Defaults.Exposed › Remedieri
Remediază securitatea domeniului tău — ghiduri gratuite, pas cu pas
Ghiduri în limbaj simplu pentru remedierea fiecărei probleme pe care o notăm — SPF, DKIM, DMARC, DNSSEC, TLS, certificate și anteturi de securitate HTTP. Fiecare explică ce este, cât te poate costa afacerea și exact cum să îl configurezi la furnizorul tău.
- Antete de izolare cross-origin (COOP / CORP / COEP)
Trei instrucțiuni opționale de browser care controlează modul în care alte site-uri web au voie să interacționeze cu al tău — deschizându-l în popup-uri, încorporând imaginile și scripturile lui sau trăgând resursele lui în propriile lor pagini. Sunt întărire modernă, nu o necesitate de bază, iar pe notarea noastră sunt informaționale: lipsa lor nu scade nota. Dar cele două sigure închid un decalaj silențios de phishing și furt de lățime de bandă, iar echipa IT a unui cumpărător atent va observa când sunt prezente. - CDN / WAF & găzduire
Două lecturi ale instalației din spatele site-ului tău: dacă stai în spatele unui scut de protecție (un CDN cu un Web Application Firewall, ca Cloudflare) care filtrează atacurile și absoarbe vârfurile de trafic, și o hartă a cine îți rulează de fapt DNS-ul, site-ul web și email-ul. Ambele sunt informaționale pe notarea noastră — nu îți mișcă nota — dar descriu cât de expus este serverul tău de origine la atac și întrerupere, și cât de dependentă este configurația ta de furnizori. Un scut în față și un set de furnizori sensibil împărțit este cum arată afacerile reziliente. - Configurarea serverelor de nume (diversitate & SOA)
Serverele tale de nume sunt directorul care spune întregului internet unde să găsească site-ul tău web și email-ul. Dacă stau toate pe o singură rețea și aceasta cade, afacerea ta dispare de pe internet în același moment — niciun site, niciun email, nimic — iar o setare neglijentă a ceasului pe acele servere poate lăsa modificările pe care le faci blocate timp de zile. - Content-Security-Policy (CSP)
O Politică de Securitate a Conținutului este o regulă de siguranță pe care site-ul tău o transmite browserului fiecărui vizitator, spunându-i exact ce cod are voie să ruleze. Fără ea, dacă ceva rău ajunge vreodată pe o pagină — printr-o casetă de comentarii, un plugin spart sau un script terț — browserul îl va rula liber, inclusiv codul care în tăcere colectează numerele de card și parolele clienților tăi pe măsură ce le tastează, cu lacătul în continuare afișat. - Criptare modernă (versiune TLS și cifruri)
TLS este lacătul care amestecă datele care circulă între vizitatori și site-ul tău web. Două lucruri fac acel lacăt demn de încredere: folosirea unei versiuni moderne de TLS (nu a celor vechi și compromise) și folosirea de cifruri puternice (rețeta reală de amestecare). Această pagină le acoperă pe ambele — plus câteva setări conexe care nu îți afectează nota dar merită cunoscute. - DKIM
DKIM este sigiliul inviolabil invizibil pe fiecare email pe care îl trimite afacerea ta. Permite furnizorului de email receptor să confirme că email-ul a venit cu adevărat de la tine și a sosit nemodificat. Fără el, email-ul tău poate fi mai ușor falsificat, mai ușor modificat și mult mai probabil să ajungă în spam sau să fie respins. - DMARC (Protecție Spoofing Email)
DMARC este singura setare care le spune cu adevărat furnizorilor de mail ai lumii să BLOCHEZE email-urile care falsifică numele afacerii tale. SPF și DKIM verifică lacătele; DMARC decide ce se întâmplă când un fals eșuează verificarea — aruncă-l, semnalează-l, sau lasă-l să treacă. Setat greșit, domeniul tău este complet falsificabil; setat corect, impostarea se oprește la inbox. - DNS invers (PTR)
DNS-ul invers este ecusoanele de identificare al serverului care trimite email-ul afacerii tale. Când un furnizor receptor precum Gmail sau Microsoft 365 caută cine se află în spatele adresei de trimitere și primește un nume care verifică, email-ul tău pare legitim. Când nu există ecuson — sau numele și numărul nu sunt de acord — facturile și ofertele tale perfect reale sunt tratate ca suspecte și aruncate la gunoi sau respinse în tăcere. - DNSSEC
DNSSEC este un sigiliu digital pe agenda de adrese a domeniului tău. Permite internetului să demonstreze că răspunsul la 'unde locuiește acest domeniu?' a venit cu adevărat de la tine și nu a fost falsificat pe drum. Fără el, răspunsul poate fi contrafăcut — și vizitatorii tăi trimiși în tăcere în altă parte. - HSTS (Strict-Transport-Security)
