Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Geekflare-Redaktion in Sicherheit  |  Zuletzt aktualisiert: 20. November 2022
Teilen:

7 Best Practices für die HTML-Sicherheit bei statischen Website-Schwachstellen

statische Site-Sicherheit
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Statische Websites speichern bereits gerenderten Inhalt, weshalb sie nicht auf eine Datenbank zugreifen, komplexe Skripts ausführen oder von einer Laufzeit-Engine abhängig sein müssen, wenn ein Benutzer eine Seite anfordert.

Das führt zu klaren Vorteilen in Ladezeiten und Sicherheit: Statische Seiten sparen viel Serverzeit und weisen weniger Schwachstellen auf. Dies bedeutet wiederum, dass Suchmaschinen statische Seiten besser einstufen als ihre dynamischen Entsprechungen.

SEO-Experten wenden sich, wann immer sie können, statischen Inhalten zu, um in einer Welt, in der ein Bruchteil einer Sekunde den Unterschied zwischen totalem Erfolg und völligem Misserfolg ausmachen kann, besser mithalten zu können. Die Bereitstellung statischer Inhalte ist zu einem Schlagwort zwischen Marketingstrategen geworden, und IT-Mitarbeiter lieben es, dass sie einen weniger anfälligen Ort haben, den sie im Auge behalten können.

Aber Vorsicht - sie sind nicht 100% hackfest, wenn Sie es vorhaben statischen Inhalt bereitstellen Auf Ihrer Website finden Sie einige bewährte Methoden, die Sie befolgen sollten, um die Sicherheit zu gewährleisten.

Use Security HTTP Headers

Sicherheitskopfzeilen sind eine Teilmenge von HTTP-Antwortheadern - ein Paket von Metadaten, Fehlercodes, Cache-Regeln usw., die der Webserver dem von ihm bereitgestellten Inhalt hinzufügt -, um dem Browser mitzuteilen, was zu tun ist und wie mit dem empfangenen Inhalt umzugehen ist. Nicht alle Browser unterstützen alle Sicherheitsheader, aber es gibt einen kleinen Satz, der ziemlich häufig vorkommt und grundlegende Sicherheitsmaßnahmen bietet, um zu verhindern, dass Hacker Schwachstellen ausnutzen.

X-Frame-Options: SAMEORIGIN

Der X-Frame-Options-Header soll die durch iframes auf Ihrer Site verursachten Risiken deaktivieren oder mindern. Iframes können von Hackern verwendet werden, um legitime Klicks zu erfassen und Besucher zu einer beliebigen URL zu leiten. Es gibt verschiedene Möglichkeiten, um den Missbrauch von Iframes zu verhindern.

Die von OWASP (Open Web Application Security Project) empfohlene Best Practice schlägt vor, diesen Header mit dem zu verwenden GLEICHERORIGIN Parameter, der die Verwendung von Iframes nur von Personen mit demselben Ursprung ermöglicht. Andere Optionen sind VERWEIGERN, um Iframes vollständig zu deaktivieren, und ALLOW-FROM, damit nur bestimmte URLs Seiten in Iframes einfügen können.

Lesen Sie den Implementierungsleitfaden für Apache und Nginx.

X-XSS-Schutz: 1; mode = block

Der X-XSS-Protection-Header dient zum Schutz von Websites vor Cross-Site-Scripting. Diese Header-Funktion kann auf zwei Arten implementiert werden:

  • X-XSS-Schutz: 1
  • X-XSS-Schutz: 1; mode = block

Der erste ist freizügiger: Er filtert Skripte von der Anforderung an den Webserver, rendert die Seite jedoch trotzdem. Der zweite Weg ist sicherer, da er die gesamte Seite blockiert, wenn in der Anforderung ein X-XSS-Skript erkannt wird. Diese zweite Option ist eine von OWASP empfohlene Best Practice.

X-Content-Type-Optionen: nosniff

Dieser Header verhindert die Verwendung von MIME "Schnüffeln" - eine Funktion, mit der der Browser den Inhalt scannen und anders reagieren kann als in der Kopfzeile angegeben. Wenn dieser Header vorhanden ist, muss der Browser den Inhaltstyp wie angewiesen festlegen, anstatt ihn durch vorheriges "Schnüffeln" des Inhalts abzuleiten.

