Defaults.Exposed › תיקונים
תקנו את אבטחת הדומיין שלכם — מדריכים חינמיים צעד אחר צעד
מדריכים בשפה פשוטה לתיקון כל בעיה שאנו מדרגים — SPF, DKIM, DMARC, DNSSEC, TLS, תעודות וכותרות אבטחת HTTP. כל אחד מסביר מה זה, כמה זה עלול לעלות לעסק שלכם, וכיצד בדיוק להגדיר את זה אצל הספק שלכם.
- CDN / WAF ואירוח
שני קריאות של האינסטלציה מאחורי האתר שלך: האם אתה יושב מאחורי מגן מגן (CDN עם Web Application Firewall, כמו Cloudflare) שמסנן תקפות ובולע קפיצות תנועה, ומפת מי מריץ בפועל את ה-DNS, האתר והאימייל שלך. שניהם אינפורמטיביים בניקוד שלנו — הם לא מזיזים את הציון שלך — אבל הם מתארים עד כמה שרת המקור שלך חשוף לתקפה ולהפסקה, וכמה שזורים הספקים שלך. מגן לפנים וקבוצת ספקים מחולקת נבונה הוא כיצד עסקים חסינים נראים. - Content-Security-Policy (CSP)
מדיניות אבטחת תוכן היא רשימת כללים קצרה שהאתר שלך מצרף לכל עמוד, שאומרת לדפדפן של כל מבקר בדיוק איזה קוד מותר להריץ. ללא מדיניות כזו, אם משהו זדוני אי פעם מגיע לדף — דרך שדה הערות, תוסף שנפרץ, או סקריפט של צד שלישי — הדפדפן יריץ אותו בחופשיות, כולל קוד שבשקט קולט את מספרי הכרטיסים והסיסמאות של לקוחותיך בזמן שהם מקלידים, עם המנעול עדיין מוצג. - DKIM
DKIM הוא חותם בלתי ניתן לזיוף שמוצמד לכל מייל שהעסק שלך שולח. הוא מאפשר לספק הדואר המקבל לאשר שהמייל הגיע באמת ממך ולא שונה בדרך. בלעדיו, הדואר שלך קל יותר לזייף, קל יותר לשנות, ונוטה הרבה יותר לנחות בספאם. - DMARC (הגנת זיוף דואר)
DMARC היא ההגדרה האחת שבאמת אומרת לספקי הדואר של העולם לחסום מיילים שמזייפים את שם העסק שלך. SPF ו-DKIM בודקים את הנעילות; DMARC מחליט מה קורה כשזיוף נכשל בבדיקה — לזרוק, לסמן, או לאפשר מעבר. מוגדר בצורה שגויה, הדומיין שלך פתוח לחלוטין לזיוף; מוגדר נכון, התחזות נעצרת בתיבת הדואר. - DNSSEC
DNSSEC הוא חותמת דיגיטלית על ספר כתובות הדומיין שלך. הוא מאפשר לאינטרנט להוכיח שהתשובה ל'היכן חי הדומיין הזה?' הגיעה ממך באמת ולא נחבלה בדרך. ללא זה, התשובה יכולה להיות מזויפת — והמבקרים שלך נשלחים בשקט למקום אחר. - HSTS (Strict-Transport-Security)
HSTS היא הוראה בשורה אחת שהאתר שלך נותן לכל דפדפן: 'חזור אלי תמיד דרך החיבור המאובטח והמוצפן — לא דרך הלא מאובטח.' בלעדיה, המנעול שלך יכול להיחטף בשקט ב-Wi-Fi משותפת, והביקור הראשון הראשון לאתר שלך חשוף. - HTTPS והפניית-חיבור-מאובטח מאולצת
HTTPS הוא המנעול בשורת הכתובת של הדפדפן — הוא מצפין כל דבר שעובר בין האתר שלך ולקוחותיך כך שלא ניתן לקרוא אותו או לשנות אותו בזמן שידור. ההפניה-המאולצת מוודאת שמבקרים יגיעו לגרסה המוצפנת הזו אוטומטית, גם כשהם מקלידים את כתובתך ללא 'https://'. יחד הם הדבר הבסיסי ביותר שאתר זקוק לו כדי להיחשב בטוח בכלל. - Referrer-Policy
Referrer-Policy היא הוראה בשורה אחת שהאתר שלך נותן לדפדפן של כל מבקר, ששולטת בכמה מהכתובת שלך נוסעת איתם כשהם לוחצים על קישור לאתר אחר. ללא זה, הכתובת המלאה של כל דף שהיו בו — מונחי חיפוש, מספרי חשבון, קישורי איפוס, נתיבי עמוד פנימיים וכולם — מועברת בשקט לאתר הבא שהם נוחתים בו, כולל מפרסמים, חברות אנליטיקה, וכל מקום אחר שאליו מצביע קישור. - Reverse DNS (PTR)
Reverse DNS הוא תג הזיהוי של השרת ששולח את דואר העסק שלך. כשספק מקבל כמו Gmail או Microsoft 365 מחפש מי מאחורי כתובת השולח ומקבל שם שעומד בבדיקה, הדואר שלך נראה לגיטימי. כשאין תג — או שהשם והמספר אינם מסכימים — החשבוניות וההצעות האמיתיות שלך מטופלות כחשודות ונזרקות לספאם בשקט. - SPF (Sender Policy Framework)
