7 Best Practices für die HTML-Sicherheit bei statischen Website-Schwachstellen

Statische Websites speichern bereits gerenderten Inhalt, weshalb sie nicht auf eine Datenbank zugreifen, komplexe Skripts ausführen oder von einer Laufzeit-Engine abhängig sein müssen, wenn ein Benutzer eine Seite anfordert.
That translates in klare Vorteile in Ladezeiten und Sicherheit: Statische Seiten sparen viel Serverzeit und weisen weniger Schwachstellen auf. Dies bedeutet wiederum, dass Suchmaschinen statische Seiten besser einstufen als ihre dynamischen Entsprechungen.
SEO-Experten greifen, wann immer sie können, auf statische Inhalte zurück, um in einer Welt, in der ein Bruchteil einer Sekunde den Unterschied zwischen völligem Erfolg und völligem Scheitern ausmachen kann, besser zu bestehen. Die Bereitstellung statischer Inhalte ist zu einem Schlagwort in der Marketingabteilung gewordenateDas Wesentliche ist, und das IT-Personal freut sich darüber, dass es eine weniger anfällige Stelle im Auge behalten kann.
Aber Vorsicht – sie sind nicht zu 100 % hack-proofAlso, wenn Sie es sind plannzu statischen Inhalt bereitstellen Auf Ihrer Website finden Sie einige bewährte Methoden, die Sie befolgen sollten, um die Sicherheit zu gewährleisten.
Verwenden Sie Sicherheits-HTTP-Header
Sicherheitskopfzeilen sind eine Teilmenge von HTTP-Antwort-Headern – ein Paket aus Metadaten, Fehlercodes, Cache-Regeln usw., das der Webserver dem von ihm bereitgestellten Inhalt hinzufügt – und dazu bestimmt ist, dem b mitzuteilenrowsEr was zu tun ist und wie mit den empfangenen Inhalten umgegangen werden soll. Nicht alle browsEr unterstützt alle Sicherheitsheader, es gibt jedoch einen kleinen Satz, der recht häufig vorkommt und grundlegende Sicherheitsmaßnahmen bereitstellt, um Hacker daran zu hindern, Schwachstellen auszunutzen.
X-Frame-Options: SAMEORIGIN
Der X-Frame-Options-Header soll disable oder milderndate Risiken, die durch Iframes auf Ihrer Website entstehen. Iframes können von Hackern genutzt werden, um Legitimität zu beschlagnahmenate Klicks und leiten Besucher zu jeder gewünschten URL weiter. Es gibt verschiedene Möglichkeiten, prevEnt den Missbrauch von Iframes.
Die von OWASP (Open Web Application Security Project) empfohlene Best Practice schlägt vor, diesen Header mit dem zu verwenden GLEICHERORIGIN Parameter, der die Verwendung von Iframes nur durch jemanden auf demselben Ursprung erlaubt. Andere Optionen sind DENY, to disable Iframes vollständig und ALLOW-FROM, um nur bestimmten URLs das Platzieren von Seiten in Iframes zu erlauben.
Lesen Sie den Implementierungsleitfaden für Apache und Nginx.
X-XSS-Schutz: 1; mode = block
Der X-XSS-Protection-Header dient zum Schutz von Websites vor Cross-Site-Scripting. Diese Header-Funktion kann auf zwei Arten implementiert werden:
- X-XSS-Schutz: 1
- X-XSS-Schutz: 1; mode = block
Der erste ist freizügiger: Er filtert Skripte von der Anforderung an den Webserver, rendert die Seite jedoch trotzdem. Der zweite Weg ist sicherer, da er die gesamte Seite blockiert, wenn in der Anforderung ein X-XSS-Skript erkannt wird. Diese zweite Option ist eine von OWASP empfohlene Best Practice.
X-Content-Type-Optionen: nosniff
Dieser Header prevents die Verwendung von MIME „Schnüffeln“ – eine Funktion, die es dem browsEr kann den Inhalt scannen und anders reagieren, als es der Header vorschreibt. Wenn dieser Header vorhanden ist, wird der browsEr muss den Inhaltstyp wie angewiesen festlegen, anstatt ihn durch „Schnüffeln“ des Inhalts im Voraus abzuleiten.
