Defaults.Exposed › Исправления › CDN / WAF и хостинг

Как исправить CDN / WAF и хостинг

Два взгляда на «инженерные сети» за вашим сайтом: стоите ли вы за защитным щитом (CDN с межсетевым экраном веб-приложений, вроде Cloudflare), который фильтрует атаки и поглощает всплески трафика, и карта того, кто реально ведёт ваш DNS, сайт и почту. Оба информационны по нашей оценке — они не двигают оценку, — но они описывают, насколько ваш origin-сервер открыт атакам и сбоям и насколько запутаны ваши провайдеры. Щит впереди и разумно разделённый набор провайдеров — вот как выглядят устойчивые бизнесы.

Главное для вашего бизнеса: Сайт без щита впереди принимает каждую атаку и каждый всплеск трафика прямо на origin-сервер — так что наплыв ботов, всплеск в день запуска или одна автоматическая атака могут вывести вас офлайн на часы, и восстановление на вас. Поставить CDN/WAF впереди (есть бесплатный тариф) фильтрует подавляющее большинство автоматических атак, впитывает всплески и ускоряет сайт по всему миру — обычно это работа на полдня для вашего ИТ-специалиста, без лицензионных затрат. Отдельно: если ваш DNS, сайт и почта живут у одного провайдера, один сбой или взлом там роняет всё ваше онлайн-присутствие сразу; знание карты провайдеров — первое, что вам нужно в инциденте. Ни одна проверка не меняет оценку — но обе описывают реальную подверженность простою, потерянным продажам и медленному, болезненному восстановлению.

Во что это может вам обойтись

• Всплеск трафика ботов или небольшой DDoS бьёт по вашему незащищённому серверу утром крупной акции — сайт ползёт или падает, клиенты получают ошибки на оформлении заказа, и вы теряете дневные продажи, пока хост мечется. CDN/WAF впереди поглотил бы это.
• Ваш DNS, сайт и почта все идут через одного провайдера; у того провайдера сбой, и ваш сайт, ваша система бронирования И ваша почта гаснут в один миг — вы даже не можете отправить «мы в курсе проблемы», потому что ящик тоже лёг.
• Автоматическая атака зондирует ваш сайт всю ночь — скрипты SQL-инъекций и подбора входа долбят ваш origin напрямую, потому что нет слоя межсетевого экрана для их фильтрации, — и вы узнаёте, только когда что-то ломается. WAF блокирует основную массу этого шума ещё до того, как он достигнет вашего кода.
• Случается инцидент, и никто не может ответить на базовый вопрос «кому вообще звонить?» — сайт на том же хосте, что почта? Кто ведёт DNS? Часы утекают на одно лишь составление карты сетей, пока сайт лежит.
• ИТ-отдел потенциального клиента сканирует вас перед подписанием и видит голый origin-сервер без CDN/WAF и текучий заголовок версии сервера, рекламирующий ровно то, какое ПО (и версию) вы используете — небольшой сигнал «эти люди не закрыли основ» в самый неподходящий момент.

Почему это важно. Обе проверки здесь информационны по нашей методологии — они зарегистрированы с нулём баллов и никогда не меняют оценку, — потому что они описывают вашу инфраструктуру, а не тестируют механизм безопасности «прошёл/провалил». Мы выводим их, потому что они отражают реальную бизнес-подверженность. Сайт без CDN/WAF принимает каждую атаку и всплеск трафика на origin напрямую, без фильтрации и без поглощения всплесков; добавление одного (бесплатный тариф Cloudflare — обычный путь) — одно из самых рычажных, малозатратных улучшений устойчивости, которое может сделать малый бизнес. А ясная карта провайдеров — знание, разделены ли ваши DNS, веб и почта или сложены у одного провайдера, — первое, что вам нужно, когда что-то идёт не так, и разница между сдержанным инцидентом и тотальным блэкаутом.

Что это, простыми словами

Каждый сайт работает на сервере где-то. Вопрос, на который отвечает эта страница: что стоит между открытым интернетом и этим сервером — и кто реально ведёт части вашего онлайн-присутствия?

