Statische Websites speichern bereits gerenderte Inhalte, weshalb sie nicht auf eine Datenbank zugreifen, komplexe Skripte ausführen oder auf eine Laufzeit-Engine angewiesen sein müssen, wenn ein Benutzer eine Seite anfordert.
Das bedeutet klare Vorteile bei Ladezeiten und Sicherheit: Statische Seiten sparen viel Serverzeit und haben weniger Schwachstellen. Das wiederum bedeutet, dass Suchmaschinen statische Seiten besser bewerten als ihre dynamischen Äquivalente.
SEO-Experten wenden sich, wann immer sie können, statischen Inhalten zu, um in einer Welt, in der ein Bruchteil einer Sekunde den Unterschied zwischen totalem Erfolg und völligem Misserfolg ausmachen kann, besser zu bestehen. Die Bereitstellung statischer Inhalte ist zu einem Schlagwort unter Marketingstrategen geworden, und IT-Mitarbeiter lieben es, dass sie einen weniger anfälligen Ort haben, den sie im Auge behalten können.
Aber Vorsicht – sie sind nicht 100 % hacksicher. Wenn Sie also vorhaben, statische Inhalte auf Ihrer Website bereitzustellen, sollten Sie einige Best Practices befolgen, um sie zu schützen.
Inhaltsverzeichnis
Sicherheits-Header sind eine Teilmenge der HTTP-Antwort-Header – ein Paket von Metadaten, Fehlercodes, Cache-Regeln usw., die der Webserver zu den von ihm bereitgestellten Inhalten hinzufügt – die entwickelt wurden, um dem Browser mitzuteilen, was zu tun ist und wie er mit den empfangenen Inhalten umgehen soll. Nicht alle Browser unterstützen alle Sicherheitsheader, aber es gibt einen kleinen Satz, der ziemlich häufig vorkommt und grundlegende Sicherheitsmaßnahmen bietet, um Hacker daran zu hindern, Schwachstellen auszunutzen.
X-Frame-Optionen: SAMEORIGIN
Der X-Frame-Options-Header soll Risiken deaktivieren oder mindern, die von Iframes auf Ihrer Website ausgehen. Iframes können von Hackern verwendet werden, um legitime Klicks zu erfassen und Besucher zu jeder gewünschten URL zu leiten. Es gibt verschiedene Möglichkeiten, den Missbrauch von Iframes zu verhindern.
Die von OWASP (Open Web Application Security Project) empfohlene Best Practice schlägt vor, diesen Header mit dem SAMEORIGIN-Parameter zu verwenden, der die Verwendung von Iframes nur durch jemanden mit demselben Ursprung zulässt. Andere Optionen sind DENY, um Iframes vollständig zu deaktivieren, und ALLOW-FROM, um nur bestimmten URLs zu erlauben, Seiten in Iframes zu platzieren.
Sehen Sie sich den Implementierungsleitfaden für Apache und Nginx an.
X-XSS-Schutz: 1; Modus = blockieren
Der X-XSS-Protection-Header wurde entwickelt, um Websites vor Cross-Site-Scripting zu schützen. Diese Header-Funktion kann auf zwei Arten implementiert werden:
- X-XSS-Schutz: 1
- X-XSS-Schutz: 1; Modus = blockieren
Der erste ist freizügiger und filtert Skripte von der Anfrage an den Webserver, rendert die Seite aber trotzdem. Die zweite Methode ist sicherer, da sie die gesamte Seite blockiert, wenn ein X-XSS-Skript in der Anfrage erkannt wird. Diese zweite Option ist eine von OWASP empfohlene Best Practice.
X-Content-Type-Optionen: nosniff
Dieser Header verhindert die Verwendung von MIME „Sniffing“ – eine Funktion, die es dem Browser ermöglicht, den Inhalt zu scannen und anders zu reagieren, als der Header anweist. Wenn dieser Header vorhanden ist, muss der Browser den Inhaltstyp wie angewiesen festlegen, anstatt darauf zu schließen, indem er den Inhalt im Voraus „schnüffelt“.
Wenn Sie diesen Header anwenden, sollten Sie noch einmal überprüfen, ob Ihre Inhaltstypen auf jeder Seite Ihrer statischen Website korrekt angewendet werden.
Inhaltstyp: text/html; Zeichensatz=utf-8
Diese Zeile wird seit Version 1.0 des HTTP-Protokolls zu Anforderungs- und Antwort-Headern für HTML-Seiten hinzugefügt. Es legt fest, dass alle Tags im Browser gerendert werden und das Ergebnis auf der Webseite angezeigt wird.
Verwenden Sie TLS-Zertifikate
Ein SSL/TLS-Zertifikat ist ein Muss für alle Websites, da es dem Webserver ermöglicht, die Daten zu verschlüsseln, die er über das sichere HTTPS-Protokoll an den Webbrowser sendet. Wenn die Daten auf ihrer Reise abgefangen werden, sind sie auf diese Weise nicht lesbar, was zum Schutz der Privatsphäre der Benutzer und zur Sicherung der Website unerlässlich ist. Eine statische Website speichert keine persönlichen Daten ihrer Besucher, aber es ist wichtig, dass die von ihnen angeforderten Informationen nicht von unerwünschten Beobachtern gesehen werden können.
