Statiske websteder gemmer allerede gengivet indhold, hvorfor de ikke behøver at få adgang til nogen database, køre komplekse scripts eller være afhængige af en runtime-motor, når en bruger anmoder om en side.
Det udmønter sig i klare fordele i indlæsningstider og sikkerhed: Statiske sider sparer masser af servertid og har færre sårbarheder. Det betyder til gengæld, at søgemaskiner vil rangere statiske sider bedre end deres dynamiske ækvivalenter.
SEO-eksperter henvender sig til statisk indhold, når de kan, for bedre at konkurrere i en verden, hvor en brøkdel af et sekund kan gøre forskellen mellem total succes og fuldstændig fiasko. Implementering af statisk indhold er blevet et buzzword mellem marketingstrateger, og it-personale elsker, at de har et mindre sårbart sted at holde øje med.
Men pas på – de er ikke 100 % hack-sikre, så hvis du planlægger at implementere statisk indhold på dit websted, er der nogle bedste praksisser, du bør følge for at holde det sikkert.
Sikkerhedsheadere er en undergruppe af HTTP Response Headers – en pakke metadata, fejlkoder, cacheregler osv., som webserveren føjer til det indhold, den serverer – designet til at fortælle browseren, hvad den skal gøre, og hvordan den skal håndtere det indhold, den modtager. Ikke alle browsere understøtter alle sikkerhedsheadere, men der er et lille sæt, der er ret almindeligt og giver grundlæggende sikkerhedsforanstaltninger for at forhindre hackere i at udnytte sårbarheder.
X-Frame-indstillinger: SAMEORIGIN
X-Frame-Options-headeren er beregnet til at deaktivere eller mindske risici pålagt af iframes på dit websted. Iframes kan bruges af hackere til at gribe legitime klik og dirigere besøgende til enhver URL, de ønsker. Der er forskellige måder at forhindre misbrug af iframes på.
Den bedste praksis anbefalet af OWASP (Open Web Application Security Project) foreslår at bruge denne header med parameteren SAMEORIGIN, som kun tillader brugen af iframes af en person med samme oprindelse. Andre muligheder er DENY, for at deaktivere iframes fuldstændigt, og ALLOW-FROM, for kun at tillade specifikke URL’er at placere sider på iframes.
Tjek implementeringsvejledningen til Apache og Nginx.
X-XSS-beskyttelse: 1; mode=blok
X-XSS-Protection header er designet til at beskytte websteder mod cross-site scripting. Denne header-funktion kan implementeres på to måder:
- X-XSS-beskyttelse: 1
- X-XSS-beskyttelse: 1; mode=blok
Den første er mere eftergivende, filtrerer scripts fra anmodningen til webserveren, men renderer siden alligevel. Den anden måde er mere sikker, da den blokerer hele siden, når et X-XSS-script registreres i anmodningen. Denne anden mulighed er OWASP-anbefalet bedste praksis.
X-Content-Type-Options: nosniff
Denne header forhindrer brugen af MIME “sniffing” – en funktion, der gør det muligt for browseren at scanne indholdet og reagere anderledes end hvad headeren instruerer. Når denne header er til stede, skal browseren indstille indholdstypen som anvist, i stedet for at udlede det ved at “sniffe” indholdet på forhånd.
Hvis du anvender denne overskrift, skal du dobbelttjekke, at dine indholdstyper anvendes korrekt på hver side på dit statiske websted.
Indholdstype: tekst/html; charset=utf-8
Denne linje er tilføjet til anmodnings- og svarheadere for HTML-sider siden version 1.0 af HTTP-protokollen. Det fastslår, at alle tags gengives i browseren, og viser resultatet på websiden.
Brug TLS-certifikater
Et SSL/TLS-certifikat er et must for alle websteder, fordi det giver webserveren mulighed for at kryptere de data, den sender til webbrowseren gennem den sikre HTTPS-protokol. På den måde, hvis data opsnappes på deres rejse, vil de være ulæselige, hvilket er afgørende for at beskytte brugernes privatliv og for at sikre hjemmesiden. Et statisk websted gemmer ikke sine besøgendes personlige oplysninger, men det er vigtigt, at de oplysninger, de anmoder om, ikke kan ses af uønskede iagttagere.
Brugen af kryptering af et websted er nødvendigt for at blive markeret som et sikkert websted af de fleste webbrowsere og er obligatorisk for websteder, der søger at overholde EU’s generelle databeskyttelsesforordning (GDPR). Loven siger ikke specifikt, at der skal bruges et SSL-certifikat, men det er den enkleste måde at opfylde kravene til privatliv i forordningen.
