Statische web sites slaan reeds weergegeven inhoud op. Daarom hebben ze geen toegang tot een database nodig, hoeven ze geen complexe scripts uit te voeren of zijn ze afhankelijk van een runtime-engine wanneer een gebruiker een pagina opvraagt.
Dat vertaalt zich in duidelijke voordelen op het gebied van laadtijden en veiligheid: statische pagina’s besparen veel servertijd en kennen minder kwetsbaarheden. Dat betekent op zijn beurt dat zoekmachines statische pagina’s beter zullen rangschikken dan hun dynamische equivalenten.
Web optimization-experts wenden zich waar mogelijk tot statische inhoud om beter te kunnen concurreren in een wereld waarin een fractie van een seconde het verschil kan maken tussen totaal succes en totale mislukking. De inzet van statische content material is een modewoord geworden onder marketingstrategen, en IT-personeel vindt het fijn dat ze een minder kwetsbare plek hebben om in de gaten te houden.
Maar pas op: ze zijn niet 100% hackbestendig, dus als u van plan bent statische inhoud op uw web site te plaatsen, zijn er enkele greatest practices die u moet volgen om deze veilig te houden.
Gebruik HTTP-headers voor beveiliging
Beveiligingsheaders zijn een subset van HTTP Response Headers (een pakket metagegevens, foutcodes, cacheregels, and so on.) dat de webserver toevoegt aan de inhoud die hij aanbiedt. Ze zijn ontworpen om de browser te vertellen wat hij moet doen en hoe hij met de ontvangen inhoud moet omgaan. Niet alle browsers ondersteunen alle beveiligingsheaders, maar er is een kleine set die vrij gebruikelijk is en basisbeveiligingsmaatregelen biedt om te voorkomen dat hackers misbruik maken van kwetsbaarheden.
X-Body-opties: SAMEORIGIN
De X-Body-Choices-header is bedoeld om de risico’s van iframes op uw web site uit te schakelen of te beperken. Iframes kunnen door hackers worden gebruikt om legitieme klikken te onderscheppen en bezoekers naar elke gewenste URL te leiden. Er zijn verschillende manieren om misbruik van iframes te voorkomen.
De greatest apply aanbevolen door OWASP (Open Internet Software Safety Mission) suggereert het gebruik van deze header met de ZELFDE OORSPRONG parameter, die het gebruik van iframes alleen toestaat door iemand van dezelfde oorsprong. Andere opties zijn DENY, om iframes volledig uit te schakelen, en ALLOW-FROM, om alleen specifieke URL’s toe te staan pagina’s op iframes te plaatsen.
Bekijk de implementatiegids voor Apache en Nginx.
X-XSS-bescherming: 1; modus=blok
De X-XSS-Safety-header is ontworpen om web sites te beschermen tegen cross-site scripting. Deze headerfunctie kan op twee manieren worden geïmplementeerd:
- X-XSS-bescherming: 1
- X-XSS-bescherming: 1; modus=blok
De eerste is toleranter en filtert scripts van het verzoek naar de webserver, maar geeft de pagina toch weer. De tweede manier is veiliger omdat deze de hele pagina blokkeert wanneer een X-XSS-script in het verzoek wordt gedetecteerd. Deze tweede optie is een door OWASP aanbevolen greatest apply.
X-Content material-Kind-opties: nosniff
Deze header voorkomt het gebruik van MIME “sniffing” – een functie waarmee de browser de inhoud kan scannen en anders kan reageren dan wat de header instrueert. Wanneer deze header aanwezig is, moet de browser het inhoudstype instellen zoals aangegeven, in plaats van dit af te leiden door de inhoud vooraf te ‘snuiven’.
Als u deze header toepast, moet u controleren of uw inhoudstypen appropriate worden toegepast op elke pagina van uw statische web site.
Inhoudstype: tekst/html; tekenset=utf-8
Deze regel is sinds versie 1.0 van het HTTP-protocol toegevoegd aan verzoek- en antwoordheaders voor HTML-pagina’s. Het zorgt ervoor dat alle tags in de browser worden weergegeven en het resultaat op de webpagina worden weergegeven.
Gebruik TLS-certificaten
Een SSL/TLS-certificaat is een should voor elke web site, omdat het de webserver in staat stelt de gegevens die hij naar de webbrowser verzendt te coderen through het beveiligde HTTPS-protocol. Op die manier zullen de gegevens die onderweg worden onderschept, onleesbaar zijn, wat essentieel is voor het beschermen van de privateness van gebruikers en het beveiligen van de web site. Een statische web site bewaart geen persoonlijke gegevens van bezoekers, maar het is essentieel dat de informatie die zij opvragen niet zichtbaar is voor ongewenste kijkers.
