Defaults.Exposed › Виправлення › CDN / WAF & hosting

Як виправити CDN / WAF & hosting

Два зрізи механізму за вашим сайтом: чи знаходитеся ви за захисним щитом (CDN з Web Application Firewall, як Cloudflare), що фільтрує атаки та поглинає стрибки трафіку, і карта того, хто насправді керує вашим DNS, сайтом і поштою. Обидва є інформаційними в нашій оцінці — вони не переміщують вашу оцінку — але вони описують, наскільки ваш сервер-джерело є відкритим для атаки і збою, і наскільки заплутані ваші провайдери. Щит спереду і розумно розподілений набір провайдерів — ось як виглядає стійкий бізнес.

Висновок для вашого бізнесу: Сайт без щита перед собою приймає кожну атаку і кожен стрибок трафіку безпосередньо на сервер-джерело — тому потік ботів, хвиля трафіку на день запуску або одна автоматизована атака може вивести вас офлайн на години, і відновлення лягає на вас. Розміщення CDN/WAF спереду (доступний безкоштовний рівень) фільтрує переважну більшість автоматизованих атак, поглинає хвилі і прискорює сайт у всьому світі — зазвичай робота на один день для вашого IT-фахівця, без вартості ліцензії. Окремо, якщо ваш DNS, сайт і пошта знаходяться у одного провайдера, єдиний збій або злом там виводить всю вашу онлайн-присутність одночасно; знання карти ваших провайдерів — перша річ, яка вам потрібна в інциденті. Жодна перевірка не змінює вашу оцінку — але обидві описують реальне розкриття до простою, втраченим продажам і повільному, болючому відновленню.

Що це може вам коштувати

• Потік ботів або невелика DDoS вдаряє по вашому незахищеному серверу вранці великої акції — сайт сповільнюється або падає, клієнти отримують помилки на касі, і ви втрачаєте продажі дня, поки ваш хост вирішує проблему. CDN/WAF спереду поглинув би це.
• Ваш DNS, сайт і пошта всі проходять через одного провайдера; цей провайдер має збій і ваш сайт, ваша система бронювання І ваша пошта всі темніють одночасно — ви навіть не можете надіслати «ми знаємо про проблему», бо поштова скринька теж не працює.
• Автоматизована атака зондує ваш сайт всю ніч — скрипти SQL-ін'єкцій і підбору паролів, що б'ють по вашому джерелу прямо, бо немає рівня брандмауера для їх фільтрації — і ви дізнаєтесь лише коли щось ламається. WAF блокує основну частину цього шуму до того, як він досягає вашого коду.
• Інцидент вдаряє і ніхто не може відповісти на базове питання 'кому нам навіть дзвонити?' — чи знаходиться сайт на тому самому хості, що й пошта? Хто керує DNS? Години витрачаються лише на картування схеми, поки сайт залишається лежати.
• IT-команда потенційного клієнта сканує вас перед підписанням і бачить голий сервер-джерело без CDN/WAF і витікаючий заголовок server-version, що рекламує точно, яке програмне забезпечення (і версію) ви запускаєте — маленький сигнал 'ці люди не захистили основи' в найгірший можливий момент.

Чому це важливо. Обидві перевірки тут є інформаційними за нашою методологією — вони зареєстровані з нульовими балами і ніколи не змінюють вашу оцінку — бо вони описують вашу інфраструктуру, а не тестують засіб безпеки, що проходить/провалюється. Ми показуємо їх, бо вони відображають реальне бізнес-розкриття. Сайт без CDN/WAF приймає кожну атаку і стрибок трафіку прямо на джерело, без фільтрації і поглинання хвиль; додавання (безкоштовний рівень Cloudflare є поширеним шляхом) є одним з найвищою вигодою, найменшими витратами оновлень стійкості, яке може зробити малий бізнес. І чітка карта провайдерів — знання того, чи ваш DNS, веб і пошта розділені або складені у одного провайдера — це перше, що вам потрібно, коли щось іде не так, і різниця між стримуваним інцидентом і тотальним відключенням.

Що це таке — простими словами

Кожен сайт запускається на сервері десь. Питання, яке відповідає ця сторінка: що стоїть між відкритим інтернетом і цим сервером — і хто насправді керує частинами вашої онлайн-присутності?

