Defaults.Exposed › Naprawy
Napraw bezpieczeństwo swojej domeny — darmowe przewodniki krok po kroku
Przystępne przewodniki po usuwaniu każdego problemu, który oceniamy — SPF, DKIM, DMARC, DNSSEC, TLS, certyfikaty i nagłówki bezpieczeństwa HTTP. Każdy wyjaśnia, czym jest dana rzecz, ile może kosztować Twoją firmę i jak dokładnie skonfigurować ją u Twojego dostawcy.
- CDN / WAF i hosting
Dwa odczyty hydrauliki stojącej za Twoją witryną: czy siedzisz za tarczą ochronną (CDN z zaporą aplikacji webowej, jak Cloudflare), która filtruje ataki i pochłania skoki ruchu, oraz mapa tego, kto faktycznie prowadzi Twój DNS, witrynę i e-mail. Oba są informacyjne w naszej punktacji — nie ruszają oceny — ale opisują, jak bardzo Twój serwer origin jest narażony na atak i awarię i jak posplatani są Twoi dostawcy. Tarcza z przodu i rozsądnie rozdzielony zestaw dostawców to wygląd odpornych firm. - Content-Security-Policy (CSP)
Polityka bezpieczeństwa treści (Content Security Policy) to reguła bezpieczeństwa, którą Twoja strona wręcza przeglądarce każdego odwiedzającego, mówiąc jej dokładnie, który kod wolno uruchomić. Bez niej, jeśli na stronę kiedykolwiek trafi coś złośliwego — przez pole komentarza, zhakowaną wtyczkę czy zewnętrzny skrypt — przeglądarka uruchomi to swobodnie, w tym kod po cichu zbierający numery kart i hasła Twoich klientów w trakcie wpisywania, z wciąż widoczną kłódką. - DKIM
DKIM to niewidzialna, nienaruszalna pieczęć na każdym e-mailu, który wysyła Twoja firma. Pozwala dostawcy poczty odbierającej potwierdzić, że wiadomość naprawdę pochodzi od Ciebie i dotarła niezmieniona. Bez niego Twoja poczta jest łatwiejsza do podrobienia, łatwiejsza do zmiany i znacznie częściej ląduje w spamie. - DMARC (Ochrona przed podszywaniem się pod pocztę)
DMARC to jedyne ustawienie, które naprawdę każe dostawcom poczty na całym świecie BLOKOWAĆ e-maile fałszujące nazwę Twojej firmy. SPF i DKIM sprawdzają zamki; DMARC decyduje, co się stanie, gdy fałszywka nie przejdzie kontroli — wyrzucić do kosza, oznaczyć czy przepuścić. Źle ustawiony — Twoja domena jest w pełni do podrobienia; dobrze ustawiony — podszywanie się kończy się przed skrzynką. - DNSSEC
DNSSEC to cyfrowa pieczęć na książce adresowej Twojej domeny. Pozwala internetowi udowodnić, że odpowiedź na pytanie „gdzie mieszka ta domena?” naprawdę pochodzi od Ciebie i nie została po drodze zmanipulowana. Bez niego odpowiedź można sfałszować — a Twoich odwiedzających po cichu wysłać gdzie indziej. - HSTS (Strict-Transport-Security)
HSTS to jednolinijkowa instrukcja, którą Twoja strona daje każdej przeglądarce: «zawsze wracaj do mnie przez bezpieczne, zaszyfrowane połączenie — nigdy przez niebezpieczne». Bez niego Twoja kłódka może zostać po cichu zdjęta w współdzielonym WiFi, a sama pierwsza wizyta na Twojej stronie jest wystawiona. - HTTPS i wymuszone bezpieczne przekierowanie
HTTPS to kłódka w pasku przeglądarki — szyfruje wszystko, co podróżuje między Twoją stroną a klientami, by nie dało się tego odczytać ani zmienić w drodze. Wymuszone bezpieczne przekierowanie sprawia, że odwiedzający automatycznie trafiają na tę zaszyfrowaną wersję, nawet gdy wpiszą Twój adres bez «https://». Razem są najbardziej podstawową rzeczą, jakiej strona potrzebuje, by w ogóle uchodzić za bezpieczną. - Konfiguracja serwerów nazw (różnorodność i SOA)
Twoje serwery nazw to katalog, który mówi całemu internetowi, gdzie znaleźć Twoją witrynę i e-mail. Jeśli wszystkie siedzą w jednej sieci, a ona padnie, Twoja firma znika z internetu w tym samym momencie — bez witryny, bez e-maila, bez niczego — a niedbałe ustawienie zegara na tych serwerach może sprawić, że wprowadzane zmiany utkną na dni. - Nagłówki izolacji cross-origin (COOP / CORP / COEP)
Trzy opcjonalne polecenia przeglądarki, które kontrolują, jak inne witryny mogą wchodzić w interakcję z Twoją — otwierać ją w wyskakujących oknach, osadzać jej obrazy i skrypty albo wciągać jej zasoby do własnych stron. To nowoczesne wzmocnienie, nie podstawowy obowiązek, a w naszej punktacji są informacyjne: ich brak nie obniża oceny. Ale dwa bezpieczne z nich zamykają cichą lukę phishingu i kradzieży przepustowości, a zespół IT uważnego kupującego zauważy, gdy są obecne. - Obsługa IPv6