Wenn Sie diesen Header anwenden, sollten Sie überprüfen, ob Ihre Inhaltstypen auf jeder Seite Ihrer statischen Website korrekt angewendet werden.
Inhaltstyp: Text / HTML; charset = UTF-8
Diese Zeile wird seit Version 1.0 des HTTP-Protokolls zu Anforderungs- und Antwortheadern für HTML-Seiten hinzugefügt. Es stellt sicher, dass alle Tags im b gerendert werdenrowsäh, Anzeige des Ergebnisses auf der Webseite.
Verwenden Sie ein TLS-Zertifikatates
Ein SSL/TLS-Zertifikatate ist ein Muss für jede Website, da es dem Webserver ermöglicht, die an das Web gesendeten Daten zu verschlüsseln. browser über das sichere HTTPS-Protokoll. Auf diese Weise sind die Daten, wenn sie unterwegs abgefangen werden, unlesbar, was für den Schutz unerlässlich ist Benutzer Privatsphäre und um die Website zu sichern. Eine statische Website speichert nicht die persönlichen Informationen ihrer Besucher, aber es ist wichtig, dass die von ihnen angeforderten Informationen von unerwünschten Beobachtern nicht gesehen werden können.
Die Verwendung von encryption von einer Website ist erforderlich, um von den meisten Web-Seiten als sichere Website gekennzeichnet zu werdenrowsers und ist obligatorisch für Websites, die die Datenschutz-Grundverordnung (DSGVO) der EU einhalten möchten. Das Gesetz sieht nicht vor, dass State spezifischally dass ein SSL-Zertifikatate sollte verwendet werden, aber es ist die einfachste Möglichkeit, die Datenschutzanforderungen der Verordnung zu erfüllen.
In Bezug auf die Sicherheit, die SSL-Zertifikatate ermöglicht es Behörden, den Besitz einer Website zu überprüfen und prevverhindern, dass Hacker gefälschte Versionen davon erstellen. Die Verwendung eines SSL-Zertifikatsate ermöglicht es dem Website-Besucher, die Authentizität des Herausgebers zu überprüfen und sich sicher zu sein, dass niemand seine Aktivitäten auf der Website ausspionieren kann.
Die gute Nachricht ist das Zertifikatate kostet nicht viel. Tatsächlich können Sie es KOSTENLOS von erhalten ZeroSSL oder kaufen Sie eine Premium von SSL-Speicher.
Stellen Sie einen DDoS-Schutz bereit
Distributed Denial of Service (DDoS)-Angriffe kommen heutzutage immer häufiger vor. Bei dieser Art von Angriff wird eine Reihe verteilter Geräte verwendet, um einen Server mit einer Flut von Anfragen zu überfordern, bis er überlastet istated und weigert sich einfach zu arbeiten. Es spielt keine Rolle, ob Ihre Website über statische Inhalte verfügt – der Webserver könnte leicht Opfer eines DDoS-Angriffs werden, wenn Sie nicht die erforderlichen Maßnahmen ergreifen.
Der einfachste Weg, einen DDoS-Schutz auf Ihrer Website zu implementieren, besteht darin, einen Sicherheitsdienstleister zu beauftragen, sich um alle Cyber-Bedrohungen zu kümmern. Dieser Dienst bietet Einbruchserkennung, Antivirendienste, Schwachstellenscans und mehr, damit Sie üben könnenally Sie müssen keine Angst vor Bedrohungen haben.
Eine solch umfassende Lösung könnte teuer sein, aber es gibt auch fokussiertere Lösungen mit geringeren Kosten, wie z. B. DDoS Protection as a Service (DPaaS). Sie sollten Ihren Hosting-Anbieter fragen, ob er einen solchen Service anbietet.
Günstigere Lösungen sind Cloud-basierter DDoS-Schutz Dienstleistungen, wie die von Akamai angebotenen, Sucurioder Cloudflare. Diese Dienste ermöglichen die frühzeitige Erkennung und Analyse von DDoS-Angriffen sowie das Filtern und Umleiten dieser Angriffe, dh das Umleiten des böswilligen Datenverkehrs von Ihrer Website weg.
Wenn Sie eine Anti-DDoS-Lösung in Betracht ziehen, sollten Sie auf deren Netzwerkkapazität achten: Dieser Parameter ist indicateEs geht darum, wie viel Angriffsintensität der Schutz aushält.