Wenn Sie diesen Header anwenden, sollten Sie überprüfen, ob Ihre Inhaltstypen auf jeder Seite Ihrer statischen Website korrekt angewendet werden.

Inhaltstyp: Text / HTML; charset = UTF-8

Diese Zeile wird seit Version 1.0 des HTTP-Protokolls zu Anforderungs- und Antwortheadern für HTML-Seiten hinzugefügt. Es wird festgelegt, dass alle Tags im Browser gerendert werden und das Ergebnis auf der Webseite angezeigt wird.

Use TLS certificates

Ein SSL / TLS-Zertifikat ist ein Muss für alle Websites, da es dem Webserver ermöglicht, die Daten zu verschlüsseln, die er über das sichere HTTPS-Protokoll an den Webbrowser sendet. Auf diese Weise sind die Daten unlesbar, wenn sie auf ihrer Reise abgefangen werden, was für den Schutz unerlässlich ist Benutzer Privatsphäre und um die Website zu sichern. Eine statische Website speichert nicht die persönlichen Informationen ihrer Besucher, aber es ist wichtig, dass die von ihnen angeforderten Informationen von unerwünschten Beobachtern nicht gesehen werden können.

Die Verwendung der Verschlüsselung durch eine Website muss von den meisten Webbrowsern als sichere Website gekennzeichnet werden und ist für Websites obligatorisch, die die EU-Datenschutzgrundverordnung (DSGVO) einhalten möchten. Das Gesetz schreibt nicht ausdrücklich vor, dass ein SSL-Zertifikat verwendet werden soll, aber es ist der einfachste Weg, um die Datenschutzanforderungen in der Verordnung zu erfüllen.

In Bezug auf die Sicherheit, die SSL-Zertifikat ermöglicht es den Behörden, den Besitz einer Website zu überprüfen und zu verhindern, dass Hacker gefälschte Versionen davon erstellen. Durch die Verwendung eines SSL-Zertifikats kann der Website-Besucher die Echtheit des Herausgebers überprüfen und sich sicher sein, dass niemand seine Aktivitäten auf der Website ausspionieren kann.

Die gute Nachricht ist, dass das Zertifikat nicht viel kostet. In der Tat können Sie es in KOSTENLOS von erhalten ZeroSSL oder kaufen Sie eine Premium von SSL-Speicher.

Deploy DDoS protection

DDoS-Angriffe (Distributed Denial of Service) werden heutzutage immer häufiger. Bei dieser Art von Angriff wird eine Reihe verteilter Geräte verwendet, um einen Server mit einer Flut von Anforderungen zu überfordern, bis er gesättigt ist und sich einfach weigert zu arbeiten. Es spielt keine Rolle, ob Ihre Website statischen Inhalt hat - der Webserver kann leicht Opfer eines DDoS-Angriffs werden, wenn Sie nicht die erforderlichen Maßnahmen ergreifen.

Der einfachste Weg, den DDoS-Schutz auf Ihrer Website zu implementieren, besteht darin, dass ein Sicherheitsdienstleister sich um alle Cyber-Bedrohungen kümmert. Dieser Dienst bietet Intrusion Detection, antivirale Dienste, Schwachstellen-Scanning und mehr, sodass Sie sich praktisch keine Sorgen über Bedrohungen machen müssen.

Eine solch umfassende Lösung könnte teuer sein, aber es gibt auch fokussiertere Lösungen mit geringeren Kosten, wie z. B. DDoS Protection as a Service (DPaaS). Sie sollten Ihren Hosting-Anbieter fragen, ob er einen solchen Service anbietet.

Günstigere Lösungen sind Cloud-basierter DDoS-Schutz Dienstleistungen, wie die von Akamai angebotenen, Sucurioder Cloudflare. Diese Dienste ermöglichen die frühzeitige Erkennung und Analyse von DDoS-Angriffen sowie das Filtern und Umleiten dieser Angriffe, dh das Umleiten des böswilligen Datenverkehrs von Ihrer Website weg.

