Статичні веб-ресурси відображають вже готовий контент, що звільняє їх від необхідності звертатися до баз даних, виконувати складні скрипти чи залежати від механізмів обробки при кожному запиті користувача.
Це забезпечує значні переваги у швидкості завантаження та безпеці: статичні сторінки економлять ресурси сервера та є менш вразливими до атак. Як наслідок, пошукові системи надають статичним сторінкам вищі позиції у рейтингу порівняно з їхніми динамічними аналогами.
Фахівці з пошукової оптимізації віддають перевагу статичному контенту, щоб ефективніше конкурувати в умовах, де навіть частка секунди може мати вирішальне значення для успіху. Використання статичного контенту стало популярною темою серед маркетологів, а IT-фахівці цінують його зменшену вразливість до атак.
Проте, слід пам’ятати, що статичні сайти не є на 100% невразливими, тому при їх розгортанні необхідно дотримуватися певних правил безпеки.
Заголовки безпеки, які є частиною HTTP-відповідей, включають метадані, коди помилок, правила кешування та інші дані, які веб-сервер додає до контенту. Вони інформують браузер про те, як обробляти отриманий вміст. Не всі браузери підтримують усі заголовки безпеки, але є певний набір, який є досить поширеним і забезпечує базовий захист від хакерських атак.
X-Frame-Options: SAMEORIGIN
Заголовок X-Frame-Options призначений для запобігання ризикам, пов’язаним з використанням iframe на вашому сайті. Зловмисники можуть використовувати iframe для перехоплення кліків користувачів та перенаправлення їх на шкідливі URL-адреси. Існують різні способи захисту від зловживання iframe.
Найкраща практика, рекомендована OWASP (Open Web Application Security Project), полягає у використанні цього заголовку з параметром SAMEORIGIN. Це дозволяє використовувати iframe лише для сторінок з того ж домену. Інші варіанти включають DENY для повного відключення iframe та ALLOW-FROM для дозволу використання iframe лише з певних URL-адрес.
Ознайомтеся з інструкціями щодо реалізації в Apache та Nginx.
X-XSS-Protection: 1; mode=block
Заголовок X-XSS-Protection захищає веб-сайти від міжсайтового скриптингу. Існують два способи його реалізації:
- X-XSS-Protection: 1
- X-XSS-Protection: 1; mode=block
Перший варіант є менш суворим і фільтрує скрипти у запиті до веб-сервера, але все ж відображає сторінку. Другий варіант є більш безпечним, оскільки він блокує всю сторінку, якщо виявлено X-XSS скрипт. OWASP рекомендує використовувати саме цей другий варіант як найкращу практику.
X-Content-Type-Options: nosniff
Цей заголовок запобігає MIME-нюханню – функції, яка дозволяє браузеру визначати тип вмісту, ігноруючи заголовок. За наявності цього заголовку браузер має використовувати вказаний тип контенту, а не намагатися його визначити самостійно.
Застосовуючи цей заголовок, переконайтеся, що типи контенту правильно вказані для кожної сторінки вашого статичного сайту.
Content-Type: text/html; charset=utf-8
Цей рядок додається до заголовків запитів і відповідей для HTML-сторінок, починаючи з версії 1.0 протоколу HTTP. Він повідомляє браузеру, що потрібно відобразити теги як веб-сторінку.
Використання сертифікатів TLS
Сертифікат SSL/TLS є обов’язковим для будь-якого веб-сайту, оскільки він забезпечує шифрування даних, що передаються між сервером і браузером через безпечний протокол HTTPS. Це гарантує, що навіть якщо дані будуть перехоплені, вони залишаться нечитабельними. Це важливо для захисту конфіденційності користувачів та безпеки сайту. Навіть якщо статичний сайт не зберігає персональні дані відвідувачів, важливо захистити дані, які вони запитують.
Використання шифрування необхідне для того, щоб веб-браузери вважали сайт безпечним, а також є обов’язковим для відповідності GDPR (Загальному регламенту захисту даних ЄС). Хоча закон не вимагає використання SSL, це найпростіший спосіб забезпечити конфіденційність згідно з цим регламентом.
Сертифікат SSL дозволяє підтвердити власність сайту та уникнути створення фальшивих копій зловмисниками. Відвідувач сайту може перевірити автентичність його видавця та бути впевненим у безпеці своїх дій на сайті.
Сертифікат можна отримати безкоштовно на ZeroSSL або придбати преміум-сертифікат у SSL Store.
Захист від DDoS-атак
Розподілені атаки типу “відмова в обслуговуванні” (DDoS) набувають все більшого поширення. У такому типі атаки зловмисники використовують велику кількість пристроїв для перевантаження сервера запитами, що призводить до його несправності. Навіть якщо на вашому сайті розміщений статичний контент, ваш веб-сервер може стати жертвою DDoS-атаки, якщо не вжити відповідних заходів.
Найпростіший спосіб захиститися від DDoS-атак – скористатися послугами спеціалізованого постачальника безпеки. Він забезпечить виявлення вторгнень, антивірусний захист, сканування на вразливості тощо, знімаючи з вас турботу про кіберзагрози.
Хоча таке комплексне рішення може бути досить дорогим, існують і більш доступні альтернативи, як, наприклад, захист від DDoS як послуга (DPaaS). Зверніться до свого хостинг-провайдера з питанням про надання такої послуги.