Vermeiden Sie anfällige JavaScript-Bibliotheken
Selbst wenn Ihre Website statischen Inhalt hat, kann sie verwendet werden JavaScript-Bibliotheken die Sicherheitsrisiken mit sich bringen. Es ist generischally gehen davon aus, dass 20 % dieser Bibliotheken eine Website anfälliger machen. Fortunately, können Sie den Service von nutzen Sicherheitslücke DB um zu überprüfen, ob eine bestimmte Bibliothek sicher ist oder nicht. In der Datenbank finden Sie detaillierte Informationen und Anleitungen zu vielen bekannten Sicherheitslücken.
Neben der Überprüfung einer bestimmten Bibliothek auf Schwachstellen können Sie diese Liste mit Best Practices für JavaScript-Bibliotheken befolgen, mit denen die potenziellen Risiken behoben werden können:
- Verwenden Sie keine externen Bibliotheksserver. Speichern Sie die Bibliotheken stattdessen auf demselben Server, auf dem sich Ihre Website befindet. Wenn Sie externe Bibliotheken verwenden müssen, vermeiden Sie die Verwendung von Bibliotheken aus Server auf der schwarzen Liste, und überprüfen Sie regelmäßig die Sicherheit externer Serverally.
- Verwenden Sie die Versionsverwaltung für JavaScript-Bibliotheken und stellen Sie sicher, dass Sie das l verwendenatest-Version jeder Bibliothek. Wenn Versionsverwaltung keine Option ist, sollten Sie zumindest Versionen verwenden, die frei von bekannten Schwachstellen sind. Sie können verwenden pension.js um die Verwendung anfälliger Versionen zu erkennen.
- Überprüfen Sie regelmäßig, ob Ihre Website externe Bibliotheken verwendet, von denen Sie nichts wissen. Auf diese Weise wissen Sie, ob ein Hacker Links zu unerwünschten Bibliotheksanbietern eingefügt hat. Injektionsangriffe sind auf statischen Websites unwahrscheinlich, aber es schadet nicht, diese Überprüfung von Zeit zu Zeit durchzuführen.
Implementieren Sie Backup Strategy
Der Inhalt einer statischen Website sollte immer sicher gesichert sein, wenn er geändert wird. Die Sicherungskopien müssen sicher aufbewahrt und leicht zugänglich sein, falls Sie Ihre Website im Falle eines Absturzes wiederherstellen müssen. Es gibt viele Möglichkeiten, Ihre statische Website zu sichern, aber im Allgemeinen können sie c seinategorisiert in manueller und automatischer Ausführung.
Wenn sich der Inhalt Ihrer Website nicht sehr häufig ändert, kann eine manuelle Sicherungskopie erstellt werdenategy kann angemessen seinate – Sie müssen nur daran denken, immer ein neues Backup zu erstellen, wenn Sie eine Änderung am Inhalt vornehmen. Wenn Sie über ein Kontrollfeld zur Verwaltung Ihres Hosting-Kontos verfügen, ist es sehr wahrscheinlich, dass Sie in diesem Kontrollfeld eine Option zum Erstellen von Backups finden. Wenn nicht, können Sie jederzeit einen FTP-Client verwenden, um den gesamten Website-Inhalt auf ein lokales Gerät herunterzuladen, wo Sie ihn sicher aufbewahren und bei Bedarf wiederherstellen können.
Natürlich ist die automatische Backup-Option vorzuziehen, wenn Sie Ihre Website-Verwaltungsaufgaben auf ein Minimum beschränken möchten. Aber automatische Backups sind üblichally Wird von Hosting-Anbietern als Premium-Funktion angeboten und erhöht die Gesamtkosten für die Sicherheit Ihrer Website.
Sie können in Betracht ziehen, zu verwenden Speicherung von Cloud-Objekten für die Sicherung.
