Defaults.Exposed › Cách khắc phục
Khắc phục bảo mật tên miền của bạn — hướng dẫn từng bước miễn phí
Hướng dẫn bằng ngôn ngữ dễ hiểu để khắc phục mọi vấn đề chúng tôi chấm điểm — SPF, DKIM, DMARC, DNSSEC, TLS, chứng chỉ và các tiêu đề bảo mật HTTP. Mỗi hướng dẫn giải thích đó là gì, có thể gây thiệt hại gì cho doanh nghiệp của bạn, và chính xác cách thiết lập trên nhà cung cấp của bạn.
- Bản ghi CAA
Bản ghi CAA là hướng dẫn ngắn trong cài đặt tên miền của bạn đặt tên công ty nào được phép cấp chứng chỉ bảo mật 'ổ khóa' cho website của bạn. Khi được bật, không công ty nào khác có thể âm thầm tạo chứng chỉ hợp lệ nhân danh bạn. - Bản ghi MX (Cài đặt thư)
Bản ghi MX là biển chỉ đường nói cho phần còn lại của thế giới biết nơi giao email được gửi đến tên miền của bạn. Nếu nó thiếu hoặc hỏng, mọi thư gửi đến doanh nghiệp bạn — hỏi hàng của khách, đặt lại mật khẩu, hóa đơn, hợp đồng — đều bị trả lại người gửi ngay lập tức. Không có MX, không có hộp thư. - Bảo vệ clickjacking (X-Frame-Options)
Một hướng dẫn một dòng nói với trình duyệt không để các trang web khác âm thầm tải trang của bạn bên trong trang của chúng. Không có nó, kẻ lừa đảo có thể ẩn trang thật, đã đăng nhập của bạn sau một trang giả và lừa khách hàng nhấp vào những thứ họ không bao giờ có ý định — phê duyệt thanh toán, thay đổi mật khẩu, cấp quyền truy cập. - Bảo vệ MIME-sniffing (X-Content-Type-Options)
Một header một dòng ngăn trình duyệt đoán loại file thực sự là gì. Không có nó, file ai đó tải lên trang của bạn — hoặc file trên các trang của bạn — có thể bị trình duyệt hiểu sai và chạy như mã, đó chính xác là cách một số cuộc tấn công biến upload trông vô hại thành cách đánh cắp phiên của khách hàng. - CDN / WAF & hosting
Hai đọc về cơ sở hạ tầng đằng sau website của bạn: liệu bạn có đứng sau tấm chắn bảo vệ (CDN với Web Application Firewall, như Cloudflare) lọc các cuộc tấn công và hấp thu các đợt lưu lượng tăng đột biến, và bản đồ về ai thực sự chạy DNS, website và email của bạn. Cả hai đều là thông tin trong tính điểm của chúng tôi — chúng không di chuyển điểm của bạn — nhưng chúng mô tả mức độ phơi lộ máy chủ gốc của bạn với tấn công và sự cố, và nhà cung cấp của bạn rối như thế nào. Tấm chắn ở phía trước và tập nhà cung cấp được chia hợp lý là những gì doanh nghiệp kiên cường trông như thế nào. - Content-Security-Policy (CSP)
Content Security Policy là bộ quy tắc an toàn website của bạn trao cho trình duyệt mỗi khách truy cập, nói chính xác mã nào được phép chạy. Không có nó, nếu có thứ gì độc hại vào trang — qua hộp bình luận, plugin bị tấn công, hoặc script bên thứ ba — trình duyệt sẽ chạy nó tự do, kể cả mã lặng lẽ skim số thẻ và mật khẩu của khách hàng khi họ gõ, trong khi ổ khóa vẫn hiển thị. - DKIM
DKIM là con dấu chống giả mạo vô hình trên mỗi email doanh nghiệp bạn gửi. Nó cho phép nhà cung cấp thư nhận xác nhận email thực sự đến từ bạn và đến nguyên vẹn. Không có DKIM, thư của bạn dễ bị giả mạo hơn, dễ bị sửa đổi hơn, và khả năng cao hơn bị lọc vào spam hoặc từ chối thẳng. - DMARC (Bảo vệ giả mạo email)
DMARC là cài đặt duy nhất thực sự yêu cầu các nhà cung cấp thư trên thế giới CHẶN email giả mạo tên doanh nghiệp bạn. SPF và DKIM kiểm tra ổ khóa; DMARC quyết định điều gì xảy ra khi email giả mạo thất bại kiểm tra — bỏ vào thùng rác, gắn cờ, hoặc cho qua. Cài đặt sai, tên miền của bạn có thể bị giả mạo hoàn toàn; cài đặt đúng, hành vi mạo danh dừng lại tại hộp thư đến. - DNSSEC
DNSSEC là con dấu kỹ thuật số trên sổ địa chỉ tên miền của bạn. Nó cho phép internet chứng minh rằng câu trả lời cho 'tên miền này sống ở đâu?' thực sự đến từ bạn và không bị can thiệp trên đường đi. Không có nó, câu trả lời có thể bị làm giả — và khách truy cập của bạn âm thầm bị gửi đi nơi khác. - Header cô lập cross-origin (COOP / CORP / COEP)
