Повышение уровня безопасности сайта

Настройка HTTP security headers

Сайт, имеющий популярность, - лакомый кусок для хакеров. Повысить безопасность можно описанными ниже способами.

Настройка приведенных ниже заголовков - базовая составляющая безопасности.

Сайт с потенциальными уязвимостями:

• допускает внедрение внешних скриптов, ссылок на вирусы и “взрослый” контент;
• может подгружать контент на сторонних ресурсах;
• перехватывает персональные данные как в процессе работы с сайтом, так и при проникновении в систему;
• другие возможные методы проникновения через веб-канал связи.

Заголовки безопасности

Content-Security-Policy (CSP, политика защиты контента) - это один из методов обеспечения безопасности и защиты от атак с подменой и внедрением контента - межсайтовый скриптинг (XSS, cross site scripting).

X-Content-Type-Options (параметры типа содержимого) - такой способ позволит избежать подмены MIME типов файлов и не допустит сниффинг контента.

X-Frame-Options (параметры фрейма) - снижает уязвимости, связанные с кликджекинг-атаками. Запрет на использование вашего сайта во фреймах на сторонних ресурсах.

X-XSS-Protection (защита от XSS) - предотвращает некоторые XSS-атаки ("Межсайтовый скриптинг").

Strict-Transport-Security (HSTS - "всегда используй HTTPS для связи с этим сайтом") - это позволяет предотвратить попытки обойти HTTPS и перенаправляет все HTTP запросы на HTTPS.

Referrer-Policy (политика рефера) - позволяет настроить контроль передаваемых данных при переходе посетителей на другой сайт. Заголовок отвечает за анонимность данных при переходе.

Feature-Policy (политика функций) - повышает безопасность аналогично CSP, только контролирует функции (камера, микрофон) и поведение при работе в браузере, управляет его API.

Настройка данных заголовков повышает уровень безопасности и снижает риски по проникновению в систему управления сайтом.

Что требуется для этого?

Необходимо полностью перевести сайт на https-протокол, если этого еще не было сделано.

После перехода на https-протокол, можно повышать уровень безопасности сайта. Настройка методов защиты напрямую зависит от наличия HTTPS протокола и архитектуры сайта.

Данных методов не достаточно для надежной работы сайта - необходимо вовремя производить обновление вашей CMS и её компонентов. Тестировать безопасность на проникновение с помощью специального софта и сервисов.

Сколько стоит?

Стоимость настройки заголовков безопасности: 10500 рублей (Apache HTTP-сервер).

Процесс настройки занимает 1-3 рабочих дня. Необходимы доступы от FTP и административной части сайта. Приведенная стоимость дана для сервера, работающего под управлением Apache, для Nginx - стоимость работ согласовывается с менеджером.

Мы занимаемся доработкой действующих проектов и разработкой сайтов любой сложности на Bitrix, ModX, WordPress, Joomla.

Вы можете оставить заявку для получения дополнительной информации по вашему сайту.

Солтык Алексей, SEO-специалист Webcenter.Pro

Подробнее в блоге: https://webcenter.pro/blog/usluga-povyshenie-urovnya-bezopasnosti-sayta/