Statiske nettsteder lagrer allerede gjengitt innhold, og det er grunnen til at de ikke trenger tilgang til noen database, kjøre komplekse skript eller er avhengige av en kjøretidsmotor når en bruker ber om en side.
Det gir klare fordeler i lastetider og sikkerhet: statiske sider sparer mye servertid og har færre sårbarheter. Det betyr igjen at søkemotorer vil rangere statiske sider bedre enn deres dynamiske ekvivalenter.
SEO-eksperter henvender seg til statisk innhold når de kan, for bedre å konkurrere i en verden der en brøkdel av et sekund kan utgjøre forskjellen mellom total suksess og total fiasko. Utrulling av statisk innhold har blitt et buzzword mellom markedsføringsstrateger, og IT-personell elsker at de har et mindre sårbart sted å holde øye med.
Men pass på – de er ikke 100% hack-sikre, så hvis du planlegger å distribuere statisk innhold på nettstedet ditt, er det noen beste fremgangsmåter du bør følge for å holde det sikret.
Sikkerhetshoder er et undersett av HTTP-responshoder – en pakke med metadata, feilkoder, hurtigbufferregler osv. som webserveren legger til innholdet den serverer – designet for å fortelle nettleseren hva den skal gjøre og hvordan den skal håndtere innholdet den mottar. Ikke alle nettlesere støtter alle sikkerhetshoder, men det er et lite sett som er ganske vanlig og gir grunnleggende sikkerhetstiltak for å stoppe hackere fra å utnytte sårbarheter.
X-Frame-alternativer: SAMEORIGIN
X-Frame-Options-overskriften er ment å deaktivere eller redusere risikoen pålagt av iframes på nettstedet ditt. Iframes kan brukes av hackere til å gripe legitime klikk og dirigere besøkende til hvilken som helst URL de ønsker. Det er forskjellige måter å forhindre misbruk av iframes.
Den beste fremgangsmåten anbefalt av OWASP (Open Web Application Security Project) foreslår å bruke denne overskriften med SAMEORIGIN-parameteren, som tillater bruk av iframes kun av noen med samme opprinnelse. Andre alternativer er DENY, for å deaktivere iframes fullstendig, og ALLOW-FROM, for å tillate bare spesifikke URL-er å legge sider på iframes.
Sjekk ut implementeringsveiledningen for Apache og Nginx.
X-XSS-beskyttelse: 1; modus=blokk
X-XSS-Protection header er designet for å beskytte nettsteder mot skripting på tvers av nettsteder. Denne overskriftsfunksjonen kan implementeres på to måter:
- X-XSS-beskyttelse: 1
- X-XSS-beskyttelse: 1; modus=blokk
Den første er mer tillatende, filtrerer skript fra forespørselen til webserveren, men gjengir siden likevel. Den andre måten er sikrere siden den blokkerer hele siden når et X-XSS-skript oppdages i forespørselen. Dette andre alternativet er OWASP-anbefalt beste praksis.
X-Content-Type-Options: nosniff
Denne overskriften forhindrer bruk av MIME «sniffing» – en funksjon som lar nettleseren skanne innholdet og reagere annerledes enn hva overskriften instruerer. Når denne overskriften er til stede, må nettleseren angi innholdstypen som instruert, i stedet for å utlede den ved å «sniffe» innholdet på forhånd.
Hvis du bruker denne overskriften, bør du dobbeltsjekke at innholdstypene dine brukes riktig på hver side på det statiske nettstedet ditt.
Innholdstype: tekst/html; charset=utf-8
Denne linjen er lagt til forespørsels- og svarhoder for HTML-sider siden versjon 1.0 av HTTP-protokollen. Den fastslår at alle tagger gjengis i nettleseren, og viser resultatet på nettsiden.
Bruk TLS-sertifikater
Et SSL/TLS-sertifikat er et must for alle nettsteder fordi det lar webserveren kryptere dataene den sender til nettleseren gjennom den sikre HTTPS-protokollen. På den måten, hvis dataene blir fanget opp på reisen, vil de være uleselige, noe som er avgjørende for å beskytte brukernes personvern og for å sikre nettstedet. Et statisk nettsted lagrer ikke besøkendes personlige opplysninger, men det er viktig at informasjonen de ber om ikke kan sees av uønskede overvåkere.
Bruken av kryptering av et nettsted er nødvendig for å bli merket som et trygt nettsted av de fleste nettlesere og er obligatorisk for nettsteder som søker å overholde EUs generelle databeskyttelsesforordning (GDPR). Loven sier ikke spesifikt at et SSL-sertifikat skal brukes, men det er den enkleste måten å oppfylle personvernkravene i forordningen.