Med hensyn til sikkerhed giver SSL-certifikatet myndighederne mulighed for at verificere ejerskabet af et websted og forhindre hackere i at oprette falske versioner af det. Brugen af et SSL-certifikat giver den besøgende på webstedet mulighed for at kontrollere ægtheden af udgiveren og føle sig sikker på, at ingen er i stand til at spionere på hans eller hendes aktiviteter på webstedet.
Den gode nyhed er, at certifikatet ikke koster meget. Faktisk kan du få det GRATIS fra NulSSL eller køb en premium fra SSL butik.
Implementer DDoS-beskyttelse
Distributed Denial of Service (DDoS)-angreb bliver stadig mere almindelige i dag. I denne type angreb bruges et sæt distribuerede enheder til at overvælde en server med en strøm af anmodninger, indtil den bliver mættet og simpelthen nægter at arbejde. Det er lige meget, om din hjemmeside har statisk indhold – dens webserver kan nemt blive offer for et DDoS-angreb, hvis du ikke tager de nødvendige foranstaltninger.
Den nemmeste måde at implementere DDoS-beskyttelse på din hjemmeside er at få en sikkerhedstjenesteudbyder til at tage sig af alle cybertrusler. Denne service vil give indtrængendetektion, antivirale tjenester, sårbarhedsscanning og mere, så du praktisk talt ikke behøver at være bekymret over trusler.
Sådan en omfattende løsning kunne være dyr, men der findes også mere fokuserede løsninger med lavere omkostninger, såsom DDoS Protection as a Service (DPaaS). Du bør spørge din hostingudbyder, om den tilbyder en sådan service.
Mere overkommelige løsninger er cloud-baserede DDoS-beskyttelsestjenester, såsom dem, der tilbydes af Akamai, Sucuri, eller Cloudflare. Disse tjenester giver tidlig detektion og analyse af DDoS-angreb og filtrering og omdirigering af disse angreb – det vil sige omdirigere den ondsindede trafik væk fra dit websted.
Når du overvejer en anti-DDoS-løsning, bør du være opmærksom på dens netværkskapacitet: denne parameter angiver, hvor meget angrebsintensitet beskyttelsen kan modstå.
Undgå sårbare JavaScript-biblioteker
Selvom dit websted har statisk indhold, kan det gøre brug af JavaScript-biblioteker, der medfører sikkerhedsrisici. Det anses generelt for, at 20 % af disse biblioteker gør en hjemmeside mere sårbar. Heldigvis kunne du bruge tjenesten leveret af Sårbarhed DB for at kontrollere, om et bestemt bibliotek er sikkert eller ej. I dens database kan du finde detaljeret information og vejledning til en masse kendte sårbarheder.
Udover at tjekke et bestemt bibliotek for sårbarheder, kan du følge denne liste over bedste praksis for JavaScript-biblioteker, der vil afhjælpe dets potentielle risici:
- Brug ikke eksterne biblioteksservere. Gem i stedet bibliotekerne på den samme server, som hoster dit websted. Hvis du skal bruge eksterne biblioteker, skal du undgå at bruge biblioteker fra sortlistede servere og kontrollere sikkerheden på eksterne servere med jævne mellemrum.
- Brug versionsstyring til JavaScript-biblioteker, og sørg for at bruge den nyeste version af hvert bibliotek. Hvis versionsstyring ikke er en mulighed, bør du i det mindste bruge versioner, der er fri for kendte sårbarheder. Du kan bruge retire.js at opdage brugen af sårbare versioner.
- Tjek jævnligt, om dit websted bruger eksterne biblioteker, du ikke kender til. På denne måde vil du vide, om en hacker har injiceret links til uønskede biblioteksudbydere. Injektionsangreb er usandsynligt på statiske websteder, men det vil ikke skade at foretage denne kontrol en gang imellem.
Implementer backup-strategi
Et statisk websted bør altid have sit indhold sikkert sikkerhedskopieret, når det ændres. Sikkerhedskopierne skal opbevares sikkert og let tilgængelige i tilfælde af, at du skal gendanne din hjemmeside i tilfælde af nedbrud. Der er mange måder at sikkerhedskopiere dit statiske websted på, men generelt kan de kategoriseres i manuel og automatisk.