Het gebruik van encryptie door een web site is noodzakelijk om door de meeste webbrowsers als veilige web site te worden gemarkeerd en is verplicht voor web sites die willen voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de EU. De moist schrijft niet specifiek voor dat er gebruik gemaakt moet worden van een SSL-certificaat, maar het is wel de eenvoudigste manier om aan de privacyeisen uit de regelgeving te voldoen.
Op het gebied van beveiliging stelt het SSL-certificaat autoriteiten in staat het eigendom van een web site te verifiëren en te voorkomen dat hackers er nepversies van maken. Door het gebruik van een SSL-certificaat kan de websitebezoeker de authenticiteit van de uitgever controleren en erop vertrouwen dat niemand zijn of haar activiteiten op de web site kan bespioneren.
Het goede nieuws is dat het certificaat niet veel kost. U kunt het zelfs GRATIS krijgen bij ZeroSSL of een premium exemplaar kopen bij SSL Retailer.
Implementeer DDoS-bescherming
Distributed Denial of Service (DDoS)-aanvallen komen tegenwoordig steeds vaker voor. Bij dit kind aanval wordt een reeks gedistribueerde apparaten gebruikt om een server te overweldigen met een stortvloed aan verzoeken, totdat deze verzadigd raakt en eenvoudigweg weigert te werken. Het maakt niet uit of uw web site statische inhoud heeft; de webserver kan gemakkelijk het slachtoffer worden van een DDoS-aanval als u niet de nodige maatregelen neemt.
De eenvoudigste manier om DDoS-bescherming op uw web site te implementeren, is door een beveiligingsdienstverlener alle cyberdreigingen te laten afhandelen. Deze service biedt inbraakdetectie, antivirale diensten, scannen op kwetsbaarheden en meer, zodat u zich vrijwel geen zorgen hoeft te maken over eventuele bedreigingen.
Zo’n totaaloplossing kan prijzig zijn, maar er zijn ook meer gerichte oplossingen met lagere kosten, zoals DDoS Safety as a Service (DPaaS). Vraag uw hostingprovider of deze een dergelijke service aanbiedt.
Betaalbarere oplossingen zijn cloudgebaseerde DDoS-beschermingsdiensten, zoals die aangeboden door Akamai, Sucuri of Cloudflare. Deze companies bieden vroege detectie en analyse van DDoS-aanvallen, en het filteren en afleiden van deze aanvallen, dat wil zeggen het omleiden van kwaadaardig verkeer weg van uw web site.
Wanneer u een anti-DDoS-oplossing overweegt, moet u letten op de netwerkcapaciteit: deze parameter geeft aan hoeveel aanvalsintensiteit de bescherming kan weerstaan.
Vermijd kwetsbare JavaScript-bibliotheken
Zelfs als uw web site statische inhoud heeft, kan deze gebruik maken van JavaScript-bibliotheken die veiligheidsrisico’s met zich meebrengen. Algemeen wordt aangenomen dat 20% van deze bibliotheken een web site kwetsbaarder maakt. Gelukkig kunt u de service van Vulnerability DB gebruiken om te controleren of een bepaalde bibliotheek veilig is of niet. In de database kunt u gedetailleerde informatie en begeleiding vinden voor veel bekende kwetsbaarheden.
Naast het controleren van een bepaalde bibliotheek op kwetsbaarheden, kunt u deze lijst met greatest practices voor JavaScript-bibliotheken volgen die herstel bieden voor de potentiële risico’s:
- Gebruik geen externe bibliotheekservers. Bewaar de bibliotheken in plaats daarvan op dezelfde server die uw web site host. Als u externe bibliotheken moet gebruiken, vermijd dan het gebruik van bibliotheken van servers op de zwarte lijst en controleer regelmatig de beveiliging van externe servers.
- Gebruik versiebeheer voor JavaScript-bibliotheken en zorg ervoor dat u van elke bibliotheek de nieuwste versie gebruikt. Als versiebeheer geen optie is, gebruik dan in ieder geval versies die vrij zijn van bekende kwetsbaarheden. U kunt pensione.js gebruiken om het gebruik van kwetsbare versies te detecteren.
- Controleer regelmatig of uw web site externe bibliotheken gebruikt die u niet kent. Op deze manier weet u of een hacker hyperlinks naar ongewenste bibliotheekaanbieders heeft geïnjecteerd. Injectieaanvallen zijn onwaarschijnlijk op statische web sites, maar het kan geen kwaad om deze controle af en toe uit te voeren.
Implementeer een back-upstrategie
Van een statische web site moet altijd een veilige back-up van de inhoud worden gemaakt wanneer deze wordt gewijzigd. De back-upkopieën moeten veilig worden bewaard en gemakkelijk toegankelijk zijn voor het geval u uw web site moet herstellen in geval van een crash. Er zijn veel manieren om een back-up van uw statische web site te maken, maar over het algemeen kunnen deze worden onderverdeeld in handmatig en automatisch.