HSTS este o instrucțiune pe o linie pe care site-ul tău o dă fiecărui browser: 'întoarce-te întotdeauna la mine prin conexiunea securizată și criptată — niciodată prin cea nesigură.' Fără ea, lacătul tău poate fi eliminat în tăcere pe Wi-Fi-ul partajat, iar prima vizită la site-ul tău este expusă. - HTTPS și redirecționare forțată-securizată
HTTPS este lacătul din bara de adrese a browserului — criptează tot ce călătorește între site-ul tău web și clienții tăi astfel că nu poate fi citit sau modificat în tranzit. Redirecționarea forțată-securizată face sigur că vizitatorii ajung la acea versiune criptată automat, chiar și atunci când tastează adresa ta fără 'https://'. Împreună sunt cel mai de bază lucru de care un site web are nevoie pentru a fi considerat sigur. - Înregistrări CAA
O înregistrare CAA este o instrucțiune scurtă în setările domeniului tău care numește ce companii de certificate au voie să emită certificatul de securitate 'lacăt' pentru site-ul tău. Cu ea activată, nicio altă companie nu poate crea în tăcere un certificat valid în numele tău. - Înregistrări MX (Configurare Email)
O înregistrare MX este indicatorul care spune restului lumii unde să livreze email-ul adresat domeniului tău. Dacă lipsește sau este defectă, fiecare mesaj trimis afacerii tale — întrebări de la clienți, resetări de parole, facturi, contracte — se întoarce direct la expeditor. Fără MX, nu există inbox. - Protecție clickjacking (X-Frame-Options)
O instrucțiune pe o linie care spune browserelor să nu permită altor site-uri să încarce în secret site-ul tău în interiorul propriilor lor pagini. Fără ea, un escroc poate ascunde paginile tale reale autentificate în spatele unei pagini false și îți poate păcăli clienții să facă clic pe lucruri pe care nu le-au intenționat vreodată — aprobând o plată, schimbând o parolă, acordând acces. - Protecție MIME-sniffing (X-Content-Type-Options)
Un antet pe o linie care oprește browserele să ghicească ce fel de fișier este cu adevărat. Fără el, un fișier pe care cineva îl încarcă pe site-ul tău — sau un fișier pe propriile tale pagini — poate fi citit greșit de browser și rulat ca și cod, ceea ce este exact modul în care unele atacuri transformă o încărcare cu aspect inofensiv într-o modalitate de a fura sesiunile clienților tăi. - Referrer-Policy
O Referrer-Policy este o instrucțiune pe o linie pe care site-ul tău o transmite browserului fiecărui vizitator, controlând câte din adresa ta web călătorește cu ei când fac clic pe un link către un alt site. Fără ea, adresa completă a paginii pe care se aflau — termeni de căutare, numere de cont, linkuri de resetare, căi interne de pagini și toate — este predată în tăcere site-ului următor pe care ajung, inclusiv agenților de publicitate, firmelor de analiză și oriunde altundeva indică un link. - Sănătatea certificatului TLS
Certificatul SSL/TLS este cartea de identitate digitală care dovedește unui vizitator că vorbește cu adevărat cu site-ul tău web — nu cu un impostor — și alimentează lacătul din browser. Această verificare analizează dacă acel certificat este valid și de încredere, nu pe punctul de a expira și construit cu criptografie puternică și modernă. - SPF (Sender Policy Framework)
SPF este linia din setările domeniului tău care specifică ce servicii de email sunt autorizate să trimită mesaje în numele afacerii tale. Fără ea, oricine din lume poate trimite email-uri care par să vină de la tine — iar email-urile tale autentice au mai multe șanse să ajungă în spam-ul clienților. - Suport IPv6
IPv6 este versiunea mai nouă, mult mai mare a sistemului de adresare al internetului, introdusă deoarece cea veche (IPv4) a rămas fără spațiu. Adăugarea suportului IPv6 înseamnă că site-ul tău web și email-ul pot fi accesate pe rețeaua modernă la fel ca și pe cea veche. Pe notarea noastră aceasta este informațională — nedeținerea ei nu îți scade nota — dar este o problemă reală de acoperire: o parte din ce în ce mai mare de clienți mobiliari și din afara țării se conectează pe rețele numai-IPv6, și te accesează fără probleme numai dacă îl suporți. Remedierea este gratuită și locuiește în setările tale DNS și de găzduire.