμή διεύθυνσης του προγράμματος περιήγησης — κρυπτογραφεί όλα όσα ταξιδεύουν μεταξύ ιστότοπου και πελατών ώστε να μην μπορούν να διαβαστούν ή παραβιαστούν κατά τη μεταφορά. Η αναγκαστική ασφαλής ανακατεύθυνση διασφαλίζει ότι οι επισκέπτες καταλήγουν αυτόματα σε αυτή την κρυπτογραφημένη έκδοση, ακόμα και όταν πληκτρολογούν τη διεύθυνσή σας χωρίς 'https://'. Μαζί αποτελούν το πιο βασικό πράγμα που χρειάζεται ένας ιστότοπος για να θεωρείται ασφαλής. - MX Records (Ρύθμιση Αλληλογραφίας)
Μια εγγραφή MX είναι η πινακίδα που λέει στον υπόλοιπο κόσμο πού να παραδώσει email που απευθύνεται στο domain σας. Αν λείπει ή είναι κατεστραμμένη, κάθε μήνυμα που αποστέλλεται στην επιχείρησή σας — ερωτήματα πελατών, επαναφορές κωδικών, τιμολόγια, συμβόλαια — αναπηδά αμέσως πίσω στον αποστολέα. Χωρίς MX, χωρίς inbox. - Referrer-Policy
Μια Referrer-Policy είναι μια οδηγία μιας γραμμής που ο ιστότοπός σας παραδίδει στο πρόγραμμα περιήγησης κάθε επισκέπτη, ελέγχοντας πόσο από τη web διεύθυνσή σας ταξιδεύει μαζί τους όταν κάνουν κλικ σε σύνδεσμο προς άλλο ιστότοπο. Χωρίς αυτήν, η πλήρης διεύθυνση της σελίδας στην οποία βρίσκονταν — όροι αναζήτησης, αριθμοί λογαριασμού, συνδέσμοι επαναφοράς, εσωτερικά μονοπάτια σελίδων — αθόρυβα παραδίδεται στον επόμενο ιστότοπο που καταλήγουν, συμπεριλαμβανομένων διαφημιστών, αναλυτικών εταιρειών και οπουδήποτε αλλού δείχνει ένας σύνδεσμος. - Reverse DNS (PTR)
Το Reverse DNS είναι η ταυτότητα του διακομιστή που στέλνει το email της επιχείρησής σας. Όταν ένας πάροχος λήψης όπως Gmail ή Microsoft 365 αναζητά ποιος βρίσκεται πίσω από τη διεύθυνση αποστολής και λάβει όνομα που επαληθεύεται, το email σας φαίνεται νόμιμο. Όταν δεν υπάρχει ταυτότητα — ή το όνομα και ο αριθμός δεν συμφωνούν — τα απόλυτα πραγματικά τιμολόγια και προσφορές σας αντιμετωπίζονται ως ύποπτα και αθόρυβα απορρίπτονται ή ποτέ δεν παραδίδονται. - SPF (Sender Policy Framework)
Το SPF είναι η εγγραφή στις ρυθμίσεις του domain σας που καθορίζει ποιες υπηρεσίες αλληλογραφίας επιτρέπεται να στέλνουν email εκ μέρους της επιχείρησής σας. Χωρίς αυτό, οποιοσδήποτε στον κόσμο μπορεί να στείλει email που φαίνεται να προέρχεται από εσάς — και τα γνήσια email σας είναι πιο πιθανό να καταλήξουν στα spam των πελατών. - Εγγραφές CAA
Μια εγγραφή CAA είναι μια σύντομη οδηγία στις ρυθμίσεις domain σας που ονομάζει ποιες εταιρείες πιστοποιητικών επιτρέπεται να εκδίδουν το πιστοποιητικό ασφαλείας 'λουκέτο' για τον ιστότοπό σας. Με αυτό ενεργοποιημένο, καμία άλλη εταιρεία δεν μπορεί να δημιουργήσει αθόρυβα έγκυρο πιστοποιητικό στο όνομά σας. - Προστασία clickjacking (X-Frame-Options)