Wenn Sie eine Anti-DDoS-Lösung in Betracht ziehen, sollten Sie auf deren Netzwerkkapazität achten: Dieser Parameter gibt an, wie viel Angriffsintensität der Schutz aushalten kann.

Avoid Vulnerable JavaScript Libraries

Selbst wenn Ihre Website statischen Inhalt hat, kann sie verwendet werden JavaScript-Bibliotheken das birgt Sicherheitsrisiken. Es wird allgemein angenommen, dass 20% dieser Bibliotheken eine Website anfälliger machen. Glücklicherweise können Sie den Service von nutzen Sicherheitslücke DB um zu überprüfen, ob eine bestimmte Bibliothek sicher ist oder nicht. In der Datenbank finden Sie detaillierte Informationen und Anleitungen zu vielen bekannten Sicherheitslücken.

Neben der Überprüfung einer bestimmten Bibliothek auf Schwachstellen können Sie diese Liste mit Best Practices für JavaScript-Bibliotheken befolgen, mit denen die potenziellen Risiken behoben werden können:

  • Verwenden Sie keine externen Bibliotheksserver. Speichern Sie die Bibliotheken stattdessen auf demselben Server, auf dem sich Ihre Website befindet. Wenn Sie externe Bibliotheken verwenden müssen, vermeiden Sie die Verwendung von Bibliotheken aus Server auf der schwarzen Listeund überprüfen Sie regelmäßig die Sicherheit externer Server.
  • Verwenden Sie die Versionsverwaltung für JavaScript-Bibliotheken und stellen Sie sicher, dass Sie die neueste Version jeder Bibliothek verwenden. Wenn die Versionsverwaltung keine Option ist, sollten Sie zumindest Versionen verwenden, die frei von bekannten Sicherheitslücken sind. Sie können verwenden pension.js um die Verwendung anfälliger Versionen zu erkennen.
  • Überprüfen Sie regelmäßig, ob Ihre Website externe Bibliotheken verwendet, von denen Sie nichts wissen. Auf diese Weise wissen Sie, ob ein Hacker Links zu unerwünschten Bibliotheksanbietern eingefügt hat. Injektionsangriffe sind auf statischen Websites unwahrscheinlich, aber es schadet nicht, diese Überprüfung von Zeit zu Zeit durchzuführen.

Implement Backup Strategy

Bei einer statischen Website sollte der Inhalt immer sicher gesichert sein, wenn er geändert wird. Die Sicherungskopien müssen sicher gespeichert und leicht zugänglich sein, falls Sie Ihre Website im Falle eines Absturzes wiederherstellen müssen. Es gibt viele Möglichkeiten, Ihre statische Website zu sichern. Im Allgemeinen können sie jedoch in manuelle und automatische Kategorien unterteilt werden.

Wenn sich der Inhalt Ihrer Website nicht sehr häufig ändert, kann eine manuelle Sicherungsstrategie angemessen sein. Sie müssen lediglich daran denken, bei jeder Änderung des Inhalts eine neue Sicherung durchzuführen. Wenn Sie ein Control Panel zur Verwaltung Ihres Hosting-Kontos haben, finden Sie in diesem Control Panel höchstwahrscheinlich eine Option zum Erstellen von Backups. Wenn nicht, können Sie jederzeit einen FTP-Client verwenden, um den gesamten Inhalt der Website auf ein lokales Gerät herunterzuladen, auf dem Sie ihn sicher aufbewahren und bei Bedarf wiederherstellen können.

Natürlich ist die automatische Sicherungsoption vorzuziehen, wenn Sie Ihre Website-Verwaltungsaufgaben auf ein Minimum beschränken möchten. Automatische Backups werden jedoch in der Regel von Hosting-Anbietern als Premium-Funktionen angeboten, was die Gesamtkosten für die Sicherung Ihrer Website erhöht.

Sie können in Betracht ziehen, zu verwenden Speicherung von Cloud-Objekten für die Sicherung.

