Statické webové stránky ukládají již vykreslený obsah, a proto nepotřebují přistupovat k žádné databázi, spouštět složité skripty nebo záviset na běhovém enginu, kdykoli uživatel požádá o stránku.
To se promítá do jasných výhod v době načítání a zabezpečení: statické stránky šetří spoustu času serveru a mají méně zranitelností. To zase znamená, že vyhledávače budou hodnotit statické stránky lépe než jejich dynamické ekvivalenty.
SEO experti se obracejí na statický obsah, kdykoli mohou, aby mohli lépe konkurovat ve světě, ve kterém zlomek sekundy může znamenat rozdíl mezi celkovým úspěchem a naprostým neúspěchem. Nasazování statického obsahu se stalo módním slovem mezi marketingovými stratégy a IT pracovníky milují, že mají méně zranitelné místo, na které by měli dohlížet.
Ale pozor – nejsou 100% odolné proti hackerům, takže pokud plánujete nasadit statický obsah na svůj web, existuje několik osvědčených postupů, které byste měli dodržovat, abyste jej udrželi v bezpečí.
Bezpečnostní hlavičky jsou podmnožinou HTTP Response Headers – balíček metadat, chybových kódů, pravidel mezipaměti atd., které webový server přidává k obsahu, který obsluhuje – určené k tomu, aby prohlížeči řekly, co má dělat a jak zacházet s obsahem, který obdrží. Ne všechny prohlížeče podporují všechny bezpečnostní hlavičky, ale existuje malá sada, která je docela běžná a poskytuje základní bezpečnostní opatření, aby zabránila hackerům ve zneužívání zranitelností.
X-Frame-Options: SAMEORIGIN
Záhlaví X-Frame-Options je určeno k deaktivaci nebo zmírnění rizik způsobených prvky iframe na vašem webu. Iframe mohou hackeři využít k zachycení legitimních kliknutí a nasměrování návštěvníků na jakoukoli adresu URL, kterou chtějí. Existují různé způsoby, jak zabránit zneužití prvků iframe.
Osvědčený postup doporučený OWASP (Open Web Application Security Project) doporučuje používat tuto hlavičku s parametrem SAMEORIGIN, který umožňuje použití prvků iframe pouze někým ze stejného původu. Další možnosti jsou DENY, chcete-li zcela zakázat prvky iframe, a ALLOW-FROM, abyste povolili umístění stránek do prvků iframe pouze konkrétním adresám URL.
Podívejte se na implementační příručku pro Apache a Nginx.
X-XSS-Protection: 1; režim=blok
Hlavička X-XSS-Protection je navržena tak, aby chránila webové stránky před skriptováním mezi weby. Tuto funkci záhlaví lze implementovat dvěma způsoby:
- Ochrana X-XSS: 1
- X-XSS-Protection: 1; režim=blok
První z nich je tolerantnější, filtruje skripty z požadavku na webový server, ale přesto vykresluje stránku. Druhý způsob je bezpečnější, protože blokuje celou stránku, když je v požadavku detekován skript X-XSS. Tato druhá možnost je osvědčeným postupem doporučeným OWASP.
X-Content-Type-Options: nosniff
Tato hlavička zabraňuje použití MIME „sniffování“ – funkce, která prohlížeči umožňuje skenovat obsah a reagovat jinak, než říká hlavička. Je-li tato hlavička přítomna, musí prohlížeč nastavit typ obsahu podle pokynů, namísto toho, aby jej odvozoval „čicháním“ obsahu předem.
Pokud použijete toto záhlaví, měli byste znovu zkontrolovat, zda jsou vaše typy obsahu správně použity na každé stránce vašeho statického webu.
Content-Typ: text/html; charset=utf-8
Tento řádek se přidává do záhlaví požadavků a odpovědí pro stránky HTML od verze 1.0 protokolu HTTP. Zjistí, že všechny značky jsou vykresleny v prohlížeči a zobrazí výsledek na webové stránce.
Použijte certifikáty TLS
Certifikát SSL/TLS je nutností pro všechny webové stránky, protože umožňuje webovému serveru šifrovat data, která odesílá do webového prohlížeče prostřednictvím zabezpečeného protokolu HTTPS. Tímto způsobem, pokud budou data zachycena během cesty, budou nečitelná, což je nezbytné pro ochranu soukromí uživatelů a zabezpečení webových stránek. Statické webové stránky neukládají osobní údaje svých návštěvníků, ale je nezbytné, aby informace, které požadují, nemohly vidět nežádoucí pozorovatelé.