Є дві частини:

1. CDN / WAF — щит спереду. CDN (Content Delivery Network) — це глобальна мережа, що знаходиться перед вашим сайтом, швидко обслуговує ваш контент відвідувачам будь-де і поглинає стрибки трафіку. WAF (Web Application Firewall) — це фільтр, що перевіряє вхідні запити і блокує шкідливі до того, як вони досягнуть вашого сервера. Популярні сервіси (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri та інші) поєднують ці два. Ми дивимося на відповіді вашого сайту і повідомляємо, чи бачимо щит спереду — і ми також відзначаємо, який веб-сервер ви запускаєте.

2. Карта хостингу/провайдера — хто керує вашою схемою. Ми читаємо публічні записи, що кажуть, хто обробляє ваш DNS (довідник, що перетворює ваш домен на адресу), і хто обробляє вашу пошту. З цього ми можемо сказати, чи ваш DNS, сайт і пошта розподілені по провайдерах (стійко) або складені в одному (зручно, але єдина точка відмови).

Найважливіше знати заздалегідь: за нашою оцінкою обидва є інформаційними. Вони не впливають на вашу оцінку. Ми показуємо їх, бо вони описують, наскільки ваш бізнес відкритий до простою і атаки — що є різним, і дуже практичним, питанням від оцінки.

Що це може коштувати вам

Це не абстрактні ризики — це повсякденні способи, якими незахищене, заплутане налаштування перетворює маленьку проблему на поганий день.

• Вибитий офлайн у найважливіший момент. Ваш сайт сидить на сервері-джерелі без нічого перед ним. Вранці запуску або акції, трафік стрибає — або помірний ботовий потік вдаряє — і сервер не може впоратися. Сторінки тайм-аутять, каса помиляється, і ви втрачаєте виторг дня, поки ваш хост вирішує проблему. CDN поглинає хвилі і WAF фільтрує сміттєвий трафік; разом вони є різницею між «зайнятим днем» і «лежати весь ранок».

• Все темніє одночасно. Ваш DNS, сайт і пошта всі проходять через одного провайдера. Цей провайдер має збій (це трапляється з усіма ними врешті-решт) і ваш сайт, ваша система бронювання та ваша пошта зникають одночасно. Ви не можете обробляти замовлення, і ви навіть не можете написати клієнтам, що знаєте — бо поштова скринька теж не працює. Розділення провайдерів означає, що один збій стримано, а не тотально.

• Ваш код отримує кожну атаку прямо. Без WAF кожен автоматизований зонд — спроби ін’єкцій, підбір паролів, сканери відомих експлоїтів — вдаряє по вашому коду застосунку без фільтрації. Ви ставите на те, що ваше програмне забезпечення бездоганне і повністю пропатчено, назавжди. WAF блокує переважну більшість цього автоматизованого шуму до того, як він досягає вас, перетворюючи «постійну фонову атаку» на «здебільшого відфільтровано».

• Повільний, панічний інцидент, бо ніхто не має карту. Щось ламається і перша година витрачається на «зачекайте, хто запускає наш DNS? Чи пошта на тому самому хості? Кому нам дзвонити?» Коли ваша карта провайдерів незрозуміла, кожен інцидент починається з нуля. Знання карти наперед перетворює метушню на телефонний дзвінок.

• Погане перше враження у обережного покупця. IT-команда потенційного клієнта сканує вас перед підписанням і бачить голе джерело без CDN/WAF — і заголовок server, що відкрито рекламує ваше точне програмне забезпечення і версію. Це маленький сигнал, але він ставить вас у стовпець «не захистили основи» в найгірший момент.

Що це насправді є

CDN / WAF — захисний шар

Коли відвідувач (або зловмисник) запитує ваш сайт, запит може йти прямо до вашого сервера-джерела, або він може йти спочатку через CDN/WAF. Якщо щит спереду, цей щит може:

• Фільтрувати шкідливі запити (частина WAF): блокувати спроби ін’єкцій, ботові атаки та відомі шаблони експлоїтів до того, як вони коли-небудь досягнуть вашого коду.
• Поглинати трафік (частина CDN): обслуговувати кешований контент з серверів поруч з кожним відвідувачем і поглинати хвилі, щоб стрибок — легітимний або ворожий — не розчавив ваше джерело.
• Прискорювати сайт: контент, доставлений з близького крайового сервера, завантажується швидше для відвідувачів у всьому світі.

