Statické webové stránky prezentují obsah, který byl již předem vytvořen a uložen. Díky tomu není potřeba, aby při každé návštěvě uživatele docházelo k dotazování databází, spouštění složitých skriptů nebo využívání běhových prostředí.
Z tohoto přístupu plynou zřetelné výhody, zejména v rychlosti načítání a bezpečnosti. Statické stránky méně zatěžují server a mají méně potenciálních slabin. To se následně odráží v lepším hodnocení ze strany vyhledávačů oproti dynamickým webům.
Odborníci na SEO optimalizaci se proto snaží co nejvíce využívat statický obsah, aby dosáhli lepších pozic ve vyhledávání. V dnešním online světě, kde i malý zlomek sekundy může rozhodovat o úspěchu či neúspěchu, je to klíčové. Používání statického obsahu se stalo populární mezi marketingovými specialisty, a IT oddělení oceňují jeho nižší náchylnost k útokům.
Nicméně, nelze se spoléhat na to, že statické weby jsou stoprocentně bezpečné. Pokud plánujete nasazení statického obsahu, je nutné dodržovat určité bezpečnostní postupy, aby byl váš web chráněn.
Bezpečnostní hlavičky, které jsou součástí HTTP Response Headers, představují sadu metadat, chybových kódů a pravidel pro ukládání do mezipaměti. Webový server je používá k předávání instrukcí prohlížeči, jak má zacházet s obsahem. Ne všechny prohlížeče podporují všechny bezpečnostní hlavičky, avšak existuje malá skupina, která je široce používána a nabízí základní ochranu proti zneužití zranitelností.
X-Frame-Options: SAMEORIGIN
Hlavička X-Frame-Options má za cíl eliminovat rizika plynoucí z použití iframe prvků na webu. Hackeři mohou iframe využít ke zneužití kliknutí uživatele a přesměrování na libovolnou URL adresu. Existuje několik způsobů, jak tomuto zneužití zabránit.
Doporučený postup podle OWASP (Open Web Application Security Project) je použití této hlavičky s parametrem SAMEORIGIN, který umožňuje použití iframe pouze ze stránek se stejným původem. Dalšími možnostmi jsou DENY, který zcela zakáže použití iframe, a ALLOW-FROM, který umožňuje vkládání stránek do iframe pouze pro specifické URL.
Podrobnější informace o implementaci najdete v manuálech pro Apache a Nginx.
X-XSS-Protection: 1; mode=block
Hlavička X-XSS-Protection má chránit webové stránky proti útokům Cross-Site Scripting (XSS). Tuto ochranu lze nastavit dvěma způsoby:
- X-XSS-Protection: 1
- X-XSS-Protection: 1; mode=block
První varianta je tolerantnější, filtruje skripty v požadavku na server, ale stránku zobrazí. Druhá možnost je bezpečnější, protože zablokuje celou stránku, pokud detekuje skript XSS. OWASP doporučuje právě tuto druhou variantu.
X-Content-Type-Options: nosniff
Tato hlavička zabraňuje prohlížeči v „odhadování“ MIME typu obsahu, což je funkce, která mu umožňuje analyzovat obsah a reagovat jinak, než udává hlavička. Při použití této hlavičky prohlížeč musí akceptovat typ obsahu podle specifikace a neodvozovat jej z „čichání“ obsahu.
Při použití tohoto záhlaví je důležité zkontrolovat, zda jsou typy obsahu správně nastaveny pro všechny stránky vašeho statického webu.
Content-Type: text/html; charset=utf-8
Tento řádek je přidáván do hlaviček požadavků a odpovědí pro HTML stránky od verze 1.0 protokolu HTTP. Informuje prohlížeč, že veškeré značky se mají vykreslit a zobrazit na webové stránce.
Využívejte certifikáty TLS
Certifikát SSL/TLS je nezbytností pro všechny webové stránky. Umožňuje šifrovat data mezi serverem a prohlížečem pomocí zabezpečeného protokolu HTTPS. Tím se zajistí, že data jsou během přenosu nečitelná a chráněna před neoprávněným přístupem. I když statické weby typicky neukládají osobní údaje, je nutné chránit informace, které přenáší.
Používání šifrování je nutné pro to, aby většina prohlížečů označila web jako bezpečný. Je také povinností pro weby, které chtějí splnit požadavky GDPR. I když zákon explicitně nevyžaduje SSL certifikát, je to nejjednodušší způsob, jak zajistit ochranu osobních údajů.
Z hlediska bezpečnosti umožňuje SSL certifikát ověřit vlastnictví webu a zabránit tvorbě falešných kopií. Návštěvník si tak může být jistý, že komunikuje s pravým serverem a jeho aktivity na webu jsou chráněné před sledováním.
Dobrou zprávou je, že certifikát nemusí být drahý. Je možné ho získat ZDARMA od ZeroSSL nebo si zakoupit prémiovou verzi od The SSL Store.
Implementujte DDoS ochranu
Útoky DDoS (Distributed Denial of Service) jsou stále častější. Při tomto typu útoku se velký počet počítačů snaží zahlcovat server velkým počtem požadavků, až dojde k jeho přetížení a nefunkčnosti. I když má váš web statický obsah, může se stát obětí DDoS útoku, pokud nepřijmete potřebná opatření.
Jednoduchým způsobem, jak chránit svůj web před útoky DDoS, je svěřit ochranu specializované bezpečnostní službě. Ta se postará o detekci narušení, antivirové kontroly, testování zranitelností a další aspekty zabezpečení.
