Defaults.Exposed › Åtgärder › CDN / WAF och hosting

Hur du fixar CDN / WAF och hosting

Två avläsningar av rörsystemet bakom din webbplats: om du sitter bakom ett skyddande sköld (en CDN med en webbapplikationsbrandvägg, som Cloudflare) som filtrerar attacker och absorberar trafiktoppar, och en karta över vem som faktiskt driver din DNS, webbplats och e-post. Båda är informativa i vår betygsättning — de rör inte ditt betyg — men de beskriver hur exponerad din ursprungsserver är för angrepp och avbrott, och hur sammanflätade dina leverantörer är. En sköld framför och en förnuftigt delad uppsättning leverantörer är vad resilienta företag ser ut som.

Slutsats för ditt företag: En webbplats utan sköld framför sig tar varje angrepp och varje trafiktopps direkt på ursprungsservern — så ett botflöde, en lanseringsdagsökning eller ett enstaka automatiserat angrepp kan slå dig offline i timmar, och återhämtningen är på dig. Att placera en CDN/WAF framför (gratistjänst tillgänglig) filtrerar det stora flertalet automatiserade angrepp, absorberar toppar och snabbar upp webbplatsen världen över — typiskt ett eftermiddagsarbete för din IT-person, utan licenskostand. Separat, om din DNS, webbplats och e-post alla bor hos en leverantör tar ett enskilt avbrott eller intrång hos den leverantören ned hela din onlinenärvaro på en gång; att känna din leverantörskarta är det första du behöver i en incident. Ingen av kontrollerna ändrar ditt betyg — men båda beskriver verklig exponering mot driftstopp, förlorad försäljning och en lång, smärtsam återhämtning.

Vad detta kan kosta dig

• En botburst eller ett litet DDoS-angrepp träffar din oskyddade server på morgonen av en stor kampanj — webbplatsen kryper eller faller, kunder får fel vid kassan och du förlorar dagens försäljning medan din värd bekämpar branden. En CDN/WAF framför skulle ha absorberat det.
• Din DNS, webbplats och e-post körs alla via en leverantör; den leverantören har ett avbrott och din webbplats, ditt bokningssystem OCH din e-post mörknar på samma gång — du kan inte ens skicka 'vi är medvetna om problemet' för att inkorgen är nere också.
• Ett automatiserat angrepp sonderar din webbplats hela natten — SQL-injektion och inloggningsgissningsskript som bankar din ursprungsapplikation direkt för att det inte finns något brandvägglager som filtrerar dem — och du får reda på det först när något går sönder. En WAF blockerar det stora flertalet av det bruset innan det ens når din kod.
• En incident inträffar och ingen kan svara på den grundläggande frågan 'vem ringer vi ens?' — är webbplatsen på samma värd som e-post? Vem driver DNS? Timmar rinner bort bara på att kartlägga rörsystemet medan webbplatsen förblir nere.
• En potentiell kunds IT-team skannar dig innan de skriver på och ser en ren ursprungsserver utan CDN/WAF och ett läckande server-versionshuvud som annonserar exakt vilken programvara (och version) du kör — en liten 'de här personerna har inte härdat grunderna'-signal vid värsta möjliga ögonblick.

Varför det spelar roll. Båda kontrollerna här är informativa i vår metodik — de är registrerade med noll poäng och ändrar aldrig ditt betyg — för de beskriver din infrastruktur snarare än testar en godkänd/underkänd säkerhetskontroll. Vi lyfter fram dem för att de kartlägger verklig affärsexponering. En webbplats utan CDN/WAF tar varje angrepp och trafiktopps direkt på ursprungsservern, utan filtrering och utan töm-absorption; att lägga till en (Cloudflares gratistjänst är den vanliga vägen) är en av de mest hävstångsstarka, lägst-kostnad resilienssuppgraderingsarna ett litet företag kan göra. Och en tydlig leverantörskarta — att veta om din DNS, webb och e-post är delad eller staplad hos en leverantör — är det första du behöver när något går fel och skillnaden mellan en innesluten incident och ett totalt strömavbrott.