Ми виявляємо щит, дивлячись на відбитки пальців, що ці сервіси залишають у заголовках відповіді вашого сайту — наприклад заголовок cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), або x-sucuri-id (Sucuri). Ми також читаємо заголовок Server, щоб ідентифікувати ваш базовий веб-сервер (nginx, Apache, IIS, LiteSpeed, Caddy тощо), і позначаємо будь-який заголовок X-Powered-By, що надто розкриває.

Як виглядає «добре»: CDN/WAF, виявлений перед вашим джерелом, і заголовок Server, що не рекламує конкретний номер версії.

Карта хостингу/провайдера — ваші залежності інфраструктури

Ваш домен тихо вказує на кілька різних сервісів:

• DNS — довідник, що перетворює yourбізнес.com на фактичну адресу сервера. Ми читаємо ваші записи сервера імен (NS) і розпізнаємо поширених провайдерів (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode та регіональних реєстраторів серед них).
• Пошта — де обробляється ваша пошта. Ми читаємо ваші MX-записи і розпізнаємо поширених провайдерів (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho та інших).

З цього ми можемо бачити, чи ці обов’язки розподілені по провайдерах (збій в одному не виводить інших) або складені у єдиного провайдера (зручно, але один збій або злом виводить все).

Як виглядає «добре»: щонайменше, DNS, що тримається виділеним, надійним провайдером, а не об’єднаним в той самий обліковий запис, що і все інше — щоб довідник вашого домену не розділяв долю з вашим сайтом і поштовою скринькою.

Як це виправити (безкоштовно, ~1 день)

Передайте це вашому IT-фахівцю або веб-розробнику — виправлення безкоштовне. Розміщення CDN/WAF перед вашим сайтом нічого не коштує на поширених безкоштовних рівнях, і приховування версії вашого сервера — однорядкове налаштування. Не потрібно купувати ліцензій. (Платні варіанти тут — лише моніторинг, відстеження портфоліо та аудити — ніколи не саме виправлення.) Єдине рішення власника: так, розмістіть щит перед сайтом.

Оскільки обидві перевірки є інформаційними, нічого з цього не оцінюється — але CDN/WAF є одним з найцінніших оновлень стійкості для малого бізнесу, тому варто це зробити.

1. Розмістіть CDN/WAF перед вашим сайтом

Найпоширеніший, безкоштовний шлях — Cloudflare:

1. Створіть безкоштовний обліковий запис Cloudflare і додайте ваш домен.
2. Cloudflare читає ваші існуючі DNS-записи; перевірте, що вони правильно імпортовані.
3. Змініть сервери імен вашого домену (у вашого реєстратора) на ті два, що дає вам Cloudflare. Це перемикач, що маршрутизує трафік через Cloudflare.
4. Встановіть режим SSL/TLS на Full (strict), щоб шифрування залишалось наскрізним між відвідувачем → Cloudflare → вашим джерелом. (Уникайте «Flexible», що залишає останню ланку незашифрованою.)
5. CDN і базовий WAF тепер активні. Ви можете налаштовувати правила WAF пізніше, але стандарти вже фільтрують багато.

Інші шляхи, залежно від вашого стеку:

• AWS CloudFront — створіть дистрибуцію, що вказує на ваше джерело; поєднайте з AWS WAF для фільтрації. Найкраще, якщо ви вже на AWS.
• Sucuri WAF — на базі DNS, не потребує змін на вашому сервері; добре, якщо ви не можете торкатися джерела.
• Fastly / Akamai — корпоративні CDN/WAF, зазвичай для більших або більш завантажених сайтів.

Після переключення тестуйте сайт, підтверджуйте, що HTTPS скрізь працює, і слідкуйте за ним день. Не кешуйте агресивно сторінки, що повинні залишатись особистими або живими (зони після входу, кошики, каси).

