Defaults.Exposed › رفع اشکالها
امنیت دامنهٔ خود را رفع کنید — راهنماهای گامبهگام رایگان
راهنماهایی به زبان ساده برای رفع هر مشکلی که ما نمرهگذاری میکنیم — SPF، DKIM، DMARC، DNSSEC، TLS، گواهیها و سرآیندهای امنیتی HTTP. هر کدام توضیح میدهد که چیست، چه هزینهای میتواند برای کسبوکار شما داشته باشد و دقیقاً چگونه آن را نزد ارائهدهندهتان راهاندازی کنید.
- CAA records
یک رکورد CAA یک دستورالعمل کوتاه در تنظیمات دامنهی شما است که نام میبرد کدام شرکتهای گواهینامه مجاز هستند گواهینامهی امنیتی 'قفل' وبسایت شما را صادر کنند. با روشن بودن آن، هیچ شرکت دیگری نمیتواند بهآرامی یک گواهینامهی معتبر به نام شما ایجاد کند. - CDN / WAF & hosting
دو بررسی از لولهکشی پشت وبسایت شما: آیا پشت یک سپر محافظ (یک CDN با یک Web Application Firewall، مثل Cloudflare) هستید که حملات را فیلتر میکند و spikes ترافیکی را جذب میکند، و یک نقشه از اینکه واقعاً چه کسی DNS، وبسایت و ایمیل شما را اجرا میکند. هر دو در نمرهگذاری ما اطلاعاتی هستند — نمرهی شما را تغییر نمیدهند — اما توضیح میدهند چقدر سرور اصلی شما در برابر حمله و خرابی در معرض خطر است، و ارائهدهندگانتان چقدر درهم تنیده هستند. یک سپر جلو و یک مجموعهی ارائهدهندگان معقول تفکیک شده همان چیزی است که کسبوکارهای resilient به نظر میرسند. - Clickjacking protection (X-Frame-Options)
یک دستورالعمل یکخطی که به مرورگرها میگوید اجازه ندهند وبسایتهای دیگر سایت شما را بهآرامی داخل خودشان بارگذاری کنند. بدون آن، یک کلاهبردار میتواند صفحات واقعی و login شدهی شما را پشت یک صفحهی جعلی پنهان کند و مشتریان را فریب دهد که روی چیزهایی کلیک کنند که هرگز قصد نداشتند — تأیید پرداخت، تغییر رمز عبور، اعطای دسترسی. - Content-Security-Policy (CSP)
یک Content Security Policy یک قانون امنیتی است که وبسایت شما به مرورگر هر بازدیدکننده میدهد و به آن میگوید دقیقاً کدام کدها مجاز هستند اجرا شوند. بدون آن، اگر چیز مخربی روی یک صفحه قرار گیرد — از طریق یک کادر نظر، یک پلاگین هک شده، یا یک اسکریپت شخص ثالث — مرورگر آن را آزادانه اجرا میکند، از جمله کدی که بهآرامی شمارههای کارت و رمزهای عبور مشتریان شما را هنگام تایپ میکشد، در حالی که قفل همچنان نمایش میدهد. - Cross-origin isolation headers (COOP / CORP / COEP)
سه دستورالعمل اختیاری مرورگر که کنترل میکنند سایتهای دیگر چگونه مجاز هستند با سایت شما تعامل داشته باشند — باز کردن آن در popup ها، تعبیه کردن تصاویر و اسکریپتهایش، یا کشیدن منابعش به صفحات خودشان. آنها سختگیری مدرن هستند، نه یک الزام اساسی، و در نمرهگذاری ما اطلاعاتی هستند: نداشتنشان نمرهی شما را پایین نمیآورد. اما دو تای امن آنها یک شکاف فیشینگ popup آرام و سرقت پهنای باند را میبندند، و تیم IT یک خریدار دقیق متوجه حضورشان میشود. - DKIM