Als de inhoud van uw web site niet vaak verandert, kan een handmatige back-upstrategie voldoende zijn. U hoeft alleen maar te onthouden dat u een nieuwe back-up moet maken wanneer u een wijziging in de inhoud aanbrengt. Als u een controlepaneel heeft om uw hostingaccount te beheren, is de kans groot dat u in dat controlepaneel een optie vindt om back-ups te maken. Als dit niet het geval is, kunt u altijd een FTP-client gebruiken om alle website-inhoud naar een lokaal apparaat te downloaden, waar u deze veilig kunt bewaren en indien nodig kunt herstellen.
Uiteraard verdient de automatische back-upoptie de voorkeur als u uw websitebeheertaken tot een minimal wilt beperken. Maar automatische back-ups worden door hostingproviders meestal als premiumfunctie aangeboden, waardoor de totale kosten voor het beveiligen van uw web site toenemen.
U kunt overwegen om cloudobjectopslag te gebruiken voor de back-up.
Gebruik een betrouwbare hostingprovider
Een betrouwbare webhostingdienst is nodig om te garanderen dat uw web site soepel en snel functioneert, maar ook om er zeker van te zijn dat deze niet wordt gehackt. De meeste webhostingrecensies laten u cijfers en vergelijkingen zien over snelheid, uptime en klantenondersteuning, maar bij het overwegen van websitebeveiliging zijn er enkele aspecten die zorgvuldig in acht moeten worden genomen en waar u uw supplier naar moet vragen voordat u zijn service inhuurt:
- Softwarebeveiliging: u moet weten hoe software-updates worden afgehandeld; bijvoorbeeld als alle software program automatisch wordt bijgewerkt of als elke replace wordt onderworpen aan een testproces voordat deze wordt geïmplementeerd.
- DDoS-bescherming: als dit soort bescherming bij de hostingservice is inbegrepen, vraag dan om particulars over hoe deze wordt geïmplementeerd, om te verifiëren of deze voldoet aan de vereisten van uw web site.
- Beschikbaarheid en ondersteuning van SSL: aangezien de certificaten in de meeste gevallen worden beheerd door de hostingprovider, moet u controleren welk soort certificaat deze aanbiedt en wat het certificaatvernieuwingsbeleid is.
- Again-up en herstel: veel hostingproviders bieden een geautomatiseerde back-upservice aan, wat een goede zaak is, omdat u hierdoor vrijwel het maken van back-ups, het opslaan ervan en het up-to-date houden ervan kunt vergeten. Maar houd rekening met de kosten van een dergelijke dienst en weeg deze af tegen de moeite die het kost om zelf een back-up van uw inhoud te houden.
- Bescherming tegen malware: een betrouwbare hostingprovider moet zijn servers beschermen tegen malware, door periodieke malwarescans uit te voeren en de bestandsintegriteit te bewaken. In het geval van shared internet hosting is het wenselijk dat de hostingprovider gebruik maakt van accountisolatie, om te voorkomen dat malware-infecties zich verspreiden tussen naburige web sites.
- Firewallbescherming: een hostingprovider kan het beveiligingsniveau van de web sites die hij host verhogen door een firewall in te zetten die vijandig verkeer buiten houdt.
Bekijk het betrouwbare hostingplatform voor statische websites.
Dwing een sterk wachtwoordbeleid af
Omdat een statische web site geen database of beheerd inhoudssysteem heeft, hoeft deze minder gebruikersnamen en wachtwoorden te beheren. Maar u moet nog steeds een wachtwoordbeleid afdwingen voor de hosting- of FTP-accounts die u gaat gebruiken om de statische inhoud bij te werken.
Goede praktijken voor wachtwoorden zijn onder meer:
- Verander ze regelmatig
- Een minimale wachtwoordlengte instellen.
- Combinaties van hoofdletters/kleine letters gebruiken, samen met speciale tekens en cijfers
- Vermijd communicatie through e-mail of sms-berichten.
Bovendien moet het standaardwachtwoord voor beheerdersaccounts vanaf het allereerste start worden gewijzigd. Dit is een veel voorkomende fout die hackers gemakkelijk kunnen misbruiken. Wees niet bang om het wachtwoord te verliezen; gebruik een wachtwoordbeheerder om ze veilig te beheren.
Laten we statisch worden
Een paar jaar geleden was dynamische inhoud de juiste keuze: alles kon eenvoudig worden gewijzigd en bijgewerkt, waardoor een volledig nieuw ontwerp van de web site binnen enkele seconden mogelijk was. Maar toen werd snelheid de hoogste prioriteit en werd statische inhoud plotseling weer cool.
In die zin moeten alle websitebeveiligingspraktijken opnieuw worden geëvalueerd. Er zijn zeker minder aspecten waarmee u rekening moet houden, maar u moet er niet helemaal ontspannen over worden. Deze lijst met greatest practices zal u zeker helpen bij het maken van uw eigen guidelines om uw statische web site veilig en gezond te houden.