SPF הוא השורה בהגדרות הדומיין שלך שמפרטת אילו שירותי דואר מורשים לשלוח מיילים בשם העסק שלך. בלעדיה, כל אחד בעולם יכול לשלוח מייל שנראה כאילו הגיע ממך — והמיילים האמיתיים שלך יותר נוטים להגיע לספאם של הלקוחות. - בריאות תעודת TLS
תעודת ה-SSL/TLS שלך היא תעודת הזהות הדיגיטלית שמוכיחה למבקר שהוא באמת מדבר עם האתר שלך — ולא עם מתחזה — ומניעה את מנעול הדפדפן. בדיקה זו בוחנת האם התעודה חוקית ומהימנה, לא עומדת לפוג, ובנויה עם הצפנה חזקה ומודרנית. - הגדרת שרתי שמות (גיוון ו-SOA)
שרתי השמות שלך הם הספרייה שאומרת לכל האינטרנט היכן למצוא את האתר ואת האימייל שלך. אם כולם יושבים על רשת אחת והיא קורסת, העסק שלך נעלם מהאינטרנט באותו הרגע — ללא אתר, ללא אימייל, כלום — והגדרת שעון רשלנית על שרתים אלה עלולה להשאיר שינויים שאתה מבצע תקועים לימים. - הגנת Clickjacking (X-Frame-Options)
הוראה בשורה אחת שאומרת לדפדפנים לא לאפשר לאתרים אחרים לטעון את האתר שלך בסתר בתוכם. ללא זה, רמאי יכול להסתיר את הדפים האמיתיים של הכניסה שלך מאחורי דף מזויף ולגרום ללקוחותיך ללחוץ על דברים שמעולם לא התכוונו אליהם — אישור תשלום, שינוי סיסמה, מתן גישה. - הגנת MIME-sniffing (X-Content-Type-Options)
כותרת בשורה אחת שעוצרת דפדפנים מניחוש מה קובץ הוא באמת. ללא זה, קובץ שמישהו מעלה לאתר שלך — או קובץ בדפים שלך — עלול להתפרש שגוי ע"י הדפדפן ולרוץ כקוד, שזה בדיוק כיצד חלק מהתקפות הופכות העלאה שנראית תמימה לדרך לגנוב את הסשנים של לקוחותיך. - הצפנה מודרנית (גרסת TLS וסיפרים)
TLS הוא המנעול שמסרבל את הנתונים שזורמים בין המבקרים לאתר שלך. שני דברים הופכים את המנעול הזה לאמין: שימוש בגרסה מודרנית של TLS (לא הישנות השבורות), ושימוש בסיפרים חזקים (המתכון האמיתי לסרבול). דף זה מכסה את שניהם — בנוסף לכמה הגדרות קשורות שאינן משפיעות על הציון שלך אבל כדאי לדעת עליהן. - כותרות בידוד cross-origin (COOP / CORP / COEP)
שלוש הוראות דפדפן אופציונליות ששולטות כיצד אתרים אחרים מורשים לאינטראקציה עם שלך — פתיחתו בחלונות קופצים, הטמעת תמונות הסקריפטים שלו, או שיאוב המשאבים שלו לדפים שלהם. הן חיזוק מודרני, לא חובה בסיסית, ובניקוד שלנו הן אינפורמטיביות: היעדרן לא מוריד את הציון שלך. אבל השתיים הבטוחות סוגרות פרצת פישינג דרך חלונות קופצים ופרצת גניבת רוחב פס, ועין IT של קונה זהיר תשים לב לנוכחותן. - רשומות CAA
רשומת CAA היא הוראה קצרה בהגדרות הדומיין שלך שמציינת אילו חברות תעודות רשאיות להנפיק תעודת אבטחת 'המנעול' לאתר שלך. כשהיא מופעלת, אף חברה אחרת לא יכולה ליצור בשקט תעודה חוקית בשמך. - רשומות MX (הגדרת דואר)
רשומת MX היא השלט שאומר לשאר העולם היכן לספק דואר שמופנה לדומיין שלך. אם היא חסרה או שגויה, כל הודעה שנשלחת לעסק שלך — פניות לקוחות, איפוס סיסמאות, חשבוניות, חוזים — חוזרת מיד לשולח. אין MX, אין תיבת דואר נכנסת. - תמיכת IPv6
IPv6 הוא הגרסה החדשה והגדולה בהרבה של מערכת הכתובות של האינטרנט, שהובאה כי הישנה (IPv4) נגמרה לה המקום. הוספת תמיכת IPv6 אומרת שהאתר ואת האימייל שלך ניתנים להגעה על הרשת המודרנית בנוסף לישנה. בניקוד שלנו זה אינפורמטיבי — אין לו זה לא מוריד את הציון שלך — אבל זוהי בעיית הגעה אמיתית: פרוסה גדלה של לקוחות ניידים ומחו"ל מתחברים על רשתות IPv6 בלבד, והם מגיעים אליך בצורה חלקה רק אם אתה תומך בזה. התיקון חינמי ונמצא בהגדרות ה-DNS והאירוח שלך.