DKIM مهر ضد دستکاری نامرئی روی هر ایمیلی است که کسبوکار شما ارسال میکند. به ارائهدهندهی ایمیل دریافتکننده اجازه میدهد تأیید کند که ایمیل واقعاً از شما آمده و تغییری نخورده. بدون آن، ایمیل شما راحتتر جعل میشود، راحتتر تغییر میکند، و بسیار بیشتر احتمال دارد در اسپم قرار بگیرد. - DMARC (Email Spoofing Protection)
DMARC تنها تنظیمی است که واقعاً به ارائهدهندگان ایمیل دنیا میگوید ایمیلهایی که نام کسبوکار شما را جعل میکنند را بلاک کنند. SPF و DKIM قفلها را بررسی میکنند؛ DMARC تصمیم میگیرد وقتی یک جعل از بررسی شکست میخورد چه اتفاقی بیفتد — آن را دور بینداز، علامتگذاری کن، یا اجازه بده رد شود. اگر اشتباه تنظیم شود، دامنهی شما کاملاً قابل جعل است؛ اگر درست تنظیم شود، جعل هویت در صندوق ورودی متوقف میشود. - DNSSEC
DNSSEC یک مهر دیجیتال روی دفترچه آدرس دامنهی شما است. به اینترنت اجازه میدهد ثابت کند پاسخ به «این دامنه کجا زندگی میکند؟» واقعاً از شما آمده و در راه دستکاری نشده. بدون آن، پاسخ میتواند جعل شود — و بازدیدکنندگانتان بهآرامی جای دیگری فرستاده شوند. - HSTS (Strict-Transport-Security)
HSTS یک دستورالعمل یکخطی است که وبسایت شما به هر مرورگر میدهد: 'همیشه از طریق اتصال امن و رمزگذاری شده پیش من برگرد — هرگز از طریق ناامن.' بدون آن، قفل شما میتواند روی WiFi مشترک بهآرامی کنده شود، و اولین بازدید به سایت شما در معرض خطر است. - HTTPS & forced-secure redirect
HTTPS قفل در نوار مرورگر است — همه چیزی که بین وبسایت و مشتریان شما جابجا میشود را رمزگذاری میکند تا در حین انتقال نتوان آن را خواند یا دستکاری کرد. تغییر مسیر اجباری-امن مطمئن میشود که بازدیدکنندگان حتی وقتی آدرس شما را بدون 'https://' تایپ میکنند به طور خودکار روی آن نسخهی رمزگذاری شده میافتند. با هم اساسیترین چیزی هستند که یک وبسایت باید برای امن به نظر رسیدن داشته باشد. - IPv6 support
IPv6 نسخهی جدیدتر و بسیار بزرگتر سیستم آدرسدهی اینترنت است که چون نسخهی قدیمی (IPv4) جا تمام کرده آورده شده. اضافه کردن پشتیبانی IPv6 یعنی وبسایت و ایمیل شما میتوانند علاوه بر شبکهی قدیمی از طریق شبکهی مدرن هم دسترسی داشته باشند. در نمرهگذاری ما این اطلاعاتی است — نداشتنش نمرهی شما را پایین نمیآورد — اما یک مشکل دسترسی واقعی دنیای واقعی است: بخش فزایندهای از مشتریان موبایل و خارج از کشور از شبکههای IPv6-only وصل میشوند، و فقط اگر آن را پشتیبانی کنید بهآرامی به شما میرسند. رفع رایگان است و در تنظیمات DNS و هاستینگ شما قرار دارد. - MIME-sniffing protection (X-Content-Type-Options)
یک header یکخطی که از حدس زدن مرورگر دربارهی اینکه یک فایل واقعاً چیست جلوگیری میکند. بدون آن، فایلی که کسی به سایت شما آپلود میکند — یا یک فایل روی صفحات خودتان — میتواند توسط مرورگر اشتباه خوانده شده و به عنوان کد اجرا شود، که دقیقاً نحوهی تبدیل برخی حملات از یک آپلود بیخطر به روشی برای دزدیدن session های مشتریان شما است. - Modern encryption (TLS version & ciphers)