Есть две части:

1. CDN / WAF — щит впереди. CDN (Content Delivery Network) — глобальная сеть, которая стоит перед вашим сайтом, быстро отдаёт ваше содержимое посетителям где угодно и впитывает всплески трафика. WAF (Web Application Firewall) — фильтр, который инспектирует входящие запросы и блокирует вредоносные до того, как они достигнут вашего сервера. Популярные сервисы (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri и другие) объединяют их вместе. Мы смотрим на ответы вашего сайта и сообщаем, видим ли мы щит впереди — и заодно отмечаем, какой веб-сервер вы используете.

2. Карта хостинга / провайдеров — кто ведёт ваши сети. Мы читаем публичные записи, говорящие, кто обрабатывает ваш DNS (справочник, превращающий ваш домен в адрес) и кто обрабатывает вашу почту. Из этого мы можем сказать, разделены ли ваши DNS, сайт и почта между провайдерами (устойчиво) или сложены у одного (удобно, но единая точка отказа).

Самое важное, что нужно знать сразу: по нашей оценке обе они информационны. Они не влияют на вашу оценку. Мы выводим их, потому что они описывают, насколько ваш бизнес открыт простою и атаке — что является другим и очень практичным вопросом, отличным от оценки.

Во что это может вам обойтись

Это не абстрактные риски — это повседневные способы, которыми незащищённая, запутанная схема превращает мелкую проблему в плохой день.

• Выбиты офлайн в день, когда это важнее всего. Ваш сайт сидит на origin-сервере без всего впереди. Утром запуска или акции трафик всплескивает — или бьёт умеренный наплыв ботов — и сервер не справляется. Страницы вылетают по таймауту, оформление заказа выдаёт ошибки, и вы теряете дневную выручку, пока хост тушит пожар. CDN впитывает всплески, а WAF фильтрует мусорный трафик; вместе они — разница между «занятым днём» и «лежали всё утро».

• Всё гаснет разом. Ваш DNS, сайт и почта все идут через одного провайдера. У того провайдера сбой (рано или поздно случается у всех), и ваш сайт, ваша система бронирования и ваша почта пропадают одновременно. Вы не можете обрабатывать заказы и не можете даже написать клиентам, что в курсе, — потому что ящик тоже лёг. Разделение провайдеров означает, что один сбой сдержан, а не тотален.

• Ваш код принимает каждую атаку напрямую. Без WAF каждое автоматическое зондирование — попытки инъекций, подбор входа, сканеры известных эксплойтов — бьёт по коду вашего приложения без фильтрации. Вы ставите на то, что ваше ПО безупречно и полностью пропатчено, навсегда. WAF блокирует подавляющее большинство этого автоматического шума до того, как он достигнет вас, превращая «постоянную фоновую атаку» в «в основном отфильтровано».

• Медленный, паничный инцидент, потому что ни у кого нет карты. Что-то ломается, и первый час тратится на «погодите, кто ведёт наш DNS? Почта на том же хосте? Кому звонить?» Когда ваша карта провайдеров неясна, каждый инцидент начинается с нуля. Знание карты заранее превращает беготню в телефонный звонок.

• Плохое первое впечатление у внимательного покупателя. ИТ-отдел потенциального клиента сканирует вас перед подписанием и видит голый origin без CDN/WAF — и заголовок сервера, открыто рекламирующий ваше точное ПО и версию. Это небольшой сигнал, но он помещает вас в колонку «не закрыли основ» ровно в неподходящий момент.

Что это на самом деле

CDN / WAF — защитный слой

Когда посетитель (или злоумышленник) запрашивает ваш сайт, запрос может пойти либо прямо на ваш origin-сервер, либо через CDN/WAF сначала. Если впереди есть щит, этот щит может:

• Фильтровать вредоносные запросы (часть WAF): блокировать попытки инъекций, атаки ботов и известные шаблоны эксплойтов до того, как они вообще достигнут вашего кода.
• Поглощать трафик (часть CDN): отдавать кешированное содержимое с серверов рядом с каждым посетителем и впитывать всплески, чтобы наплыв — законный или враждебный — не раздавил ваш origin.
• Ускорять сайт: содержимое, доставленное с ближайшего граничного сервера, грузится быстрее для посетителей по всему миру.