Ba hướng dẫn trình duyệt tùy chọn kiểm soát cách các trang web khác được phép tương tác với trang của bạn — mở nó trong popup, nhúng ảnh và script của nó, hoặc kéo resource của nó vào trang của chúng. Chúng là hardening hiện đại, không phải điều phải có cơ bản, và trong tính điểm của chúng tôi chúng là thông tin: thiếu chúng không làm giảm điểm của bạn. Nhưng hai cái an toàn đóng khoảng cách phishing popup và trộm băng thông lặng lẽ, và nhóm IT của người mua cẩn thận sẽ chú ý khi chúng hiện diện. - Hỗ trợ IPv6
IPv6 là phiên bản mới hơn, lớn hơn nhiều của hệ thống địa chỉ của internet, được đưa vào vì hệ thống cũ (IPv4) đã hết chỗ. Thêm hỗ trợ IPv6 có nghĩa là website và email của bạn có thể tiếp cận qua mạng hiện đại cũng như mạng cũ. Trong tính điểm của chúng tôi đây là thông tin — không có nó không làm giảm điểm của bạn — nhưng nó là vấn đề tiếp cận thực tế: một phần ngày càng tăng của khách hàng di động và nước ngoài kết nối qua mạng chỉ-IPv6, và họ tiếp cận bạn suôn sẻ chỉ khi bạn hỗ trợ nó. Bản sửa miễn phí và nằm trong thiết lập DNS và hosting của bạn. - HSTS (Strict-Transport-Security)
HSTS là một hướng dẫn một dòng website của bạn cung cấp cho mọi trình duyệt: 'luôn quay lại với tôi qua kết nối an toàn, mã hóa — không bao giờ là kết nối không an toàn.' Không có nó, ổ khóa của bạn có thể bị âm thầm loại bỏ trên WiFi chia sẻ, và chính lần ghé thăm đầu tiên website của bạn bị phơi lộ. - HTTPS & chuyển hướng bắt buộc sang HTTPS
HTTPS là ổ khóa trong thanh địa chỉ trình duyệt — nó mã hóa mọi thứ truyền giữa website và khách hàng để không ai có thể đọc hoặc giả mạo trong quá trình truyền. Chuyển hướng bắt buộc đảm bảo khách truy cập hạ cánh trên phiên bản mã hóa đó tự động, ngay cả khi họ gõ địa chỉ không có 'https://'. Cùng nhau chúng là điều cơ bản nhất mà website cần để được coi là an toàn. - Mã hóa hiện đại (phiên bản TLS & cipher)
TLS là ổ khóa xáo trộn dữ liệu chảy giữa khách truy cập và website của bạn. Hai thứ làm cho ổ khóa đó đáng tin: dùng phiên bản TLS hiện đại (không phải các phiên bản cũ, đã bị phá), và dùng cipher mạnh (công thức xáo trộn thực tế). Trang này bao gồm cả hai — cộng thêm một vài cài đặt liên quan không ảnh hưởng điểm nhưng đáng biết. - Referrer-Policy
Referrer-Policy là một hướng dẫn một dòng website của bạn trao cho trình duyệt của mỗi khách truy cập, kiểm soát bao nhiêu địa chỉ web của bạn đi cùng họ khi họ nhấp vào liên kết đến trang khác. Không có nó, địa chỉ đầy đủ của bất kỳ trang nào họ đang trên — từ khóa tìm kiếm, số tài khoản, liên kết đặt lại, đường dẫn trang nội bộ và tất cả — được lặng lẽ trao cho trang tiếp theo họ hạ cánh, kể cả nhà quảng cáo, công ty analytics, và bất cứ nơi nào liên kết trỏ đến. - Reverse DNS (PTR)
Reverse DNS là thẻ ID cho máy chủ gửi email doanh nghiệp của bạn. Khi nhà cung cấp nhận như Gmail hay Microsoft 365 tra cứu ai đằng sau địa chỉ gửi và nhận được tên khớp, thư của bạn trông hợp lệ. Khi không có thẻ — hoặc tên và số không khớp — hóa đơn và báo giá hoàn toàn thật của bạn bị coi là đáng ngờ và âm thầm bị spam hoặc từ chối. - SPF (Sender Policy Framework)
SPF là một dòng trong cài đặt tên miền của bạn, liệt kê những dịch vụ thư nào được phép gửi email thay mặt doanh nghiệp. Không có SPF, bất kỳ ai trên thế giới đều có thể gửi email trông như từ bạn — và chính email thật của bạn lại dễ rơi vào thư rác của khách hàng. - Thiết lập nameserver (đa dạng & SOA)
Các nameserver của bạn là thư mục nói với toàn bộ internet nơi tìm thấy website và email của bạn. Nếu tất cả chúng đều nằm trên một mạng và mạng đó ngừng hoạt động, doanh nghiệp của bạn biến mất khỏi internet cùng một lúc — không có trang web, không có email, không có gì — và cài đặt đồng hồ không chính xác trên những máy chủ đó có thể khiến các thay đổi bạn thực hiện bị kẹt trong nhiều ngày. - Tình trạng chứng chỉ TLS
Chứng chỉ SSL/TLS của bạn là thẻ ID kỹ thuật số chứng minh khách truy cập đang thực sự nói chuyện với website của bạn — không phải kẻ mạo danh — và là thứ tạo ra ổ khóa trong trình duyệt. Kiểm tra này xem xét liệu chứng chỉ đó có hợp lệ và đáng tin không, sắp hết hạn không, và được xây dựng bằng mật mã mạnh, hiện đại không.