TLS قفلی است که دادههای جاری بین بازدیدکنندگان و وبسایت شما را رمزگذاری میکند. دو چیز آن قفل را قابل اعتماد میکند: استفاده از نسخهی مدرن TLS (نه نسخههای قدیمی و شکسته)، و استفاده از cipher های قوی (دستورالعمل رمزگذاری واقعی). این صفحه هر دو را پوشش میدهد — به علاوه چند تنظیم مرتبط که بر نمرهی شما تأثیر نمیگذارند اما ارزش دانستن دارند. - MX Records (Mail Setup)
رکورد MX تابلویی است که به بقیهی دنیا میگوید ایمیلهای ارسال شده به دامنهی شما را کجا تحویل دهد. اگر گمشده یا خراب باشد، هر پیامی که به کسبوکار شما فرستاده میشود — استعلام مشتری، بازنشانی رمز عبور، فاکتور، قرارداد — بلافاصله به فرستنده برمیگردد. بدون MX، صندوق ورودی نخواهید داشت. - Nameserver setup (diversity & SOA)
Nameserver های شما دایرکتوری هستند که به کل اینترنت میگویند وبسایت و ایمیل شما کجاست. اگر همه روی یک شبکه باشند و آن شبکه خراب شود، کسبوکار شما همزمان از اینترنت ناپدید میشود — هیچ سایت، هیچ ایمیل، هیچ چیز — و یک تنظیم غلط ساعت روی آن سرورها میتواند تغییراتی که انجام میدهید را برای روزها گیر نگه دارد. - Referrer-Policy
Referrer-Policy یک دستورالعمل یکخطی است که وبسایت شما به مرورگر هر بازدیدکننده میدهد و کنترل میکند وقتی روی یک لینک به سایت دیگری کلیک میکنند چه مقدار از آدرس وب صفحهی شما همراهشان میرود. بدون آن، آدرس کامل صفحهای که روی آن بودند — عبارتهای جستجو، شمارهی حساب، لینکهای بازنشانی، مسیرهای صفحات داخلی و همه چیز — بهآرامی به سایت بعدی که میرسند، از جمله تبلیغدهندگان، شرکتهای analytics، و هر جایی که لینک نشان میدهد، داده میشود. - Reverse DNS (PTR)
Reverse DNS کارت شناسایی سروری است که ایمیل کسبوکار شما را ارسال میکند. وقتی یک ارائهدهندهی دریافتکننده مثل Gmail یا Microsoft 365 بررسی میکند پشت آدرس فرستنده چه کسی است و نامی قابل تأیید دریافت میکند، ایمیل شما مشروع به نظر میرسد. وقتی کارت شناسایی ندارد — یا نام و شماره مطابقت ندارند — فاکتورها و پیشنهادهای کاملاً واقعی شما مشکوک تلقی میشوند و بهآرامی اسپمگذاری یا رد میشوند. - SPF (Sender Policy Framework)
SPF یک خط در تنظیمات دامنهی شماست که مشخص میکند کدام سرویسهای ایمیل مجاز هستند از طرف کسبوکار شما ایمیل ارسال کنند. بدون آن، هر کسی در دنیا میتواند ایمیلی ارسال کند که به نظر میرسد از طرف شما آمده — و ایمیلهای واقعی شما بیشتر احتمال دارد در اسپم مشتریان قرار بگیرد. - TLS certificate health
گواهینامهی SSL/TLS کارت شناسایی دیجیتالی است که ثابت میکند بازدیدکننده واقعاً با وبسایت شما در ارتباط است — نه یک جاعل — و قفل مرورگر را فعال میکند. این بررسی میبیند آیا آن گواهینامه معتبر و قابل اعتماد است، در آستانهی انقضا نیست، و با رمزنگاری قوی و مدرن ساخته شده.