Når det gjelder sikkerhet, tillater SSL-sertifikatet myndighetene å verifisere eierskap til et nettsted og forhindre hackere i å lage falske versjoner av det. Bruken av et SSL-sertifikat lar den besøkende på nettstedet sjekke ektheten til utgiveren og føle seg trygg på at ingen er i stand til å spionere på hans eller hennes aktiviteter på nettstedet.
Den gode nyheten er at sertifikatet ikke koster mye. Faktisk kan du få det GRATIS fra ZeroSSL eller kjøp en premium en fra SSL-butikk.
Implementer DDoS-beskyttelse
Distribuert Denial of Service (DDoS)-angrep blir stadig mer vanlig i dag. I denne typen angrep brukes et sett med distribuerte enheter for å overvelde en server med en flom av forespørsler, helt til den blir mettet og rett og slett nekter å fungere. Det spiller ingen rolle om nettstedet ditt har statisk innhold – nettserveren kan lett bli et offer for et DDoS-angrep hvis du ikke tar de nødvendige tiltakene.
Den enkleste måten å implementere DDoS-beskyttelse på nettstedet ditt er å la en sikkerhetstjenesteleverandør ta seg av alle cybertrusler. Denne tjenesten vil gi inntrengningsdeteksjon, antivirale tjenester, sårbarhetsskanning og mer, slik at du praktisk talt ikke trenger å være bekymret for trusler.
En så omfattende løsning kan være kostbar, men det finnes også mer fokuserte løsninger med lavere kostnader, som DDoS Protection as a Service (DPaaS). Du bør spørre vertsleverandøren din om den tilbyr en slik tjeneste.
Mer rimelige løsninger er skybaserte DDoS-beskyttelsestjenester, som de som tilbys av Akamai, Sucuri, eller Cloudflare. Disse tjenestene gir tidlig oppdagelse og analyse av DDoS-angrep, og filtrering og viderekobling av disse angrepene – det vil si omdirigere den ondsinnede trafikken bort fra nettstedet ditt.
Når du vurderer en anti-DDoS-løsning, bør du være oppmerksom på nettverkskapasiteten: denne parameteren indikerer hvor mye angrepsintensitet beskyttelsen tåler.
Unngå sårbare JavaScript-biblioteker
Selv om nettstedet ditt har statisk innhold, kan det gjøre bruk av JavaScript-biblioteker som medfører sikkerhetsrisikoer. Det anses generelt at 20 % av disse bibliotekene gjør et nettsted mer sårbart. Heldigvis kan du bruke tjenesten som tilbys av Sårbarhet DB for å sjekke om et bestemt bibliotek er trygt eller ikke. I databasen kan du finne detaljert informasjon og veiledning for mange kjente sårbarheter.
I tillegg til å sjekke et bestemt bibliotek for sårbarheter, kan du følge denne listen over beste praksis for JavaScript-biblioteker som vil gi utbedring av potensielle risikoer:
- Ikke bruk eksterne bibliotekservere. Lagre i stedet bibliotekene på samme server som er vert for nettstedet ditt. Hvis du må bruke eksterne biblioteker, unngå å bruke biblioteker fra svartelistede servere, og kontroller sikkerheten til eksterne servere med jevne mellomrom.
- Bruk versjonsadministrasjon for JavaScript-biblioteker og sørg for at du bruker den nyeste versjonen av hvert bibliotek. Hvis versjonsadministrasjon ikke er et alternativ, bør du i det minste bruke versjoner som er fri for kjente sårbarheter. Du kan bruke retire.js for å oppdage bruk av sårbare versjoner.
- Sjekk regelmessig om nettstedet ditt bruker eksterne biblioteker du ikke kjenner til. På denne måten vil du vite om en hacker injiserte lenker til uønskede bibliotekleverandører. Injeksjonsangrep er usannsynlig på statiske nettsteder, men det vil ikke skade å gjøre denne kontrollen en gang i blant.
Implementer sikkerhetskopieringsstrategi
Et statisk nettsted bør alltid ha innholdet trygt sikkerhetskopiert når det endres. Sikkerhetskopiene må være trygt lagret og lett tilgjengelig i tilfelle du må gjenopprette nettstedet ditt i tilfelle en krasj. Det er mange måter å sikkerhetskopiere ditt statiske nettsted på, men generelt kan de kategoriseres i manuell og automatisk.