Hvis indholdet på dit websted ikke ændrer sig meget ofte, kan en manuel backup-strategi være tilstrækkelig – du skal bare huske at lave en ny backup, hver gang du foretager en ændring i indholdet. Hvis du har et kontrolpanel til at administrere din hostingkonto, er det meget sandsynligt, at du inden for det kontrolpanel vil finde en mulighed for at lave sikkerhedskopier. Hvis ikke, kan du altid bruge en FTP-klient til at downloade alt webstedets indhold til en lokal enhed, hvor du kan opbevare det sikkert og gendanne det, hvis det er nødvendigt.
Selvfølgelig er den automatiske backup mulighed at foretrække, hvis du ønsker at holde dine opgaver på hjemmesiden på et minimum. Men automatisk sikkerhedskopiering tilbydes normalt som en premium-funktion af hostingudbydere, hvilket øger de samlede omkostninger ved at holde dit websted sikret.
Du kan overveje at bruge cloud-objektlager til sikkerhedskopieringen.
Brug en pålidelig hostingudbyder
En pålidelig webhostingtjeneste er nødvendig for at garantere, at din hjemmeside fungerer problemfrit og hurtigt, men også for at være sikker på, at den ikke bliver hacket. De fleste anmeldelser af webhosting vil vise dig tal og sammenligninger om hastighed, oppetid og kundesupport, men når du overvejer webstedssikkerhed, er der nogle aspekter, der bør observeres omhyggeligt, og som du bør spørge din udbyder om, før du hyrer dens service:
- Softwaresikkerhed: Du bør finde ud af, hvordan softwareopdateringer håndteres; for eksempel hvis al softwaren er automatisk opdateret, eller hvis hver opdatering udsættes for en testproces, før den implementeres.
- DDoS-beskyttelse: Hvis denne form for beskyttelse er inkluderet i hostingtjenesten, skal du bede om detaljer om, hvordan den implementeres, for at verificere, om den opfylder kravene til dit websted.
- SSL tilgængelighed og support: da certifikaterne i de fleste tilfælde administreres af hostingudbyderen, bør du tjekke, hvilken slags certifikat den tilbyder, og hvad er politikken for fornyelse af certifikatet.
- Sikkerhedskopiering og gendannelse: mange hostingudbydere tilbyder en automatiseret backup-tjeneste, hvilket er en god ting, fordi det praktisk talt lader dig glemme alt om at lave sikkerhedskopier, gemme dem og holde dem opdaterede. Men tag hensyn til omkostningerne ved en sådan tjeneste, og vægt det i forhold til den indsats, det vil tage at holde dit indhold sikkerhedskopieret af dig selv.
- Malwarebeskyttelse: En pålidelig hostingudbyder bør have sine servere beskyttet mod malware ved at udføre periodiske malware-scanninger og overvåge filintegritet. I tilfælde af delt hosting er det ønskeligt, at hostingudbyderen gør brug af kontoisolering for at forhindre malwareinfektioner i at sprede sig mellem nabowebsteder.
- Firewallbeskyttelse: En hostingudbyder kan øge sikkerhedsniveauet på de websteder, den hoster, ved at implementere en firewall, der holder fjendtlig trafik væk.
Tjek den pålidelige statiske webstedshostingplatform.
Håndhæv en stærk adgangskodepolitik
Da et statisk websted ikke har en database eller et administreret indholdssystem, har det færre brugernavne og adgangskoder at administrere. Men du skal stadig håndhæve en adgangskodepolitik for de hosting- eller FTP-konti, du vil bruge til at opdatere det statiske indhold.
God praksis for adgangskoder omfatter blandt andet:
- Skifter dem med jævne mellemrum
- Indstilling af en minimum adgangskodelængde.
- Brug af kombinationer af store/små bogstaver sammen med specialtegn og tal
- Undgå at kommunikere dem via e-mail eller tekstbeskeder.
Også standardadgangskoden til administrative konti skal ændres helt fra begyndelsen – dette er en almindelig fejl, som hackere nemt kan udnytte. Vær ikke bange for at miste adgangskoden; bruge en password manager til at administrere dem sikkert.
Lad os blive statiske
For et par år siden var dynamisk indhold vejen at gå: alt kunne nemt ændres og opdateres, hvilket giver mulighed for et helt websteds redesign på få sekunder. Men så blev hastigheden topprioritet, og statisk indhold blev pludselig cool igen.
I den forstand bør al praksis for webstedssikkerhed revurderes – der er helt sikkert færre aspekter at overveje, men du bør ikke slappe helt af med det. Denne liste over bedste praksis vil helt sikkert hjælpe dig med at oprette din egen tjekliste for at holde din statiske hjemmeside sikker og sund.