Сайт, имеющий популярность, - лакомый кусок для хакеров. Повысить безопасность можно описанными ниже способами.
Настройка приведенных ниже заголовков - базовая составляющая безопасности.
Сайт с потенциальными уязвимостями:
-
допускает внедрение внешних скриптов, ссылок на вирусы и “взрослый” контент;
-
может подгружать контент на сторонних ресурсах;
-
перехватывает персональные данные как в процессе работы с сайтом, так и при проникновении в систему;
-
другие возможные методы проникновения через веб-канал связи.
Заголовки безопасности
Content-Security-Policy (CSP, политика защиты контента) - это один из методов обеспечения безопасности и защиты от атак с подменой и внедрением контента - межсайтовый скриптинг (XSS, cross site scripting).
X-Content-Type-Options (параметры типа содержимого) - такой способ позволит избежать подмены MIME типов файлов и не допустит сниффинг контента.
X-Frame-Options (параметры фрейма) - снижает уязвимости, связанные с кликджекинг-атаками. Запрет на использование вашего сайта во фреймах на сторонних ресурсах.
X-XSS-Protection (защита от XSS) - предотвращает некоторые XSS-атаки ("Межсайтовый скриптинг").
Strict-Transport-Security (HSTS - "всегда используй HTTPS для связи с этим сайтом") - это позволяет предотвратить попытки обойти HTTPS и перенаправляет все HTTP запросы на HTTPS.
Referrer-Policy (политика рефера) - позволяет настроить контроль передаваемых данных при переходе посетителей на другой сайт. Заголовок отвечает за анонимность данных при переходе.
Feature-Policy (политика функций) - повышает безопасность аналогично CSP, только контролирует функции (камера, микрофон) и поведение при работе в браузере, управляет его API.
Настройка данных заголовков повышает уровень безопасности и снижает риски по проникновению в систему управления сайтом.
Что требуется для этого?
Необходимо полностью перевести сайт на https-протокол, если этого еще не было сделано.
После перехода на https-протокол, можно повышать уровень безопасности сайта. Настройка методов защиты напрямую зависит от наличия HTTPS протокола и архитектуры сайта.
Данных методов не достаточно для надежной работы сайта - необходимо вовремя производить обновление вашей CMS и её компонентов. Тестировать безопасность на проникновение с помощью специального софта и сервисов.
Сколько стоит?
Стоимость настройки заголовков безопасности: 10500 рублей (Apache HTTP-сервер).
Процесс настройки занимает 1-3 рабочих дня. Необходимы доступы от FTP и административной части сайта. Приведенная стоимость дана для сервера, работающего под управлением Apache, для Nginx - стоимость работ согласовывается с менеджером.
Мы занимаемся доработкой действующих проектов и разработкой сайтов любой сложности на Bitrix, ModX, WordPress, Joomla.
Вы можете оставить заявку для получения дополнительной информации по вашему сайту.