Hvis innholdet på nettstedet ditt ikke endres veldig ofte, kan en manuell sikkerhetskopieringsstrategi være tilstrekkelig – du trenger bare å huske å ta en ny sikkerhetskopi hver gang du endrer innholdet. Hvis du har et kontrollpanel for å administrere hostingkontoen din, er det svært sannsynlig at du i det kontrollpanelet finner et alternativ for å ta sikkerhetskopier. Hvis ikke, kan du alltid bruke en FTP-klient til å laste ned alt innholdet på nettstedet til en lokal enhet hvor du kan holde det trygt og gjenopprette det om nødvendig.
Selvfølgelig er det automatiske sikkerhetskopieringsalternativet å foretrekke hvis du ønsker å holde administrasjonsoppgavene dine på et minimum. Men automatisk sikkerhetskopiering tilbys vanligvis som premiumfunksjoner av vertsleverandører, noe som øker totalkostnaden for å holde nettstedet ditt sikret.
Du kan vurdere å bruke skyobjektlagring for sikkerhetskopieringen.
Bruk en pålitelig vertsleverandør
En pålitelig webhotelltjeneste er nødvendig for å garantere at nettstedet ditt fungerer jevnt og raskt, men også for å være sikker på at det ikke blir hacket. De fleste webhotellanmeldelser vil vise deg tall og sammenligninger om hastighet, oppetid og kundestøtte, men når du vurderer nettstedsikkerhet, er det noen aspekter som bør observeres nøye, og som du bør spørre leverandøren om før du ansetter tjenesten:
- Programvaresikkerhet: du bør finne ut hvordan programvareoppdateringer håndteres; for eksempel hvis all programvaren oppdateres automatisk, eller hvis hver oppdatering utsettes for en testprosess før den distribueres.
- DDoS-beskyttelse: i tilfelle denne typen beskyttelse er inkludert i vertstjenesten, be om detaljer om hvordan den er implementert, for å bekrefte om den oppfyller kravene til nettstedet ditt.
- SSL-tilgjengelighet og støtte: siden sertifikatene i de fleste tilfeller administreres av vertsleverandøren, bør du sjekke hva slags sertifikat det tilbyr og hva som er retningslinjene for sertifikatfornyelse.
- Sikkerhetskopiering og gjenoppretting: mange vertsleverandører tilbyr en automatisert sikkerhetskopieringstjeneste, noe som er bra fordi det praktisk talt lar deg glemme å ta sikkerhetskopier, lagre dem og holde dem oppdatert. Men ta hensyn til kostnadene for en slik tjeneste, og vekt den opp mot innsatsen det vil ta for å holde innholdet ditt sikkerhetskopiert av deg selv.
- Beskyttelse mot skadelig programvare: En pålitelig vertsleverandør bør ha sine servere beskyttet mot skadelig programvare ved å utføre periodiske skanninger av skadelig programvare og overvåke filintegritet. Ved delt hosting er det ønskelig at hostingleverandøren benytter seg av kontoisolering for å forhindre at skadevareinfeksjoner sprer seg mellom nabonettsteder.
- Brannmurbeskyttelse: en vertsleverandør kan øke sikkerhetsnivået til nettstedene den er vert for ved å distribuere en brannmur som holder fiendtlig trafikk unna.
Sjekk ut den pålitelige, statiske vertsplattformen for nettsteder.
Håndheve en sterk passordpolicy
Siden et statisk nettsted ikke har en database eller et administrert innholdssystem, har det færre brukernavn og passord å administrere. Men du må fortsatt håndheve en passordpolicy for hosting- eller FTP-kontoene du skal bruke til å oppdatere det statiske innholdet.
Gode fremgangsmåter for passord inkluderer blant annet:
- Skifter dem med jevne mellomrom
- Angi en minimumspassordlengde.
- Bruke kombinasjoner av store/små bokstaver sammen med spesialtegn og tall
- Unngå å kommunisere dem via e-post eller tekstmeldinger.
Standardpassordet for administrative kontoer må også endres helt fra begynnelsen – dette er en vanlig feil som hackere enkelt kan utnytte. Ikke vær redd for å miste passordet; bruke en passordbehandling for å administrere dem sikkert.
La oss bli statiske
For noen år siden var dynamisk innhold veien å gå: alt kunne enkelt endres og oppdateres, slik at en hel nettside kan redesignes i løpet av sekunder. Men så ble hastighet toppprioritet, og statisk innhold ble plutselig kult igjen.
I den forstand bør all sikkerhetspraksis for nettstedet revurderes – det er sikkert færre aspekter å vurdere, men du bør ikke slappe helt av. Denne listen over beste fremgangsmåter vil garantert hjelpe deg med å lage din egen sjekkliste for å holde ditt statiske nettsted trygt og godt.