Používání šifrování webem je nezbytné, aby ho většina webových prohlížečů označila za bezpečný a je povinné pro weby, které se snaží dodržovat obecné nařízení EU o ochraně osobních údajů (GDPR). Zákon konkrétně nestanoví, že by měl být používán SSL certifikát, ale je to nejjednodušší způsob, jak splnit požadavky na soukromí v nařízení.
Pokud jde o bezpečnost, certifikát SSL umožňuje úřadům ověřit vlastnictví webových stránek a zabránit hackerům ve vytváření jejich falešných verzí. Použití certifikátu SSL umožňuje návštěvníkovi webu zkontrolovat pravost vydavatele a mít jistotu, že nikdo nemůže špehovat jeho aktivity na webu.
Dobrou zprávou je, že certifikát nestojí moc. Ve skutečnosti jej můžete získat ZDARMA od ZeroSSL nebo si kupte prémiovou od Obchod SSL.
Nasaďte DDoS ochranu
Útoky DDoS (Distributed Denial of Service) jsou v dnešní době stále častější. V tomto typu útoku se používá sada distribuovaných zařízení k zahlcení serveru záplavou požadavků, dokud se nenasytí a jednoduše odmítne pracovat. Nezáleží na tom, zda má váš web statický obsah – jeho webový server se může snadno stát obětí DDoS útoku, pokud nepodniknete potřebná opatření.
Nejjednodušší způsob, jak implementovat DDoS ochranu na vašem webu, je nechat si poskytovatele bezpečnostních služeb postarat o všechny kybernetické hrozby. Tato služba zajistí detekci narušení, antivirové služby, skenování zranitelností a další, takže se prakticky nemusíte bát žádných hrozeb.
Takové komplexní řešení by mohlo být drahé, ale existují i cílenější řešení s nižšími náklady, jako je DDoS Protection as a Service (DPaaS). Měli byste se zeptat svého poskytovatele hostingu, zda takovou službu nabízí.
Cenově dostupnější řešení jsou cloudové služby ochrany DDoS, jako jsou ty, které nabízí Akamai, Sucurinebo Cloudflare. Tyto služby poskytují včasnou detekci a analýzu DDoS útoků a filtrování a odvrácení těchto útoků – tedy přesměrování škodlivého provozu pryč z vašeho webu.
Při zvažování anti-DDoS řešení byste měli věnovat pozornost jeho síťové kapacitě: tento parametr udává, jakou intenzitu útoku může ochrana odolat.
Vyhněte se zranitelným knihovnám JavaScriptu
I když má váš web statický obsah, může využívat knihovny JavaScriptu, které představují bezpečnostní rizika. Obecně se má za to, že 20 % těchto knihoven činí web zranitelnějším. Naštěstí můžete využít služby poskytované společností Zranitelnost DB zkontrolovat, zda je konkrétní knihovna bezpečná nebo ne. V její databázi můžete najít podrobné informace a návody k mnoha známým zranitelnostem.
Kromě kontroly zranitelností konkrétní knihovny se můžete řídit tímto seznamem osvědčených postupů pro knihovny JavaScriptu, které poskytnou nápravu případných rizik:
- Nepoužívejte externí knihovní servery. Místo toho uložte knihovny na stejný server, který hostí váš web. Pokud musíte používat externí knihovny, vyhněte se používání knihoven ze serverů na černé listině a pravidelně kontrolujte zabezpečení externích serverů.
- Používejte správu verzí pro knihovny JavaScript a ujistěte se, že používáte nejnovější verzi každé knihovny. Pokud správa verzí není možná, měli byste alespoň používat verze, které neobsahují známá zranitelnost. Můžeš použít důchod.js k detekci použití zranitelných verzí.
- Pravidelně kontrolujte, zda váš web nepoužívá externí knihovny, o kterých nevíte. Tímto způsobem budete vědět, zda hacker vložil odkazy na nechtěné poskytovatele knihoven. Injekční útoky jsou na statických webech nepravděpodobné, ale neuškodí tuto kontrolu jednou za čas provést.
Implementujte strategii zálohování
Statický web by měl mít vždy svůj obsah bezpečně zálohovaný při každé změně. Záložní kopie musí být bezpečně uloženy a snadno dostupné pro případ, že byste potřebovali obnovit svůj web v případě havárie. Existuje mnoho způsobů, jak zálohovat své statické webové stránky, ale obecně je lze rozdělit na ruční a automatické.