Мы обнаруживаем щит, глядя на отпечатки, которые эти сервисы оставляют в заголовках ответа вашего сайта — например, заголовок cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) или x-sucuri-id (Sucuri). Мы также читаем заголовок Server, чтобы определить ваш базовый веб-сервер (nginx, Apache, IIS, LiteSpeed, Caddy и так далее), и помечаем любой заголовок X-Powered-By, который делится лишним.

Как выглядит «хорошо»: CDN/WAF обнаружен перед вашим origin, и заголовок Server, который не рекламирует конкретный номер версии.

Карта хостинга / провайдеров — ваши инфраструктурные зависимости

Ваш домен тихо указывает на несколько разных сервисов:

• DNS — справочник, превращающий yourbusiness.com в реальный адрес сервера. Мы читаем ваши записи nameserver (NS) и распознаём распространённых провайдеров (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode и региональных регистраторов в их числе).
• Почта — где обрабатывается ваша почта. Мы читаем ваши записи MX и распознаём распространённых провайдеров (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho и других).

Из этого мы видим, разделены ли эти обязанности между провайдерами (сбой одного не роняет других) или сложены у одного провайдера (удобно, но один сбой или взлом забирает всё).

Как выглядит «хорошо»: как минимум DNS у выделенного, надёжного провайдера, а не сваленный в тот же аккаунт, что и всё прочее, — чтобы справочник вашего домена не делил судьбу с вашим сайтом и ящиком.

Как это исправить (бесплатно, ~полдня)

Передайте это вашему ИТ-специалисту или веб-разработчику — исправление бесплатно. Постановка CDN/WAF перед вашим сайтом не стоит ничего на распространённых бесплатных тарифах, а скрытие версии сервера — однострочная настройка. Лицензию покупать не нужно. (Платные варианты здесь — только мониторинг, отслеживание по портфелю и аудиты — но никогда не само исправление.) Единственное решение владельца: да, поставить щит перед сайтом.

Поскольку обе проверки информационны, ничто из этого не оценивается — но CDN/WAF — одно из самых ценных улучшений устойчивости, которое может сделать малый бизнес, так что это стоит сделать.

1. Поставьте CDN/WAF перед вашим сайтом

Самый распространённый, бесплатный путь — Cloudflare:

1. Создайте бесплатный аккаунт Cloudflare и добавьте ваш домен.
2. Cloudflare читает ваши существующие записи DNS; проверьте, что они импортировались правильно.
3. Смените nameservers вашего домена (у регистратора) на те два, что даёт Cloudflare. Это и есть переключатель, направляющий трафик через Cloudflare.
4. Установите режим SSL/TLS в Full (strict), чтобы шифрование оставалось сквозным между посетитель → Cloudflare → ваш origin. (Избегайте «Flexible», который оставляет последний участок незашифрованным.)
5. CDN и базовый WAF теперь активны. Правила WAF можно тонко настроить позже, но умолчания уже многое фильтруют.

Другие пути, в зависимости от вашего стека:

• AWS CloudFront — создайте распространение, указывающее на ваш origin; сочетайте с AWS WAF для фильтрации. Лучше всего, если вы уже на AWS.
• Sucuri WAF — на основе DNS, не требует изменений на вашем сервере; хорошо, если вы не можете трогать origin.
• Fastly / Akamai — CDN/WAF корпоративного уровня, обычно для крупных или высоконагруженных сайтов.

После переключения протестируйте сайт, подтвердите, что HTTPS работает везде, и понаблюдайте день. Не кешируйте агрессивно страницы, которые должны оставаться личными или живыми (авторизованные зоны, корзины, оформление заказа).