IPv6 to nowsza, znacznie większa wersja systemu adresowania internetu, wprowadzona, bo staremu (IPv4) skończyło się miejsce. Dodanie obsługi IPv6 oznacza, że Twoją witrynę i e-mail da się dosięgnąć przez nowoczesną sieć, nie tylko starą. W naszej punktacji to test informacyjny — jego brak nie obniża oceny — ale to realny problem zasięgu: rosnący ułamek klientów mobilnych i zagranicznych łączy się przez sieci tylko-IPv6 i dociera do Ciebie płynnie tylko, gdy go obsługujesz. Poprawka jest darmowa i żyje w Twojej konfiguracji DNS i hostingu. - Ochrona przed clickjackingiem (X-Frame-Options)
Jednolinijkowe polecenie, które mówi przeglądarkom, by nie pozwalały innym witrynom potajemnie ładować Twojej strony w swoim wnętrzu. Bez niego oszust może ukryć Twoje prawdziwe, zalogowane strony za fałszywą stroną i nakłonić klientów do kliknięcia rzeczy, których nigdy nie zamierzali — zatwierdzenia płatności, zmiany hasła, przyznania dostępu. - Ochrona przed odgadywaniem typu MIME (X-Content-Type-Options)
Jednolinijkowy nagłówek, który powstrzymuje przeglądarki przed zgadywaniem, czym naprawdę jest plik. Bez niego plik wgrany przez kogoś na Twoją witrynę — albo plik na Twoich własnych stronach — może zostać błędnie odczytany przez przeglądarkę i uruchomiony jako kod, a właśnie tak niektóre ataki zamieniają niewinnie wyglądający plik w sposób na kradzież sesji Twoich klientów. - Odwrotny DNS (PTR)
Odwrotny DNS to identyfikator serwera, który wysyła pocztę Twojej firmy. Gdy dostawca odbierający, jak Gmail czy Microsoft 365, sprawdza, kto stoi za adresem wysyłającym, i dostaje nazwę, która się broni, Twoja poczta wygląda prawowicie. Gdy identyfikatora brak — albo nazwa i numer się nie zgadzają — Twoje całkiem prawdziwe faktury i oferty są traktowane jak podejrzane i po cichu wyrzucane do kosza lub odrzucane. - Referrer-Policy
Referrer-Policy to jednolinijkowe polecenie, które Twoja witryna przekazuje przeglądarce każdego odwiedzającego, kontrolując, jak duża część Twojego adresu WWW wędruje z nim, gdy kliknie odnośnik do innej witryny. Bez niego pełny adres strony, na której był — wpisane frazy wyszukiwania, numery kont, linki resetujące, ścieżki wewnętrznych stron i wszystko inne — jest po cichu przekazywany kolejnej witrynie, na którą trafia, w tym reklamodawcom, firmom analitycznym i wszędzie tam, dokąd prowadzi odnośnik. - Rekordy CAA
Rekord CAA to krótkie polecenie w ustawieniach Twojej domeny, które nazywa, które firmy certyfikacyjne mają prawo wystawić certyfikat bezpieczeństwa (kłódkę) dla Twojej witryny. Z włączonym rekordem żadna inna firma nie może po cichu utworzyć ważnego certyfikatu w Twoim imieniu. - SPF (Sender Policy Framework)
SPF to wpis w ustawieniach Twojej domeny, który wskazuje, które usługi pocztowe mają prawo wysyłać e-maile w imieniu Twojej firmy. Bez niego każdy na świecie może wysłać wiadomość wyglądającą jak Twoja — a Twoja prawdziwa poczta częściej trafia klientom do spamu. - Stan certyfikatu TLS
Twój certyfikat SSL/TLS to cyfrowy dowód tożsamości, który dowodzi, że odwiedzający naprawdę rozmawia z Twoją stroną — a nie z oszustem — i napędza kłódkę w przeglądarce. Ta kontrola sprawdza, czy certyfikat jest ważny i zaufany, czy nie jest bliski wygaśnięcia i czy zbudowano go z silnej, współczesnej kryptografii. - Wpisy MX (Konfiguracja poczty)
Wpis MX to drogowskaz, który mówi reszcie świata, dokąd dostarczać e-maile adresowane do Twojej domeny. Jeśli go brakuje lub jest zepsuty, każda wiadomość wysłana do Twojej firmy — zapytania klientów, resety haseł, faktury, umowy — odbija się prosto do nadawcy. Brak MX, brak skrzynki odbiorczej. - Współczesne szyfrowanie (wersja TLS i szyfry)
TLS to zamek, który szyfruje dane płynące między Twoimi odwiedzającymi a Twoją stroną. Dwie rzeczy czynią ten zamek godnym zaufania: używanie współczesnej wersji TLS (nie starych, złamanych) oraz używanie silnych szyfrów (właściwego przepisu na szyfrowanie). Ta strona obejmuje oba — plus kilka powiązanych ustawień, które nie wpływają na Twoją ocenę, ale warto o nich wiedzieć.