Vad det här är, i klartext

Varje webbplats körs på en server någonstans. Frågan den här sidan svarar på är: vad står mellan det öppna internet och den servern — och vem driver faktiskt delarna av din onlinenärvaro?

Det finns två delar:

1. CDN / WAF — skölden framför. En CDN (Content Delivery Network) är ett globalt nätverk som sitter framför din webbplats, serverar ditt innehåll snabbt till besökare var de än är och absorberar trafiktoppar. En WAF (Web Application Firewall) är ett filter som inspekterar inkommande begäran och blockerar de skadliga innan de når din server. De populära tjänsterna (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri med flera) buntar ihop dessa. Vi tittar på din webbplats svar och rapporterar om vi kan se en sköld framför — och vi noterar vilken webbserver du kör också.

2. Hosting / leverantörskarta — vem driver ditt rörsystem. Vi läser de offentliga poster som säger vem som hanterar din DNS (katalogen som förvandlar din domän till en adress) och vem som hanterar din e-post. Därifrån kan vi avgöra om din DNS, webbplats och e-post är delade över leverantörer (resilient) eller staplade hos en (bekvämt, men en enskild felkälla).

Det viktigaste att veta på förhand: i vår betygsättning är båda dessa informativa. De påverkar inte ditt betyg. Vi lyfter fram dem för att de beskriver hur exponerat ditt företag är för driftstopp och angrepp — vilket är en annan, och mycket praktisk, fråga än betyget.

Vad det här kan kosta dig

Det här är inte abstrakta risker — de är vardagliga sätt en oskyddad, sammanflätad inställning förvandlar ett litet problem till en dålig dag.

• Slås offline på dagen det spelar mest roll. Din webbplats sitter på ursprungsservern med ingenting framför sig. På morgonen av en lansering eller en kampanj ökar trafiken — eller ett blygsamt botflöde träffar — och servern kan inte hantera det. Sidor timeout:ar, kassan ger fel, och du förlorar dagens intäkter medan din värd bekämpar branden. En CDN absorberar toppar och en WAF filtrerar skräptrafiken; tillsammans är det skillnaden mellan “travlig dag” och “nere hela morgonen.”

• Allt mörknar på en gång. Din DNS, webbplats och e-post körs alla via en enda leverantör. Den leverantören har ett avbrott (det händer alla till slut) och din webbplats, ditt bokningssystem och din e-post försvinner simultant. Du kan inte behandla beställningar, och du kan inte ens mejla kunder för att säga att du är medveten — för inkorgen är nere också. Att dela leverantörer innebär att ett fel är inneslutet, inte totalt.

• Din kod tar varje angrepp direkt. Utan WAF träffar varje automatiserat sökande — injektionsförsök, inloggningsgissning, kända-exploitskannrar — din applikationskod utan filtrering. Du satsar på att din programvara är felfri och fullt patchad, för evigt. En WAF blockerar det överväldigande flertalet av det automatiserade bruset innan det når dig och förvandlar “konstant bakgrundsangrepp” till “mestadels filtrerat.”

• En lång, panikartad incident för att ingen har kartan. Något går sönder och den första timmen slösas bort på “vänta, vem driver vår DNS? Är e-posten på samma värd? Vem ringer vi?” När din leverantörskarta är oklar börjar varje incident från noll. Att känna kartan i förväg förvandlar ett scramble till ett telefonsamtal.

• Ett dåligt första intryck hos en noggrann köpare. En potentiell kunds IT-team skannar dig innan de skriver på och ser ett rent ursprung utan CDN/WAF — och ett serverhuvud som öppet annonserar din exakta programvara och version. Det är en liten signal, men den placerar dig i “har inte härdat grunderna”-kolumnen vid exakt fel ögonblick.

Vad det faktiskt är

CDN / WAF — det skyddande lagret

När en besökare (eller en angripare) begär din webbplats kan begäran antingen gå rakt till din ursprungsserver, eller så kan den gå via en CDN/WAF först. Om det finns en sköld framför kan den sköldenja:

• Filtrera skadliga begäran (WAF-delen): blockera injektionsförsök, botattacker och kända exploitmönster innan de ens når din kod.
• Absorbera trafik (CDN-delen): servera cachat innehåll från servrar nära varje besökare och absorbera toppar, så att en ökning — legitim eller fientlig — inte krossar ditt ursprung.
• Snabba upp webbplatsen: innehåll levererat från en närstående edge-server laddas snabbare för besökare världen över.

Vi detekterar en sköld genom att titta på de fingeravtryck dessa tjänster lämnar i din webbplats svarshuvuden — till exempel ett cf-ray-huvud (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) eller x-sucuri-id (Sucuri). Vi läser också Server-huvudet för att identifiera din underliggande webbserver (nginx, Apache, IIS, LiteSpeed, Caddy och så vidare) och flaggar eventuellt X-Powered-By-huvud som överdalar.

Vad “bra” ser ut som: en CDN/WAF detekterad framför ditt ursprung, och ett Server-huvud som inte annonserar ett specifikt versionsnummer.

Hosting / leverantörskarta — dina infrastrukturberoenden

Din domän pekar tyst på flera olika tjänster:

• DNS — katalogen som förvandlar dittföretag.com till den faktiska serveradressen. Vi läser dina namnserver (NS)-poster och känner igen vanliga leverantörer (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode och regionala registrars bland dem).
• E-post — var din post hanteras. Vi läser dina MX-poster och känner igen vanliga leverantörer (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho med flera).

Därifrån kan vi se om dessa ansvar är delade över leverantörer (ett fel i en tar inte ned de andra) eller staplade hos en enda leverantör (bekvämt, men ett avbrott eller intrång tar alltihop).

Vad “bra” ser ut som: åtminstone DNS hållen av en dedikerad, pålitlig leverantör snarare än buntad i samma konto som allt annat — så din domäns katalog inte delar öde med din webbplats och inkorg.

Så här åtgärdar du det (gratis, ~1 eftermiddag)

Lämna det här till din IT-person eller webbutvecklare — åtgärden är gratis. Att placera en CDN/WAF framför din webbplats kostar ingenting på de vanliga gratistjänsterna, och att undertrycka din serverversion är en engradsinställning. Det finns ingen licens att köpa. (Betalda alternativ här är bara övervakning, portföljspårning och revisioner — aldrig åtgärden i sig.) Ägarens enda beslut är: ja, placera en sköld framför webbplatsen.

Eftersom båda kontrollerna är informativa betygsätts inget av det här — men en CDN/WAF är en av de bäst-värderade resilienssuppgraderingarna ett litet företag kan göra, så det är värt att göra.

1. Placera en CDN/WAF framför din webbplats

Den vanligaste, gratis vägen är Cloudflare:

1. Skapa ett gratis Cloudflare-konto och lägg till din domän.
2. Cloudflare läser dina befintliga DNS-poster; kontrollera att de importerats korrekt.
3. Ändra din domäns namnservrar (hos din registrar) till de två Cloudflare ger dig. Det är bytet som dirigerar trafik via Cloudflare.
4. Sätt SSL/TLS-läge till Full (strict) så att kryptering förblir end-to-end mellan besökare → Cloudflare → ditt ursprung. (Undvik “Flexible,” som lämnar det sista benet okrypterat.)
5. CDN:en och en grundläggande WAF är nu aktiva. Du kan finjustera WAF-regler senare, men standardvärden filtrerar redan mycket.

Andra vägar, beroende på din stack:

• AWS CloudFront — skapa en distribution som pekar på ditt ursprung; para med AWS WAF för filtrering. Bäst om du redan är på AWS.
• Sucuri WAF — DNS-baserad, kräver inga ändringar på din server; bra om du inte kan röra ursprunget.
• Fastly / Akamai — CDN:er/WAF:er i företagsklass, typiskt för större eller mer trafikintensiva webbplatser.

Efter bytet, testa webbplatsen, bekräfta att HTTPS fungerar överallt och bevaka det i en dag. Cacha inte aggressivt sidor som måste förbli personliga eller live (inloggade områden, varukorgar, kassor).

2. Sluta annonsera din serverversion

Oavsett om du lägger till en CDN, undertryck versionen din server annonserar — det är gratis information du ger angripare.

Nginx:

server_tokens off;

Apache (i huvudkonfigurationen):

ServerTokens Prod
ServerSignature Off

Ta bort ett överdallande X-Powered-By-huvud (t.ex. från PHP eller ett app-ramverk) på server- eller CDN-nivå — på Cloudflare kan du ta bort det med en svarshuvudstransformregel.

3. Kontrollera din leverantörskarta (valfritt, ~10 minuter)

Titta på var din DNS, webbplats och e-post faktiskt bor:

• Om alla tre sitter i ett leverantörskonto, överväg att åtminstone flytta DNS till en dedikerad leverantör (Cloudflares DNS är gratis och snabb). Den enda delningen innebär att din domäns katalog överlever ett hostingavbrott.
• Skriv ned kartan — DNS-leverantör, webbvärd, e-postleverantör, registrar och inloggnings-/supportkontakten för var och en. Det här enda dokumentet är det mest användbara du kan ha framför dig under en incident.

Plattformsnoterningar

• Google Workspace / Microsoft 365: de är dina e-post-leverantörer, inte din webbplats. Att placera en CDN/WAF framför webbplatsen rör inte e-post, och tvärtom — de är separata beslut. (Att ha e-post på Google/Microsoft och webbplatsen bakom Cloudflare är en utmärkt, avsiktligt delad inställning.)
• Hanterade webbplatsbyggare (Wix, Squarespace, Shopify): dessa inkluderar sin egna CDN och en nivå av WAF-skydd som en del av plattformen, så du kanske redan är skyddad även om vår huvudkontroll inte namnger en leverantör. Du kan vanligtvis inte lägga till din egna Cloudflare framför; det är bra — plattformen hanterar det.
• WordPress på din egna hosting: idealisk kandidat för ett gratis Cloudflare-lager framför. Kombinera det med ett säkerhetsplugins brandvägg för applikationsnivåregler.

Vanliga misstag

• Köra ett rent ursprung “för att webbplatsen är liten.” Småwebbplatser träffas av samma automatiserade angrepp och botflöden som stora — bots kontrollerar inte din intäkt först. Gratistjänsten CDN/WAF finns exakt för småwebbplatser; att inte använda den är att lämna en enkel vinst på bordet.
• Använda Cloudflares “Flexible” SSL. Det visar ett hänglås men lämnar anslutningen mellan Cloudflare och ditt ursprung okrypterad. Använd alltid Full (strict) så att det är krypterat end to end.
• Cacha fel saker. Att aggressivt cacha inloggade sidor, varukorgar eller kassor kan visa en kunds innehåll för en annan eller inaktuella priser. Cacha statiskt innehåll; lämna personliga och transaktionella sidor ocachade.
• Stapla allt hos en leverantör utan att inse det. Bekvämligheten är bra om det är ett medvetet val — men många företag upptäcker bara att DNS, webb och e-post delar ett konto under det avbrott som tar ned alla tre. Gör det till ett beslut, inte en upptäckt.
• Lämna serverversionen synlig. Det är ett gratis, engradshärdningssteg som är lätt att glömma. Stäng av det.

En notering om betyg

För att vara helt tydlig: ingen av dessa kontroller påverkar ditt betyg. De är registrerade i vår metodik som informativa, med noll poäng, och vi straffar dig aldrig för ett oskyddat ursprung eller en enprovidersinställning. Vi rapporterar dem för att de beskriver verklig exponering mot driftstopp, angrepp och lång incidentåterhämtning — och för att att lägga till en gratis CDN/WAF är en av de bäst-värderade uppgraderingarna ett litet företag kan göra. Om du inte gör något här är ditt betyg oförändrat. Om du placerar en sköld framför din webbplats och delar av din DNS har du gjort företaget meningsfullt mer resilient gratis. Det är rätt sätt att läsa den här sidan: inte ett nummer att försvara, utan en resiliensuppgradering värd att ta.

Vanliga frågor