Use a Reliable Hosting Provider

Ein zuverlässiger Webhosting-Service ist erforderlich, um sicherzustellen, dass Ihre Website reibungslos und schnell funktioniert, aber auch, um sicherzustellen, dass sie nicht gehackt wird. Die meisten Webhosting-Bewertungen zeigen Ihnen Zahlen und Vergleiche zu Geschwindigkeit, Verfügbarkeit und Kundensupport. Bei der Betrachtung der Website-Sicherheit sollten jedoch einige Aspekte sorgfältig beachtet werden, und Sie sollten Ihren Anbieter vor der Einstellung seines Dienstes fragen:

  • Software-Sicherheit: Sie sollten herausfinden, wie mit Software-Updates umgegangen wird. Zum Beispiel, wenn die gesamte Software automatisch aktualisiert wird oder wenn jedes Update vor seiner Bereitstellung einem Testprozess unterzogen wird.
  • DDoS-Schutz: Wenn diese Art von Schutz im Hosting-Service enthalten ist, fragen Sie nach Einzelheiten zu dessen Implementierung, um zu überprüfen, ob er Ihren Website-Anforderungen entspricht.
  • Verfügbarkeit und Unterstützung von SSL: Da die Zertifikate in den meisten Fällen vom Hosting-Anbieter verwaltet werden, sollten Sie überprüfen, welche Art von Zertifikat angeboten wird und welche Richtlinien zur Erneuerung von Zertifikaten gelten.
  • Sichern und Wiederherstellen: Viele Hosting-Anbieter bieten einen automatisierten Sicherungsdienst an. Dies ist eine gute Sache, da Sie praktisch vergessen können, Sicherungen zu erstellen, zu speichern und auf dem neuesten Stand zu halten. Berücksichtigen Sie jedoch die Kosten eines solchen Dienstes und wägen Sie ihn gegen den Aufwand ab, der erforderlich ist, um Ihre Inhalte selbst zu sichern.
  • Malware-Schutz: Ein zuverlässiger Hosting-Anbieter sollte seine Server vor Malware schützen, indem er regelmäßig Malware-Scans durchführt und die Dateiintegrität überwacht. Im Fall von Shared Hosting ist es wünschenswert, dass der Hosting-Anbieter die Kontoisolierung verwendet, um zu verhindern, dass sich Malware-Infektionen zwischen benachbarten Websites verbreiten.
  • Firewall-Schutz: Ein Hosting-Anbieter kann die Sicherheitsstufe der von ihm gehosteten Websites erhöhen, indem er eine Firewall bereitstellt, die feindlichen Datenverkehr fernhält.

Probieren Sie auch die zuverlässige statische Site-Hosting-Plattform.

Enforce a Strong Password Policy

Da eine statische Site keine Datenbank oder kein verwaltetes Inhaltssystem hat, müssen weniger Benutzernamen und Kennwörter verwaltet werden. Sie müssen jedoch noch eine Kennwortrichtlinie für die Hosting- oder FTP-Konten erzwingen, mit denen Sie den statischen Inhalt aktualisieren.

Zu den bewährten Methoden für Kennwörter gehören unter anderem:

  • Ändern Sie sie regelmäßig
  • Festlegen einer Mindestkennwortlänge.
  • Verwendung von Kombinationen aus Groß- und Kleinbuchstaben zusammen mit Sonderzeichen und Zahlen
  • Vermeiden Sie die Kommunikation per E-Mail oder SMS.

Außerdem muss das Standardkennwort für Administratorkonten von Anfang an geändert werden. Dies ist ein häufiger Fehler, den Hacker leicht ausnutzen können. Haben Sie keine Angst, das Passwort zu verlieren. benutze einen Password Manager um sie sicher zu verwalten.

Lassen Sie uns statisch werden

Vor einigen Jahren war dynamischer Inhalt der richtige Weg: Alles konnte leicht geändert und aktualisiert werden, sodass innerhalb von Sekunden eine komplette Neugestaltung der Website möglich war. Aber dann, Geschwindigkeit wurde zur obersten Priorität und statische Inhalte wurden plötzlich wieder cool.

In diesem Sinne sollten alle Sicherheitspraktiken für Websites neu bewertet werden - es sind sicher weniger Aspekte zu berücksichtigen, aber Sie sollten sich nicht darüber entspannen. Diese Liste der Best Practices wird Ihnen sicherlich dabei helfen, Ihre eigene Checkliste zu erstellen, um Ihre zu behalten statische Website sicher und gesund.

Markiert als
Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder