Defaults.Exposed › Виправлення
Виправте безпеку свого домену — безкоштовні покрокові посібники
Посібники простою мовою щодо виправлення кожної проблеми, яку ми оцінюємо, — SPF, DKIM, DMARC, DNSSEC, TLS, сертифікати та HTTP-заголовки безпеки. Кожен пояснює, що це таке, у скільки це може обійтися вашому бізнесу і як саме це налаштувати у вашого провайдера.
- CAA records
CAA-запис — це короткий вказівник у налаштуваннях вашого домену, що називає, яким сертифікаційним компаніям дозволено видавати сертифікат «замку» безпеки для вашого сайту. З його увімкненням жодна інша компанія не може тихо створити дійсний сертифікат від вашого імені. - CDN / WAF & hosting
Два зрізи механізму за вашим сайтом: чи знаходитеся ви за захисним щитом (CDN з Web Application Firewall, як Cloudflare), що фільтрує атаки та поглинає стрибки трафіку, і карта того, хто насправді керує вашим DNS, сайтом і поштою. Обидва є інформаційними в нашій оцінці — вони не переміщують вашу оцінку — але вони описують, наскільки ваш сервер-джерело є відкритим для атаки і збою, і наскільки заплутані ваші провайдери. Щит спереду і розумно розподілений набір провайдерів — ось як виглядає стійкий бізнес. - Clickjacking protection (X-Frame-Options)
Однорядкова інструкція, що каже браузерам не дозволяти іншим сайтам таємно завантажувати ваш сайт всередині свого. Без неї шахрай може приховати ваші справжні, авторизовані сторінки за підробленою сторінкою і змусити ваших клієнтів натискати те, що вони ніколи не мали на увазі — підтверджувати платіж, змінювати пароль, надавати доступ. - Content-Security-Policy (CSP)
Content Security Policy — це правило безпеки, яке ваш сайт передає браузеру кожного відвідувача, точно вказуючи, якому коду дозволено запускатися. Без нього, якщо на сторінку колись потрапить щось шкідливе — через поле коментаря, зламаний плагін або сторонній скрипт — браузер запустить це вільно, включно з кодом, що тихо зчитує номери карток і паролі ваших клієнтів прямо під час введення, тоді як замок все ще відображається. - Cross-origin isolation headers (COOP / CORP / COEP)
Три необов'язкові інструкції браузера, що контролюють, як іншим сайтам дозволено взаємодіяти з вашим — відкривати його у спливних вікнах, вбудовувати його зображення та скрипти або завантажувати його ресурси на свої сторінки. Це сучасне посилення, а не базовий обов'язок, і за нашою оцінкою вони є інформаційними: їхня відсутність не знижує вашу оцінку. Але два безпечних з них закривають тихий фішинг у спливних вікнах і крадіжку пропускної здатності, і уважна IT-команда покупця помітить, коли вони присутні. - DKIM
DKIM — це невидима захисна пломба на кожному листі, що надсилає ваш бізнес. Вона дозволяє приймальному поштовому провайдеру підтвердити, що лист справді прийшов від вас і не змінювався по дорозі. Без неї вашу пошту легше підробити, легше змінити і вона значно частіше потраплятиме до спаму. - DMARC (Email Spoofing Protection)
DMARC — це єдине налаштування, що фактично каже поштовим провайдерам усього світу БЛОКУВАТИ листи, що підробляють ім'я вашого бізнесу. SPF і DKIM перевіряють замки; DMARC вирішує, що відбувається, коли підробка не проходить перевірку — викидати, позначати або пропускати. Встановлений неправильно, ваш домен повністю підроблюється; встановлений правильно, видавання себе зупиняється на вхідній скриньці. - DNSSEC
DNSSEC — це цифрова печатка на адресній книзі вашого домену. Вона дозволяє інтернету довести, що відповідь на питання «де живе цей домен?» справді прийшла від вас і не була підроблена по дорозі. Без неї відповідь може бути підроблена — і ваші відвідувачі тихо відправлені кудись іще. - HSTS (Strict-Transport-Security)
HSTS — це однорядкова інструкція, яку ваш сайт дає кожному браузеру: 'завжди повертайся до мене через захищене, зашифроване з'єднання — ніколи через незахищене'. Без нього ваш замок може бути тихо знятий у спільному Wi-Fi, і сам перший візит на ваш сайт лишається незахищеним. - HTTPS & forced-secure redirect
HTTPS — це замок у рядку браузера: він шифрує все, що передається між вашим сайтом і вашими клієнтами, щоб ніхто не міг прочитати або підробити дані в дорозі. Примусове перенаправлення гарантує, що відвідувачі автоматично потрапляють на зашифровану версію, навіть коли вводять вашу адресу без 'https://'. Разом вони є найосновнішою річчю, яка потрібна сайту, щоб взагалі вважатися безпечним. - IPv6 support
IPv6 — це новіша, значно більша версія системи адресування інтернету, введена тому, що стара (IPv4) вичерпала простір. Додавання підтримки IPv6 означає, що ваш сайт і пошта можуть бути досягнуті через сучасну мережу, а також через стару. За нашою оцінкою це є інформаційним — відсутність не знижує вашу оцінку — але це реальне питання охоплення: зростаюча частка мобільних і закордонних клієнтів підключається через мережі лише з IPv6, і вони досягають вас безперешкодно лише якщо ви підтримуєте його. Виправлення безкоштовне і знаходиться у ваших налаштуваннях DNS і хостингу. - MIME-sniffing protection (X-Content-Type-Options)
Однорядковий заголовок, що зупиняє браузери від вгадування, що насправді є файл. Без нього файл, що хтось завантажує на ваш сайт — або файл на ваших власних сторінках — може бути неправильно інтерпретований браузером і запущений як код, що є саме тим, як деякі атаки перетворюють нешкідливо виглядаюче завантаження на спосіб вкрасти сесії ваших клієнтів. - Modern encryption (TLS version & ciphers)
TLS — це замок, що шифрує дані між вашими відвідувачами і вашим сайтом. Дві речі роблять цей замок надійним: використання сучасної версії TLS (а не старих, зламаних) і використання сильних шифрів (фактичний рецепт шифрування). Ця сторінка охоплює обидва — а також кілька пов'язаних налаштувань, що не впливають на вашу оцінку, але варті уваги. - MX Records (Mail Setup)
MX-запис — це покажчик, що повідомляє решту світу, куди доставляти листи, адресовані вашому домену. Якщо він відсутній або зламаний, кожне повідомлення, надіслане вашому бізнесу — запити клієнтів, скидання паролів, рахунки, контракти — повертається відправнику. Без MX — немає вхідних. - Nameserver setup (diversity & SOA)
Ваші сервери імен — це довідник, що каже всьому інтернету, де знайти ваш сайт та електронну пошту. Якщо вони всі знаходяться в одній мережі і вона виходить з ладу, ваш бізнес зникає з інтернету одночасно — немає сайту, немає пошти, нічого — і неправильне налаштування годинника на цих серверах може залишати ваші зміни застряглими на кілька днів. - Referrer-Policy
Referrer-Policy — це однорядкова інструкція, яку ваш сайт передає браузеру кожного відвідувача, контролюючи, скільки вашої веб-адреси мандрує з ними, коли вони натискають посилання на інший сайт. Без неї повна адреса сторінки, на якій вони були — пошукові запити, номери облікових записів, посилання для скидання, внутрішні шляхи — тихо передається наступному сайту, на який вони потрапляють, включно з рекламодавцями, аналітичними компаніями та будь-ким ще, на кого веде посилання. - Reverse DNS (PTR)
Зворотний DNS — це посвідчення особи для сервера, що надсилає пошту вашого бізнесу. Коли приймальний провайдер, як Gmail або Microsoft 365, перевіряє, хто стоїть за адресою відправника і отримує ім'я, що відповідає дійсності, — ваша пошта виглядає легітимно. Коли немає посвідчення — або ім'я і номер не збігаються — ваші цілком справжні рахунки і пропозиції сприймаються як підозрілі і тихо потрапляють до спаму або відхиляються. - SPF (Sender Policy Framework)
SPF — це рядок у налаштуваннях вашого домену, що вказує, яким поштовим службам дозволено надсилати листи від імені вашого бізнесу. Без нього будь-хто у світі може надіслати лист, що виглядатиме так, ніби він прийшов від вас, — а ваша власна пошта частіше потраплятиме до спаму клієнтів. - TLS certificate health
Ваш SSL/TLS-сертифікат — це цифрове посвідчення особи, що підтверджує відвідувачу: він спілкується саме з вашим сайтом, а не з самозванцем. Ця перевірка розглядає, чи є сертифікат дійсним і довіреним, чи не закінчується незабаром і чи побудований на сучасній криптографії.