2. Перестаньте рекламувати версію вашого сервера

Незалежно від того, чи додаєте ви CDN, приховайте версію, яку оголошує ваш сервер — це безкоштовна інформація, яку ви передаєте зловмисникам.

Nginx:

server_tokens off;

Apache (в основній конфігурації):

ServerTokens Prod
ServerSignature Off

Видаліть надто розкриваючий заголовок X-Powered-By (наприклад, від PHP або фреймворку застосунку) на рівні сервера або CDN — на Cloudflare ви можете видалити його з правилом перетворення заголовка відповіді.

3. Перевірте карту вашого провайдера (необов’язково, ~10 хвилин)

Погляньте, де насправді знаходяться ваш DNS, сайт і пошта:

• Якщо всі три знаходяться в одному обліковому записі провайдера, розгляньте принаймні переміщення DNS до виділеного провайдера (Cloudflare DNS безкоштовний і швидкий). Цього єдиного поділу достатньо, щоб довідник вашого домену пережив збій хостингу.
• Запишіть карту — DNS-провайдер, веб-хост, постачальник пошти, реєстратор і контакт для входу/підтримки для кожного. Ця одна сторінка є найкориснішою річчю, яку ви можете мати перед собою під час інциденту.

Примітки по платформі

• Google Workspace / Microsoft 365: вони є вашими постачальниками пошти, а не вашим сайтом. Розміщення CDN/WAF перед сайтом не торкається пошти, і навпаки — це окремі рішення. (Мати пошту на Google/Microsoft і сайт за Cloudflare — це цілком хороше, навмисно-розділене налаштування.)
• Керовані конструктори сайтів (Wix, Squarespace, Shopify): вони включають власний CDN і рівень захисту WAF як частину платформи, тому ви можете вже бути захищені, навіть якщо наша перевірка заголовків не називає провайдера. Ви зазвичай не можете додати власний Cloudflare перед ними; це нормально — платформа обробляє це.
• WordPress на вашому власному хостингу: ідеальний кандидат для безкоштовного рівня Cloudflare спереду. Поєднайте його з брандмауером плагіна безпеки для правил рівня застосунку.

Поширені помилки

• Запуск голого джерела «бо сайт маленький». Маленькі сайти атакуються тими ж автоматизованими атаками і ботовими потоками, що й великі — боти не перевіряють ваш виторг спочатку. Безкоштовний рівень CDN/WAF існує саме для малих сайтів; не використовувати його — залишати легку перемогу на столі.
• Використання Cloudflare «Flexible» SSL. Він показує замок, але залишає з’єднання між Cloudflare і вашим джерелом незашифрованим. Завжди використовуйте Full (strict), щоб воно було зашифровано наскрізь.
• Кешування неправильних речей. Агресивне кешування сторінок після входу, кошиків або кас може показувати одному клієнту контент іншого або застарілі ціни. Кешуйте статичний контент; залишайте персоналізовані та транзакційні сторінки некешованими.
• Складання всього у одного провайдера не усвідомлюючи цього. Зручність нормальна, якщо це свідомий вибір — але багато компаній дізнаються, що DNS, веб і пошта спільно використовують один обліковий запис під час збою, що виводить всіх трьох. Зробіть це рішенням, а не відкриттям.
• Залишення версії сервера на відображенні. Це безкоштовний, однорядковий крок посилення, який легко забути. Вимкніть.

Примітка про оцінку

Щоб бути абсолютно чітким: жодна з цих перевірок не впливає на вашу оцінку. Вони зареєстровані в нашій методології як інформаційні, з нульовими балами, і ми ніколи не штрафуємо вас за незахищене джерело або налаштування одного провайдера. Ми повідомляємо про них, бо вони описують реальне розкриття до простою, атаки і повільного відновлення інциденту — і тому що додавання безкоштовного CDN/WAF є одним з найкращих за вартістю оновлень для малого бізнесу. Якщо ви тут нічого не робите, ваша оцінка незмінна. Якщо ви розміщуєте щит перед вашим сайтом і відокремлюєте ваш DNS, ви зробили бізнес значно більш стійким безкоштовно. Це правильний спосіб читати цю сторінку: не число для захисту, а оновлення стійкості, варте прийняття.

FAQ