Pokud se obsah vašeho webu příliš často nemění, může být vhodná strategie ručního zálohování – stačí si pamatovat na vytvoření nové zálohy, kdykoli provedete změnu v obsahu. Pokud máte ovládací panel pro správu svého hostingového účtu, je velmi pravděpodobné, že v tomto ovládacím panelu najdete možnost zálohování. Pokud ne, můžete vždy použít FTP klienta ke stažení veškerého obsahu webu do místního zařízení, kde jej můžete uložit v bezpečí a v případě potřeby obnovit.
Možnost automatického zálohování je samozřejmě výhodnější, pokud chcete omezit úkoly správy webových stránek na minimum. Automatické zálohování však poskytovatelé hostingu obvykle nabízejí jako prémiové funkce, což zvyšuje celkové náklady na zabezpečení vašeho webu.
Pro zálohování můžete zvážit použití cloudového úložiště objektů.
Použijte spolehlivého poskytovatele hostingu
Spolehlivá webhostingová služba je nezbytná pro zajištění hladkého a rychlého fungování vašeho webu, ale také pro jistotu, že nebude hacknut. Většina recenzí webhostingu vám ukáže čísla a srovnání týkající se rychlosti, dostupnosti a zákaznické podpory, ale při zvažování zabezpečení webových stránek je třeba pečlivě sledovat některé aspekty a na které byste se měli zeptat svého poskytovatele, než si jeho službu najmete:
- Zabezpečení softwaru: měli byste zjistit, jak se pracuje s aktualizacemi softwaru; například pokud je veškerý software aktualizován automaticky nebo pokud je každá aktualizace před nasazením podrobena procesu testování.
- Ochrana DDoS: v případě, že je tento druh ochrany součástí hostingové služby, zeptejte se na podrobnosti o tom, jak je implementována, abyste si ověřili, zda splňuje požadavky vašeho webu.
- Dostupnost a podpora SSL: protože ve většině případů certifikáty spravuje poskytovatel hostingu, měli byste si ověřit, jaký typ certifikátu nabízí a jaké jsou zásady pro obnovení certifikátu.
- Zálohování a obnova: Mnoho poskytovatelů hostingu nabízí službu automatického zálohování, což je dobrá věc, protože vám prakticky umožňuje zapomenout na vytváření záloh, jejich ukládání a udržování aktuálních dat. Vezměte však v úvahu náklady na takovou službu a porovnejte je s úsilím, které bude vyžadovat, abyste si svůj obsah sami zálohovali.
- Ochrana proti malwaru: spolehlivý poskytovatel hostingu by měl mít své servery chráněné proti malwaru prováděním pravidelných kontrol malwaru a monitorováním integrity souborů. V případě sdíleného hostingu je žádoucí, aby poskytovatel hostingu využíval izolaci účtů, aby se zabránilo šíření malwarových infekcí mezi sousedními weby.
- Ochrana firewallem: Poskytovatel hostingu může zvýšit úroveň zabezpečení webových stránek, které hostuje, nasazením brány firewall, která brání nepřátelskému provozu.
Podívejte se na spolehlivou platformu pro hostování statických stránek.
Prosazovat zásady silného hesla
Protože statický web nemá databázi ani spravovaný obsahový systém, má ke správě méně uživatelských jmen a hesel. Stále však musíte vynutit politiku hesel pro hosting nebo FTP účty, které budete používat k aktualizaci statického obsahu.
Mezi osvědčené postupy pro hesla patří mimo jiné:
- Pravidelně je měnit
- Nastavení minimální délky hesla.
- Použití kombinací velkých/malých písmen spolu se speciálními znaky a čísly
- Vyhněte se jejich komunikaci e-mailem nebo textovými zprávami.
Také výchozí heslo pro účty pro správu musí být od samého začátku změněno — jde o běžnou chybu, kterou mohou hackeři snadno zneužít. Nebojte se ztráty hesla; k jejich bezpečné správě použijte správce hesel.
Pojďme na statiku
Před několika lety byl dynamický obsah správnou cestou: vše bylo možné snadno změnit a aktualizovat, což umožnilo během několika sekund přepracovat celý web. Pak se ale rychlost stala nejvyšší prioritou a statický obsah se rázem znovu stal cool.
V tomto smyslu by měly být přehodnoceny všechny postupy zabezpečení webových stránek – jistě je třeba vzít v úvahu méně aspektů, ale neměli byste se v tom úplně uvolnit. Tento seznam osvědčených postupů vám jistě pomůže vytvořit si vlastní kontrolní seznam, aby byl váš statický web bezpečný a zdravý.