Defaults.Exposed › การแก้ไข
แก้ไขความปลอดภัยโดเมนของคุณ — คู่มือทีละขั้นตอนฟรี
คู่มือภาษาอังกฤษที่เรียบง่ายสำหรับการแก้ไขทุกปัญหาที่เราให้คะแนน — SPF, DKIM, DMARC, DNSSEC, TLS, ใบรับรอง และ HTTP security headers แต่ละอย่างอธิบายว่าคืออะไร ค่าใช้จ่ายต่อธุรกิจของคุณ และวิธีตั้งค่าบนผู้ให้บริการของคุณ
- CDN / WAF & การโฮสติ้ง
การอ่านสองอย่างของท่อประปาเบื้องหลังเว็บไซต์ของคุณ: ว่าคุณอยู่หลัง shield ป้องกัน (CDN ที่มี Web Application Firewall เช่น Cloudflare) ที่กรองการโจมตีและรองรับ traffic spikes และแผนที่ของผู้ที่รัน DNS เว็บไซต์ และอีเมลของคุณจริงๆ ทั้งสองเป็นข้อมูลในการให้คะแนนของเรา — พวกมันไม่เปลี่ยนเกรดของคุณ — แต่อธิบายว่าเซิร์ฟเวอร์ต้นทางของคุณเปิดเผยต่อการโจมตีและการหยุดทำงานมากแค่ไหน และผู้ให้บริการของคุณพัวพันกันมากแค่ไหน Shield อยู่ข้างหน้าและชุดผู้ให้บริการที่แบ่งออกอย่างสมเหตุสมผลคือสิ่งที่ธุรกิจที่มีความยืดหยุ่นดูเหมือน - Content-Security-Policy (CSP)
Content Security Policy คือกฎความปลอดภัยที่เว็บไซต์ของคุณส่งให้เบราว์เซอร์ของผู้เข้าชมทุกคน บอกอย่างแน่ชัดว่าโค้ดใดได้รับอนุญาตให้รัน หากไม่มี หากมีอะไรเป็นอันตรายเคยลงบนหน้า — ผ่านช่องความคิดเห็น ปลั๊กอินที่ถูกแฮ็ก หรือสคริปต์ของบุคคลที่สาม — เบราว์เซอร์จะรันมันได้อย่างอิสระ รวมถึงโค้ดที่คัดลอกหมายเลขบัตรและรหัสผ่านของลูกค้าเงียบๆ ขณะที่พวกเขาพิมพ์ โดยยังคงแสดงกุญแจอยู่ - Cross-origin isolation headers (COOP / CORP / COEP)
คำสั่งเบราว์เซอร์สามอย่างที่เป็นตัวเลือกที่ควบคุมว่าเว็บไซต์อื่นได้รับอนุญาตให้โต้ตอบกับของคุณอย่างไร — เปิดมันใน popup ฝังรูปภาพและสคริปต์ หรือดึง resource เข้าหน้าของมันเอง มันเป็นการเพิ่มความแข็งแกร่งสมัยใหม่ ไม่ใช่สิ่งจำเป็นพื้นฐาน และในการให้คะแนนของเราเป็นข้อมูล: การขาดมันไม่ลดเกรดของคุณ แต่สองที่ปลอดภัยปิดช่องว่าง phishing popup และการขโมยแบนด์วิดท์ที่เงียบ และทีม IT ของผู้ซื้อที่รอบคอบจะสังเกตเมื่อพวกมันมีอยู่ - DKIM
DKIM คือตราประทับป้องกันการดัดแปลงล่องหนบนอีเมลทุกฉบับที่ธุรกิจของคุณส่ง มันช่วยให้ผู้ให้บริการเมลรับยืนยันว่าอีเมลมาจากคุณจริงๆ และมาถึงโดยไม่เปลี่ยนแปลง หากไม่มี เมลของคุณง่ายต่อการปลอมแปลง ง่ายต่อการเปลี่ยนแปลง และมีแนวโน้มมากกว่าที่จะตกอยู่ใน spam - DMARC (การป้องกัน Email Spoofing)
DMARC คือการตั้งค่าหนึ่งที่บอกผู้ให้บริการเมลของโลกให้บล็อกอีเมลที่ปลอมชื่อธุรกิจของคุณจริงๆ SPF และ DKIM ตรวจสอบล็อค DMARC ตัดสินใจว่าจะเกิดอะไรขึ้นเมื่อการปลอมแปลงล้มเหลวในการตรวจสอบ — ทิ้งมัน ทำเครื่องหมาย หรือส่งผ่านมัน ตั้งผิด โดเมนของคุณปลอมแปลงได้อย่างสมบูรณ์ ตั้งถูก การแอบอ้างหยุดที่กล่องรับจดหมาย - DNSSEC
DNSSEC เป็นตราประทับดิจิทัลบนสมุดที่อยู่โดเมนของคุณ มันช่วยให้อินเทอร์เน็ตพิสูจน์ว่าคำตอบของ 'โดเมนนี้อยู่ที่ไหน?' มาจากคุณจริงๆ และไม่ถูกดัดแปลงระหว่างทาง หากไม่มีมัน คำตอบสามารถถูกปลอมแปลง — และผู้เข้าชมของคุณถูกส่งไปที่อื่นอย่างเงียบๆ - HSTS (Strict-Transport-Security)
HSTS เป็นคำสั่งหนึ่งบรรทัดที่เว็บไซต์ของคุณให้กับทุกเบราว์เซอร์: 'กลับมาหาฉันเสมอผ่านการเชื่อมต่อที่ปลอดภัยและเข้ารหัส — ไม่ใช่การเชื่อมต่อที่ไม่ปลอดภัย' หากไม่มีมัน padlock ของคุณสามารถถูกดึงออกอย่างเงียบๆ บน WiFi สาธารณะ และการเข้าชมครั้งแรกของเว็บไซต์ของคุณถูกเปิดเผย - HTTPS & การ redirect ไปยังการเชื่อมต่อที่ปลอดภัย
HTTPS คือ padlock ในแถบเบราว์เซอร์ — มันเข้ารหัสทุกอย่างที่เดินทางระหว่างเว็บไซต์ของคุณและลูกค้าของคุณเพื่อให้ไม่สามารถอ่านหรือถูกดัดแปลงระหว่างทาง การ redirect ไปยังการเชื่อมต่อที่ปลอดภัยทำให้แน่ใจว่าผู้เข้าชมลงบนเวอร์ชันที่เข้ารหัสนั้นอัตโนมัติ แม้แต่เมื่อพวกมันพิมพ์ที่อยู่ของคุณโดยไม่มี 'https://' ทั้งสองนี้เป็นสิ่งพื้นฐานที่สุดที่เว็บไซต์จำเป็นต้องถือว่าปลอดภัยเลย - Referrer-Policy
Referrer-Policy คือคำสั่งหนึ่งบรรทัดที่เว็บไซต์ของคุณส่งให้เบราว์เซอร์ของผู้เข้าชมทุกคน โดยควบคุมว่าจะมีที่อยู่เว็บของคุณเดินทางไปกับพวกมันเท่าไหร่เมื่อคลิกลิงก์ไปยังเว็บไซต์อื่น หากไม่มี ที่อยู่แบบเต็มของหน้าที่พวกเขาอยู่ — ไม่ว่าจะเป็นคำค้นหา หมายเลขบัญชี ลิงก์รีเซ็ต เส้นทางหน้าภายใน และทุกอย่าง — จะถูกส่งให้เว็บไซต์ถัดไปที่พวกเขาไปถึงอย่างเงียบๆ รวมถึงโฆษณา บริษัทวิเคราะห์ และที่ใดก็ตามที่ลิงก์ชี้ไป - Reverse DNS (PTR)
Reverse DNS คือป้ายประจำตัวสำหรับเซิร์ฟเวอร์ที่ส่งอีเมลธุรกิจของคุณ เมื่อผู้ให้บริการที่รับอย่าง Gmail หรือ Microsoft 365 ค้นหาว่าใครอยู่เบื้องหลังที่อยู่ที่ส่งและได้ชื่อที่ตรวจสอบได้ อีเมลของคุณดูถูกกฎหมาย เมื่อไม่มีป้าย — หรือชื่อและหมายเลขไม่ตรงกัน — ใบแจ้งหนี้และใบเสนอราคาจริงๆ ของคุณจะถูกปฏิบัติอย่างน่าสงสัยและถูกทิ้งหรือปฏิเสธเงียบๆ - SPF (Sender Policy Framework)
SPF คือบรรทัดในการตั้งค่าโดเมนของคุณที่แสดงรายชื่อบริการเมลใดที่ได้รับอนุญาตให้ส่งอีเมลในนามธุรกิจของคุณ หากไม่มี ใครก็ตามทั่วโลกสามารถส่งอีเมลที่ดูเหมือนมาจากคุณ — และอีเมลแท้จริงของคุณเองมีแนวโน้มมากขึ้นที่จะตกอยู่ใน spam ของลูกค้า - การเข้ารหัสสมัยใหม่ (เวอร์ชัน TLS & cipher)
TLS คือกุญแจที่เข้ารหัสข้อมูลที่ไหลระหว่างผู้เข้าชมและเว็บไซต์ของคุณ สองสิ่งทำให้กุญแจนั้นน่าเชื่อถือ: การใช้เวอร์ชัน TLS สมัยใหม่ (ไม่ใช่เวอร์ชันเก่าที่เสียหาย) และการใช้ cipher ที่แข็งแกร่ง (สูตรการเข้ารหัสจริง) หน้านี้ครอบคลุมทั้งสอง — รวมถึงการตั้งค่าที่เกี่ยวข้องไม่กี่อย่างที่ไม่ส่งผลต่อเกรดของคุณแต่ควรรู้ - การตั้งค่า Nameserver (ความหลากหลาย & SOA)
Nameserver ของคุณเป็นไดเรกทอรีที่บอกอินเทอร์เน็ตทั้งหมดว่าจะหาเว็บไซต์และอีเมลของคุณได้ที่ไหน ถ้าทั้งหมดอยู่บนเครือข่ายเดียวและเครือข่ายนั้นล่ม ธุรกิจของคุณจะหายไปจากอินเทอร์เน็ตในทันทีเดียวกัน — ไม่มีเว็บไซต์ ไม่มีอีเมล ไม่มีอะไรเลย — และการตั้งค่านาฬิกาที่สกปรกบนเซิร์ฟเวอร์เหล่านั้นสามารถทำให้การเปลี่ยนแปลงที่คุณทำค้างอยู่เป็นวันๆ - การป้องกัน Clickjacking (X-Frame-Options)
คำสั่งหนึ่งบรรทัดที่บอกเบราว์เซอร์ไม่ให้เว็บไซต์อื่นโหลดเว็บไซต์ของคุณอย่างลับๆ ภายในของพวกเขาเอง หากไม่มี นักต้มตุ๋นสามารถซ่อนหน้าจริงที่เข้าสู่ระบบของคุณไว้หลังหน้าปลอมและหลอกลูกค้าให้คลิกสิ่งที่พวกเขาไม่ตั้งใจ — อนุมัติการชำระเงิน เปลี่ยนรหัสผ่าน ให้สิทธิ์การเข้าถึง - การป้องกัน MIME-sniffing (X-Content-Type-Options)
Header หนึ่งบรรทัดที่หยุดเบราว์เซอร์จากการเดาว่าไฟล์จริงๆ คืออะไร หากไม่มี ไฟล์ที่มีคนอัปโหลดไปยังเว็บไซต์ของคุณ — หรือไฟล์บนหน้าของคุณเอง — อาจถูกเบราว์เซอร์อ่านผิดและรันเป็นโค้ด ซึ่งเป็นวิธีที่การโจมตีบางอย่างเปลี่ยนการอัปโหลดที่ดูบริสุทธิ์เป็นวิธีขโมยเซสชันของลูกค้า - การรองรับ IPv6
IPv6 คือเวอร์ชันใหม่กว่าและใหญ่กว่ามากของระบบที่อยู่ของอินเทอร์เน็ต นำมาใช้เพราะเวอร์ชันเก่า (IPv4) หมดพื้นที่แล้ว การเพิ่มการรองรับ IPv6 หมายความว่าเว็บไซต์และอีเมลของคุณสามารถเข้าถึงได้ผ่านเครือข่ายสมัยใหม่รวมถึงเครือข่ายเก่า ในการให้คะแนนของเรานี่เป็นข้อมูล — การไม่มีมันไม่ลดเกรดของคุณ — แต่มันเป็นปัญหาการเข้าถึงในโลกจริง: ส่วนแบ่งที่เพิ่มขึ้นของลูกค้ามือถือและต่างประเทศเชื่อมต่อผ่านเครือข่าย IPv6-only และพวกมันเข้าถึงคุณได้อย่างราบรื่นเฉพาะถ้าคุณรองรับมัน การแก้ไขฟรีและอยู่ใน DNS และการตั้งค่าโฮสติ้งของคุณ - ความสมบูรณ์ของใบรับรอง TLS
ใบรับรอง SSL/TLS ของคุณคือบัตรประจำตัวดิจิทัลที่พิสูจน์ว่าผู้เข้าชมกำลังคุยกับเว็บไซต์ของคุณจริงๆ — ไม่ใช่ผู้แอบอ้าง — และขับเคลื่อนกุญแจในเบราว์เซอร์ การตรวจสอบนี้ดูว่าใบรับรองนั้นถูกต้องและเชื่อถือได้ ใกล้หมดอายุหรือไม่ และสร้างด้วยการเข้ารหัสที่แข็งแกร่งและทันสมัยหรือไม่ - ระเบียน CAA
ระเบียน CAA เป็นคำสั่งสั้นๆ ในการตั้งค่าโดเมนของคุณที่ระบุว่าบริษัทใบรับรองใดได้รับอนุญาตให้ออกใบรับรองความปลอดภัย 'padlock' สำหรับเว็บไซต์ของคุณ เมื่อเปิดใช้งาน ไม่มีบริษัทอื่นสามารถสร้างใบรับรองที่ถูกต้องในนามของคุณอย่างเงียบๆ - ระเบียน MX (การตั้งค่าอีเมล)
ระเบียน MX คือป้ายบอกทางที่แจ้งให้ส่วนอื่นของโลกรู้ว่าควรส่งอีเมลที่ส่งถึงโดเมนของคุณไปที่ใด หากระเบียน MX หายไปหรือเสียหาย ทุกข้อความที่ส่งถึงธุรกิจของคุณ — คำถามจากลูกค้า การรีเซ็ตรหัสผ่าน ใบแจ้งหนี้ สัญญา — จะถูกตีกลับหาผู้ส่ง ไม่มี MX ก็ไม่มีกล่องจดหมาย