Доступнішими рішеннями є хмарні сервіси захисту від DDoS-атак, такі як Akamai, Sucuri або Cloudflare. Ці сервіси виявляють та аналізують DDoS-атаки, а також фільтрують та перенаправляють шкідливий трафік.
Обираючи захист від DDoS, зверніть увагу на пропускну здатність мережі, яка визначає інтенсивність атак, яку може витримати захист.
Уникнення вразливих бібліотек JavaScript
Навіть якщо ваш сайт має статичний контент, використання бібліотек JavaScript може становити ризик для безпеки. Приблизно 20% таких бібліотек можуть зробити сайт вразливішим. Для перевірки безпеки бібліотек можна скористатися сервісом Snyk Vulnerability Database, де ви знайдете детальну інформацію та рекомендації щодо відомих вразливостей.
Крім перевірки бібліотек на наявність вразливостей, дотримуйтесь цих порад для забезпечення безпеки JavaScript:
- Не використовуйте зовнішні сервери для бібліотек. Зберігайте бібліотеки на тому ж сервері, що і сайт. Якщо зовнішні бібліотеки необхідні, уникайте використання бібліотек із серверів, що знаходяться у чорному списку та регулярно перевіряйте безпеку зовнішніх серверів.
- Використовуйте керування версіями для бібліотек JavaScript та оновлюйте їх до останніх версій. Якщо це неможливо, використовуйте версії, що не мають відомих вразливостей. Для виявлення використання вразливих версій можна використовувати retire.js.
- Регулярно перевіряйте, чи не використовуються на сайті сторонні бібліотеки, про які ви не знаєте. Це допоможе виявити, чи не були вставлені зловмисниками посилання на небажаних постачальників. Хоча ін’єкційні атаки малоймовірні на статичних сайтах, періодична перевірка не буде зайвою.
Впровадження стратегії резервного копіювання
Статичний веб-сайт завжди повинен мати резервну копію контенту на випадок змін. Резервні копії повинні бути надійно збережені та легкодоступні для відновлення сайту у випадку збою. Резервне копіювання може бути ручним або автоматичним.
Якщо контент вашого сайту змінюється не дуже часто, ручного резервного копіювання може бути достатньо. Головне – не забувати робити нову копію при кожній зміні контенту. Багато панелей керування хостингом мають функцію створення резервних копій. Якщо такої функції немає, можна скористатися FTP-клієнтом для завантаження всього контенту на локальний комп’ютер.
Автоматичне резервне копіювання є кращим варіантом, якщо ви хочете мінімізувати зусилля з керування сайтом. Хостинг-провайдери зазвичай пропонують автоматичне резервне копіювання як додаткову функцію, що збільшує загальну вартість підтримки безпеки вашого веб-сайту.
Розгляньте можливість використання хмарних об’єктних сховищ для резервного копіювання.
Використання надійного хостинг-провайдера
Надійний хостинг-провайдер забезпечує безперебійну роботу сайту та гарантує його безпеку. При виборі хостингу звертайте увагу не тільки на швидкість та час безвідмовної роботи, але й на аспекти безпеки. Запитайте провайдера про наступне:
- Безпека програмного забезпечення: дізнайтеся, як відбувається оновлення ПЗ; чи оновлюється воно автоматично, чи кожне оновлення проходить тестування.
- Захист від DDoS-атак: якщо цей захист входить до послуг хостингу, дізнайтеся про деталі його реалізації.
- Доступність та підтримка SSL: оскільки сертифікатами зазвичай керує хостинг-провайдер, уточніть, який тип сертифіката він пропонує та яка політика його оновлення.
- Резервне копіювання та відновлення: автоматичне резервне копіювання є зручною послугою, але врахуйте її вартість та порівняйте з витратами на створення та зберігання резервних копій власноруч.
- Захист від шкідливого ПЗ: надійний хостинг-провайдер захищає свої сервери від шкідливого програмного забезпечення, виконуючи регулярне сканування та контролюючи цілісність файлів. У випадку спільного хостингу важливо, щоб провайдер використовував ізоляцію облікових записів для запобігання поширенню шкідливого ПЗ.
- Захист брандмауером: провайдер може підвищити рівень безпеки сайтів, використовуючи брандмауер для блокування шкідливого трафіку.
Ознайомтеся з надійними платформами для розміщення статичних сайтів.
Застосування політики надійних паролів
Статичні сайти мають менше облікових записів для управління, оскільки вони не використовують бази даних чи системи керування контентом. Однак необхідно застосовувати політику надійних паролів для облікових записів хостингу чи FTP, які використовуються для оновлення статичного контенту.
Правила для створення надійних паролів:
- Регулярна зміна паролів.
- Встановлення мінімальної довжини пароля.
- Використання комбінацій великих та малих літер, спеціальних символів та цифр.
- Уникайте передачі паролів електронною поштою чи текстовими повідомленнями.
Обов’язково змініть стандартний пароль для адміністративних облікових записів – це розповсюджена помилка, якою легко можуть скористатися зловмисники. Використовуйте менеджер паролів для їх безпечного зберігання та керування.
Стаємо статичними
Раніше динамічний контент був популярним рішенням, оскільки дозволяв легко вносити зміни та оновлення на сайті. Але зараз швидкість стала пріоритетом, і статичний контент знову набув популярності.
При цьому необхідно переоцінити усі методи безпеки веб-сайтів. Хоча аспектів, що потребують уваги, стало менше, не слід нехтувати безпекою. Цей перелік найкращих практик стане у пригоді при створенні вашого власного чек-листа для забезпечення безпеки статичного сайту.