Defaults.Exposed › Pembaikan
Baiki keselamatan domain anda — panduan langkah demi langkah percuma
Panduan dalam bahasa mudah untuk membaiki setiap isu yang kami gredkan — SPF, DKIM, DMARC, DNSSEC, TLS, sijil dan pengepala keselamatan HTTP. Setiap satu menerangkan apa itu, kos yang mungkin ditanggung perniagaan anda, dan cara yang tepat untuk menyediakannya pada penyedia anda.
- CDN / WAF & pengehosan
Dua bacaan paip di belakang laman web anda: sama ada anda duduk di belakang perisai pelindung (CDN dengan Firewall Aplikasi Web, seperti Cloudflare) yang menapis serangan dan menyerap lonjakan lalu lintas, dan peta siapa yang sebenarnya menjalankan DNS, laman web dan e-mel anda. Kedua-duanya adalah maklumat dalam pemarkahan kami — mereka tidak menggerakkan gred anda — tetapi mereka menerangkan betapa terdedahnya pelayan asal anda kepada serangan dan gangguan, dan betapa kusutnya pembekal anda. Perisai di hadapan dan set pembekal yang dipecahkan dengan bijak adalah rupa perniagaan yang berdaya tahan. - Content-Security-Policy (CSP)
Content Security Policy ialah peraturan keselamatan yang laman web anda berikan kepada pelayar setiap pengunjung, memberitahunya dengan tepat kod mana yang dibenarkan untuk dijalankan. Tanpanya, jika sesuatu yang berniat jahat pernah mendarat pada halaman — melalui kotak komen, plugin yang digodam, atau skrip pihak ketiga — pelayar akan menjalankannya dengan bebas, termasuk kod yang secara senyap mengikis nombor kad dan kata laluan pelanggan anda semasa mereka menaip, dengan kunci masih muncul. - DKIM
DKIM ialah meterai kalis gangguan yang tidak kelihatan pada setiap e-mel yang dihantar oleh perniagaan anda. Ia membolehkan pembekal mel penerima mengesahkan bahawa e-mel itu benar-benar datang dari anda dan tiba tanpa sebarang perubahan. Tanpanya, mel anda lebih mudah dipalsukan, lebih mudah diubah, dan jauh lebih berkemungkinan mendarat dalam spam atau ditolak terus. - DMARC (Perlindungan Penipuan E-mel)
DMARC adalah satu tetapan yang sebenarnya memberitahu pembekal mel dunia untuk MENYEKAT e-mel yang memalsukan nama perniagaan anda. SPF dan DKIM memeriksa kunci; DMARC memutuskan apa yang berlaku apabila pemalsuan gagal semakan — buang, tandakan, atau biarkan lalui. Ditetapkan dengan salah, domain anda boleh dipalsukan sepenuhnya; ditetapkan dengan betul, penyamaran berhenti di peti masuk. - DNS Terbalik (PTR)
DNS terbalik ialah kad pengenalan untuk pelayan yang menghantar e-mel perniagaan anda. Apabila pembekal penerima seperti Gmail atau Microsoft 365 mencari siapa di sebalik alamat penghantaran dan mendapat nama yang boleh disahkan, mel anda kelihatan sah. Apabila tiada kad — atau nama dan nombor tidak sepadan — invois dan sebut harga anda yang tulen dilayan sebagai mencurigakan dan secara senyap dijunk atau ditolak. - DNSSEC
DNSSEC adalah cop digital pada buku alamat domain anda. Ia membolehkan internet membuktikan bahawa jawapan kepada 'di mana domain ini berada?' benar-benar datang dari anda dan tidak diusik dalam perjalanan. Tanpanya, jawapan boleh dipalsukan — dan pengunjung anda secara senyap dihantar ke tempat lain. - HSTS (Strict-Transport-Security)
HSTS ialah arahan satu baris yang laman web anda berikan kepada setiap pelayar: 'sentiasa kembali kepada saya melalui sambungan selamat dan tersulitkan — tidak pernah yang tidak selamat.' Tanpanya, kunci laman anda boleh dilucutkan secara senyap di WiFi dikongsi, dan lawatan pertama ke laman anda terdedah. - HTTPS & pengalihan paksa-selamat
HTTPS ialah ikon kunci dalam bar pelayar — ia menyulitkan semua yang bergerak antara laman web anda dan pelanggan anda supaya ia tidak dapat dibaca atau diubah dalam transit. Pengalihan paksa-selamat memastikan pengunjung mendarat secara automatik pada versi yang disulitkan itu, walaupun ketika mereka menaip alamat anda tanpa 'https://'. Bersama-sama ia adalah perkara paling asas tunggal yang diperlukan oleh laman web untuk dianggap selamat langsung. - Kesihatan sijil TLS
Sijil SSL/TLS anda ialah kad pengenalan digital yang membuktikan pengunjung sedang bercakap dengan laman web anda yang sebenar — bukan peniru — dan menggerakkan ikon kunci dalam pelayar. Semakan ini melihat sama ada sijil itu sah dan dipercayai, tidak akan tamat tempoh, dan dibina dengan kriptografi yang kukuh dan moden. - Pengepala pengasingan merentas-asal (COOP / CORP / COEP)