Nutzen Sie einen zuverlässigen Hosting-Anbieter
Um den Betrieb Ihrer Website zu gewährleisten, ist ein zuverlässiger Webhosting-Dienst erforderlichate reibungslos und schnell, aber auch um sicherzustellen, dass es nicht gehackt wird. Die meisten Webhosting reviews zeigt Ihnen Zahlen und Vergleiche zu Geschwindigkeit, Betriebszeit und Kundensupport, aber wenn es um die Website-Sicherheit geht, gibt es einige Aspekte, die sorgfältig beachtet werden sollten und nach denen Sie Ihren Anbieter fragen sollten, bevor Sie seinen Dienst in Anspruch nehmen:
- Softwaresicherheit: Sie sollten herausfinden, wie Software aktualisiert wirdates werden behandelt; zum Beispiel, wenn die gesamte Software automatisch aktualisiert wirdated oder wenn jedes Updateate wird einer Prüfung unterzogen process bevor es eingesetzt wird.
- DDoS-Schutz: Wenn diese Art von Schutz im Hosting-Service enthalten ist, fragen Sie nach Einzelheiten zu dessen Implementierung, um zu überprüfen, ob er Ihren Website-Anforderungen entspricht.
- SSL-Verfügbarkeit und -Unterstützung: Da in den meisten Fällen das Zertifikatates vom Hosting-Anbieter verwaltet werden, sollten Sie prüfen, um welche Art von Zertifikat es sich handeltate was es bietet und was ist das Zertifikatate Erneuerungspolitik.
- Sichern und Wiederherstellen: Viele Hosting-Anbieter bieten eine automatische Sicherung anated Backup-Service, was eine gute Sache ist, weil es praktisch istally Vergessen Sie das Erstellen, Speichern und Aktualisieren von BackupsateD. Berücksichtigen Sie jedoch die Kosten eines solchen Dienstes und wägen Sie diese gegen die Kosten ab effort Es wird dauern, bis Ihre Inhalte von Ihnen gesichert sindself.
- Malware-Schutz: Ein zuverlässiger Hosting-Anbieter sollte seine Server vor Malware schützen, indem er regelmäßige Malware-Scans durchführt und monitorDateiintegrität prüfen. Im Falle von Shared Hosting ist es wünschenswert, dass der Hosting-Anbieter die Kontoisolation nutzt, um Srevverhindert, dass sich Malware-Infektionen zwischen benachbarten Websites ausbreiten.
- Firewall-Schutz: Ein Hosting-Anbieter kann die Sicherheitsstufe der von ihm gehosteten Websites erhöhen, indem er eine Firewall bereitstellt, die feindlichen Datenverkehr fernhält.
Probieren Sie auch die zuverlässiges statisches Site-Hosting platFormular.
Erzwingen Sie eine Richtlinie für sichere Passwörter
Da eine statische Site weder über eine Datenbank noch über ein verwaltetes Inhaltssystem verfügt, müssen weniger Benutzernamen und Passwörter verwaltet werden. Sie müssen jedoch weiterhin eine Passwortrichtlinie für die Hosting- oder FTP-Konten durchsetzen, die Sie zum Aktualisieren verwendenate der statische Inhalt.
Zu den bewährten Methoden für Kennwörter gehören unter anderem:
- Ändern Sie sie regelmäßigally
- Festlegen einer Mindestkennwortlänge.
- Verwendung von Kombinationen aus Groß- und Kleinbuchstaben zusammen mit Sonderzeichen und Zahlen
- Vermeiden Sie die Kommunikation per E-Mail oder SMS.
Außerdem muss das Standardkennwort für Administratorkonten von Anfang an geändert werden. Dies ist ein häufiger Fehler, den Hacker leicht ausnutzen können. Haben Sie keine Angst, das Passwort zu verlieren. benutze einen Password Manager um sie sicher zu verwalten.
Lassen Sie uns statisch werden
Vor ein paar Jahren waren dynamische Inhalte die Lösung: Alles konnte einfach geändert und aktualisiert werdenated, was eine komplette Neugestaltung der Website innerhalb von Sekunden ermöglicht. Aber dann, Geschwindigkeit wurde zur obersten Priorität und statische Inhalte wurden plötzlich wieder cool.
In diesem Sinne sollten alle Website-Sicherheitspraktiken neu bewertet werdenated – Es gibt sicherlich weniger Aspekte, die es zu berücksichtigen gilt, aber Sie sollten sich dabei nicht ganz entspannen. Diese Liste mit Best Practices wird Ihnen sicherlich bei der Erstellung helfenate Ihre eigene Checkliste, um Ihre zu behalten statische Website sicher und gesund.