Μια οδηγία μιας γραμμής που λέει στα προγράμματα περιήγησης να μην επιτρέπουν σε άλλους ιστότοπους να φορτώνουν αθόρυβα τον ιστότοπό σας μέσα στον δικό τους. Χωρίς αυτό, ένας απατεώνας μπορεί να κρύψει τις πραγματικές, συνδεδεμένες σελίδες σας πίσω από ψεύτικη σελίδα και να εξαπατήσει τους πελάτες σας να κάνουν κλικ σε πράγματα που δεν σκοπεύαν — εγκρίνοντας πληρωμή, αλλάζοντας κωδικό, χορηγώντας πρόσβαση. - Προστασία MIME-sniffing (X-Content-Type-Options)
Μια header μιας γραμμής που σταματά τα προγράμματα περιήγησης από το να μαντεύουν τι είναι πραγματικά ένα αρχείο. Χωρίς αυτή, ένα αρχείο που κάποιος ανεβάζει στον ιστότοπό σας — ή ένα αρχείο στις δικές σας σελίδες — μπορεί να διαβαστεί λανθασμένα από το πρόγραμμα περιήγησης και να εκτελεστεί ως κώδικας, που είναι ακριβώς πώς κάποιες επιθέσεις μετατρέπουν ένα αθώα φαινόμενο αρχείο ανεβάσματος σε τρόπο κλοπής sessions των πελατών σας. - Ρύθμιση nameserver (διαφορετικότητα και SOA)
Οι nameservers σας είναι ο κατάλογος που λέει σε ολόκληρο το internet πού να βρει τον ιστότοπο και το email σας. Αν όλοι κάθονται σε ένα δίκτυο και αυτό πέσει, η επιχείρησή σας εξαφανίζεται από το internet την ίδια στιγμή — δεν υπάρχει ιστότοπος, δεν υπάρχει email, τίποτα — και μια χαλαρή ρύθμιση ρολογιού σε αυτούς τους servers μπορεί να αφήνει αλλαγές που κάνετε κολλημένες για μέρες. - Σύγχρονη κρυπτογράφηση (έκδοση TLS και ciphers)
Το TLS είναι η κλειδαριά που κρυπτογραφεί τα δεδομένα που ρέουν μεταξύ επισκεπτών και ιστότοπου. Δύο πράγματα κάνουν αυτή την κλειδαριά αξιόπιστη: η χρήση σύγχρονης έκδοσης TLS (όχι των παλαιών, σπασμένων) και η χρήση ισχυρών ciphers (η πραγματική συνταγή κρυπτογράφησης). Αυτή η σελίδα καλύπτει και τα δύο — συν μερικές σχετικές ρυθμίσεις που δεν επηρεάζουν τη βαθμολογία σας αλλά αξίζει να γνωρίζετε. - Υγεία TLS πιστοποιητικού
Το SSL/TLS πιστοποιητικό σας είναι η ψηφιακή ταυτότητα που αποδεικνύει ότι ο επισκέπτης μιλά πραγματικά με τον ιστότοπό σας — όχι με απομίμηση — και τροφοδοτεί το λουκέτο στο πρόγραμμα περιήγησης. Αυτός ο έλεγχος εξετάζει αν αυτό το πιστοποιητικό είναι έγκυρο και αξιόπιστο, δεν πρόκειται να λήξει σύντομα, και κατασκευάστηκε με ισχυρή, σύγχρονη κρυπτογραφία. - Υποστήριξη IPv6
Το IPv6 είναι η νεότερη, πολύ μεγαλύτερη έκδοση του συστήματος διευθυνσιοδότησης του internet, που εισήχθη επειδή το παλιό (IPv4) έχει εξαντλήσει χώρο. Η προσθήκη υποστήριξης IPv6 σημαίνει ότι ο ιστότοπος και το email σας μπορούν να προσεγγιστούν μέσω του σύγχρονου δικτύου όπως και του παλιού. Στη βαθμολογία μας αυτό είναι πληροφοριακό — η μη κατοχή του δεν μειώνει τη βαθμολογία σας — αλλά είναι πραγματικό ζήτημα πρόσβασης: ένα αυξανόμενο τμήμα πελατών σε κινητό και εξωτερικό συνδέεται μέσω δικτύων μόνο-IPv6.