2. Прекратите рекламировать версию вашего сервера

Независимо от того, добавляете ли вы CDN, скройте версию, которую объявляет ваш сервер — это бесплатная информация, которую вы вручаете злоумышленникам.

Nginx:

server_tokens off;

Apache (в основном конфиге):

ServerTokens Prod
ServerSignature Off

Уберите делящийся лишним заголовок X-Powered-By (например, от PHP или фреймворка приложения) на уровне сервера или CDN — на Cloudflare его можно убрать правилом трансформации заголовка ответа.

3. Проверьте здравость вашей карты провайдеров (необязательно, ~10 минут)

Посмотрите, где реально живут ваши DNS, сайт и почта:

• Если все три сидят в одном аккаунте провайдера, рассмотрите хотя бы перенос DNS к выделенному провайдеру (DNS Cloudflare бесплатен и быстр). Одно это разделение означает, что справочник вашего домена переживёт сбой хостинга.
• Запишите карту — DNS-провайдер, веб-хост, почтовый провайдер, регистратор и контакт входа/поддержки для каждого. Эта одна страница — самое полезное, что может быть перед вами во время инцидента.

Заметки по платформам

• Google Workspace / Microsoft 365: это ваши почтовые провайдеры, не сайт. Постановка CDN/WAF перед сайтом не трогает почту, и наоборот — это раздельные решения. (Почта на Google/Microsoft и сайт за Cloudflare — совершенно хорошая, намеренно разделённая схема.)
• Управляемые конструкторы сайтов (Wix, Squarespace, Shopify): они включают собственный CDN и уровень защиты WAF как часть платформы, так что вы можете уже быть защищены, даже если наша проверка заголовков не называет провайдера. Вы обычно не можете добавить свой Cloudflare впереди; это нормально — платформа справляется сама.
• WordPress на собственном хостинге: идеальный кандидат на бесплатный слой Cloudflare впереди. Сочетайте его с межсетевым экраном плагина безопасности для правил уровня приложения.

Частые ошибки

• Голый origin «потому что сайт маленький». Маленькие сайты получают те же автоматические атаки и наплывы ботов, что и крупные — боты не проверяют сперва вашу выручку. Бесплатный тариф CDN/WAF существует ровно для маленьких сайтов; не использовать его — оставлять лёгкую победу на столе.
• Использование Cloudflare «Flexible» SSL. Он показывает замочек, но оставляет соединение между Cloudflare и вашим origin незашифрованным. Всегда используйте Full (strict), чтобы оно было зашифровано сквозь.
• Кеширование не того. Агрессивное кеширование авторизованных страниц, корзин или оформления заказа может показать одному клиенту содержимое другого или устаревшие цены. Кешируйте статическое содержимое; оставляйте персонализированные и транзакционные страницы без кеша.
• Складывание всего у одного провайдера, не осознавая этого. Удобство нормально, если это осознанный выбор — но многие бизнесы узнают, что DNS, веб и почта делят один аккаунт, только во время сбоя, который роняет все три. Сделайте это решением, а не открытием.
• Оставление версии сервера на виду. Это бесплатный, однострочный шаг укрепления, который легко забыть. Выключите его.

Заметка об оценке

Чтобы было предельно ясно: ни одна из этих проверок не влияет на вашу оценку. Они зарегистрированы в нашей методологии как информационные, с нулём баллов, и мы никогда не штрафуем вас за незащищённый origin или схему с одним провайдером. Мы сообщаем о них, потому что они описывают реальную подверженность простою, атаке и медленному восстановлению после инцидента — и потому что добавление бесплатного CDN/WAF — одно из самых ценных улучшений, которое может сделать малый бизнес. Если вы ничего здесь не сделаете, ваша оценка не изменится. Если вы поставите щит перед сайтом и отделите DNS, вы сделаете бизнес ощутимо более устойчивым бесплатно. Вот правильный способ читать эту страницу: не цифра для защиты, а улучшение устойчивости, которое стоит взять.

Частые вопросы