Komplexní řešení může být drahé, ale existují i cenově dostupnější varianty, jako je DDoS Protection as a Service (DPaaS). Zeptejte se svého poskytovatele hostingu, zda tuto službu nabízí.
Další variantou jsou cloudové služby pro ochranu DDoS, jako jsou ty od společností Akamai, Sucuri, nebo Cloudflare. Tyto služby detekují a analyzují útoky DDoS, filtrují a přesměrovávají škodlivý provoz mimo váš web.
Při výběru anti-DDoS řešení je důležitá síťová kapacita, která určuje, jak silný útok je daná ochrana schopna zvládnout.
Vyvarujte se zranitelným JavaScript knihovnám
I když má váš web statický obsah, může využívat JavaScript knihovny, které představují bezpečnostní rizika. Odhaduje se, že přibližně 20 % těchto knihoven může zvyšovat zranitelnost webu. Pro ověření bezpečnosti knihovny lze využít službu Vulnerability DB, která poskytuje podrobné informace o známých zranitelnostech.
Kromě ověřování zranitelností jednotlivých knihoven, je důležité dodržovat i další osvědčené postupy:
- Nepoužívejte externí servery pro knihovny. Ukládejte je na stejném serveru jako web. Pokud je nutné používat externí knihovny, vybírejte důvěryhodné zdroje a pravidelně kontrolujte jejich zabezpečení.
- Používejte správu verzí pro knihovny a udržujte je aktuální. Pokud správa verzí není možná, používejte verze, které nemají známé zranitelnosti. Pomocí retire.js můžete odhalit používání zranitelných verzí.
- Pravidelně kontrolujte, zda web nepoužívá externí knihovny, o kterých nevíte. Tímto způsobem můžete odhalit potenciální útoky, kdy byl na web přidán odkaz na nechtěného poskytovatele knihoven. Na statických webech je sice tento typ útoku méně pravděpodobný, ale preventivní kontrola je vždy dobrá.
Implementujte zálohovací strategii
Obsah statického webu by měl být pravidelně a bezpečně zálohován při každé změně. Záložní kopie by měly být snadno dostupné pro případ potřeby obnovení webu. Zálohování lze provádět ručně nebo automaticky.
Pokud se obsah webu příliš často nemění, může být dostačující ruční zálohování. Stačí si pamatovat na vytvoření zálohy po každé změně. Pokud máte kontrolní panel pro správu hostingu, pravděpodobně v něm najdete funkci zálohování. Pokud ne, můžete použít FTP klienta a stáhnout si veškerý obsah na lokální zařízení, kde si ho můžete bezpečně uložit.
Automatické zálohování je samozřejmě pohodlnější a minimalizuje potřebu manuální správy webu. Nicméně, poskytovatelé hostingu obvykle nabízejí automatické zálohování jako placenou službu.
Pro zálohování můžete také zvážit použití cloudového úložiště.
Vybírejte spolehlivého poskytovatele hostingu
Spolehlivý webhosting je zásadní pro zajištění bezproblémového a rychlého provozu webu a pro ochranu před hackerskými útoky. Při výběru poskytovatele se zaměřte nejen na rychlost a dostupnost, ale i na bezpečnost. Ptejte se na:
- Zabezpečení softwaru: zjistěte, jak probíhají aktualizace softwaru. Zda se instalují automaticky, nebo zda se každá aktualizace testuje před nasazením.
- Ochrana DDoS: pokud je ochrana součástí hostingu, zjistěte podrobnosti o jejím fungování a ověřte, zda splňuje požadavky vašeho webu.
- Dostupnost a podpora SSL: většinou certifikáty spravuje poskytovatel hostingu. Ověřte si, jaký typ certifikátu nabízí a jak probíhá jeho obnova.
- Zálohování a obnova: Automatické zálohování je velkou výhodou, ale zvažte jeho cenu v porovnání s manuálním zálohováním.
- Ochrana proti malwaru: spolehlivý hosting by měl pravidelně kontrolovat servery na přítomnost malwaru a monitorovat integritu souborů. V případě sdíleného hostingu je důležitá izolace účtů, aby se zabránilo šíření malwaru.
- Ochrana firewallem: Poskytovatel hostingu by měl používat firewall k ochraně před škodlivým provozem.
Vybírejte si důvěryhodnou platformu pro hosting statických webů.
Používejte silná hesla
Statické weby sice nemají databáze ani systémy pro správu obsahu, ale je nutné používat silná hesla pro přístup k hostingovým a FTP účtům.
Mezi osvědčené postupy pro hesla patří:
- Pravidelná změna hesel.
- Nastavení minimální délky hesla.
- Používání kombinace velkých a malých písmen, speciálních znaků a čísel.
- Vyhýbání se zasílání hesel e-mailem nebo SMS zprávou.
Je také důležité změnit výchozí hesla ihned po vytvoření účtu. Častou chybou je používání výchozích hesel, která mohou hackeři snadno zneužít. Pro správu hesel používejte správce hesel.
Statické weby jsou IN
Před pár lety byl dynamický obsah standardem. Umožňoval snadné úpravy a aktualizace webu. Nyní se ale do popředí dostala rychlost a statický obsah je opět populární.
V souvislosti s tím je nutné zvážit všechny postupy pro zabezpečení webových stránek. I když se u statických webů jedná o méně aspektů, neměli byste zabezpečení podceňovat. Tento seznam doporučení vám pomůže vytvořit si kontrolní seznam, který zajistí bezpečnost vašeho statického webu.