Tiga arahan pelayar pilihan yang mengawal bagaimana laman web lain dibenarkan untuk berinteraksi dengan laman anda — membukanya dalam popup, menanam imej dan skrip anda, atau menarik sumber anda ke dalam halaman mereka sendiri. Mereka adalah pengerasan moden, bukan kemestian asas, dan dalam pemarkahan kami mereka adalah maklumat: tiada yang hilang tidak menurunkan gred anda. Tetapi dua yang selamat menutup jurang pancingan data popup yang senyap dan kecurian lebar jalur, dan pasukan IT pembeli yang teliti akan perasan apabila mereka hadir. - Penyulitan moden (versi TLS & sifir)
TLS adalah kunci yang mengelirukan data yang mengalir antara pengunjung dan laman web anda. Dua perkara menjadikan kunci itu boleh dipercayai: menggunakan versi TLS yang moden (bukan yang lama dan rosak), dan menggunakan sifir yang kukuh (resipi pengeliruan sebenar). Halaman ini merangkumi kedua-duanya — serta beberapa tetapan berkaitan yang tidak mempengaruhi gred anda tetapi patut diketahui. - Perlindungan clickjacking (X-Frame-Options)
Arahan satu baris yang memberitahu pelayar untuk tidak membenarkan laman web lain memuat laman anda secara senyap di dalam mereka sendiri. Tanpanya, penipu boleh menyembunyikan halaman sebenar anda yang telah log masuk di belakang halaman palsu dan menipu pelanggan anda untuk mengklik perkara yang mereka tidak berniat — meluluskan pembayaran, menukar kata laluan, memberikan akses. - Perlindungan penghirupan MIME (X-Content-Type-Options)
Satu pengepala baris yang menghentikan pelayar daripada meneka jenis fail sebenar. Tanpanya, fail yang seseorang muat naik ke laman anda — atau fail pada halaman anda sendiri — boleh salah dibaca oleh pelayar dan dijalankan sebagai kod, yang adalah tepat bagaimana sesetengah serangan mengubah muat naik yang kelihatan tidak berbahaya menjadi cara untuk mencuri sesi pelanggan anda. - Persediaan pelayan nama (kepelbagaian & SOA)
Pelayan nama anda adalah direktori yang memberitahu seluruh internet di mana untuk mencari laman web dan e-mel anda. Jika semuanya duduk pada satu rangkaian dan ia turun, perniagaan anda hilang dari internet pada masa yang sama — tiada laman, tiada e-mel, tiada apa-apa — dan tetapan jam yang tidak kemas pada pelayan-pelayan itu boleh meninggalkan perubahan yang anda buat tersangkut selama berhari-hari. - Referrer-Policy
Referrer-Policy adalah arahan satu baris yang laman web anda berikan kepada pelayar setiap pengunjung, mengawal berapa banyak alamat web anda mengikuti mereka apabila mereka klik pautan ke laman lain. Tanpanya, alamat penuh halaman yang mereka sedang berada — kata carian, nombor akaun, pautan tetapan semula, laluan halaman dalaman dan semuanya — diserahkan secara senyap kepada laman seterusnya yang mereka singgah, termasuk pengiklan, firma analitik, dan mana-mana tempat lain yang pautan menuju. - Rekod CAA
Rekod CAA adalah arahan pendek dalam tetapan domain anda yang menamakan syarikat sijil mana yang dibenarkan untuk mengeluarkan sijil keselamatan 'kunci' untuk laman web anda. Dengan ia dihidupkan, tiada syarikat lain yang boleh secara senyap mencipta sijil yang sah atas nama anda. - Rekod MX (Persediaan Mel)
Rekod MX ialah papan tanda yang memberitahu seluruh internet ke mana untuk menghantar e-mel yang ditujukan kepada domain anda. Jika ia hilang atau rosak, setiap mesej yang dihantar kepada perniagaan anda — pertanyaan pelanggan, tetapan semula kata laluan, invois, kontrak — akan dipantulkan terus kembali kepada penghantar. Tiada MX, tiada peti masuk. - Sokongan IPv6
IPv6 adalah versi baharu sistem pengalamatan internet yang jauh lebih besar, dibawa masuk kerana yang lama (IPv4) telah kehabisan ruang. Menambah sokongan IPv6 bermaksud laman web dan e-mel anda boleh dicapai melalui rangkaian moden dan yang lama. Dalam pemarkahan kami ini adalah maklumat — tidak memilikinya tidak menurunkan gred anda — tetapi ia adalah isu jangkauan dunia sebenar: bahagian pelanggan mudah alih dan luar negara yang semakin berkembang menyambung melalui rangkaian IPv6-sahaja, dan mereka mencapai anda dengan lancar hanya jika anda menyokongnya. Pembetulan adalah percuma dan berada dalam persediaan DNS dan pengehosan anda. - SPF (Sender Policy Framework)
SPF ialah satu baris dalam tetapan domain anda yang menyenaraikan perkhidmatan mel mana yang dibenarkan menghantar e-mel bagi pihak perniagaan anda. Tanpanya, sesiapa sahaja di dunia boleh menghantar e-mel yang kelihatan datang dari anda — dan e-mel tulen anda sendiri lebih berkemungkinan tersimpan dalam folder spam pelanggan.