Die Verwendung von Verschlüsselung durch eine Website ist notwendig, um von den meisten Webbrowsern als sichere Website gekennzeichnet zu werden, und ist obligatorisch für Websites, die die EU-Datenschutz-Grundverordnung (DSGVO) einhalten möchten. Das Gesetz schreibt nicht ausdrücklich vor, dass ein SSL-Zertifikat verwendet werden sollte, aber es ist der einfachste Weg, um die Datenschutzanforderungen der Verordnung zu erfüllen.
In Bezug auf die Sicherheit ermöglicht das SSL-Zertifikat den Behörden, den Besitz einer Website zu überprüfen und Hacker daran zu hindern, gefälschte Versionen davon zu erstellen. Die Verwendung eines SSL-Zertifikats ermöglicht es dem Website-Besucher, die Authentizität des Herausgebers zu überprüfen und sicher zu sein, dass niemand seine Aktivitäten auf der Website ausspionieren kann.
Die gute Nachricht ist, dass das Zertifikat nicht viel kostet. Tatsächlich können Sie es KOSTENLOS von erhalten ZeroSSL oder kaufen Sie ein Premium von SSL-Speicher.
DDoS-Schutz bereitstellen
Distributed Denial of Service (DDoS)-Angriffe werden heutzutage immer häufiger. Bei dieser Art von Angriff wird eine Reihe verteilter Geräte verwendet, um einen Server mit einer Flut von Anfragen zu überfluten, bis er gesättigt ist und sich einfach weigert zu arbeiten. Es spielt keine Rolle, ob Ihre Website statische Inhalte hat – ihr Webserver könnte leicht Opfer eines DDoS-Angriffs werden, wenn Sie nicht die erforderlichen Maßnahmen ergreifen.
Der einfachste Weg, DDoS-Schutz auf Ihrer Website zu implementieren, besteht darin, einen Sicherheitsdienstleister zu beauftragen, der sich um alle Cyber-Bedrohungen kümmert. Dieser Dienst bietet Angriffserkennung, antivirale Dienste, Schwachstellenscans und mehr, sodass Sie sich praktisch keine Gedanken über Bedrohungen machen müssen.
Eine solche umfassende Lösung könnte teuer sein, aber es gibt auch fokussiertere Lösungen mit geringeren Kosten, wie z. B. DDoS Protection as a Service (DPaaS). Sie sollten Ihren Hosting-Provider fragen, ob er einen solchen Service anbietet.
Günstigere Lösungen sind Cloud-basierte DDoS-Schutzdienste, wie sie beispielsweise von Akamai angeboten werden. Sucuri, oder Cloudflare. Diese Dienste bieten eine frühzeitige Erkennung und Analyse von DDoS-Angriffen sowie das Filtern und Umleiten dieser Angriffe – d. h. das Umleiten des schädlichen Datenverkehrs von Ihrer Website weg.
Bei der Erwägung einer Anti-DDoS-Lösung sollten Sie auf deren Netzwerkkapazität achten: Dieser Parameter gibt an, wie viel Angriffsintensität der Schutz aushält.
Vermeiden Sie anfällige JavaScript-Bibliotheken
Selbst wenn Ihre Website statischen Inhalt hat, könnte sie JavaScript-Bibliotheken verwenden, die Sicherheitsrisiken mit sich bringen. Es wird allgemein angenommen, dass 20 % dieser Bibliotheken eine Website anfälliger machen. Glücklicherweise konnten Sie den Service von nutzen Schwachstellen-DB um zu überprüfen, ob eine bestimmte Bibliothek sicher ist oder nicht. In seiner Datenbank finden Sie detaillierte Informationen und Anleitungen zu vielen bekannten Schwachstellen.
Neben der Überprüfung einer bestimmten Bibliothek auf Schwachstellen können Sie dieser Liste von Best Practices für JavaScript-Bibliotheken folgen, die potenzielle Risiken beheben:
- Verwenden Sie keine externen Bibliotheksserver. Speichern Sie die Bibliotheken stattdessen auf demselben Server, der Ihre Website hostet. Wenn Sie externe Bibliotheken verwenden müssen, vermeiden Sie die Verwendung von Bibliotheken von Servern auf der schwarzen Liste und überprüfen Sie regelmäßig die Sicherheit externer Server.
- Verwenden Sie die Versionsverwaltung für JavaScript-Bibliotheken und stellen Sie sicher, dass Sie die neueste Version jeder Bibliothek verwenden. Wenn eine Versionsverwaltung keine Option ist, sollten Sie zumindest Versionen verwenden, die frei von bekannten Schwachstellen sind. Sie können verwenden pension.js um die Verwendung anfälliger Versionen zu erkennen.
- Überprüfen Sie regelmäßig, ob Ihre Website externe Bibliotheken verwendet, von denen Sie nichts wissen. Auf diese Weise wissen Sie, ob ein Hacker Links zu unerwünschten Bibliotheksanbietern eingeschleust hat. Einschleusungsangriffe sind bei statischen Websites unwahrscheinlich, aber es schadet nicht, diese Überprüfung von Zeit zu Zeit durchzuführen.
Implementieren Sie eine Backup-Strategie
Eine statische Website sollte ihre Inhalte immer sicher sichern, wenn sie geändert werden. Die Sicherungskopien müssen sicher gespeichert und leicht zugänglich sein, falls Sie Ihre Website im Falle eines Absturzes wiederherstellen müssen. Es gibt viele Möglichkeiten, Ihre statische Website zu sichern, aber im Allgemeinen können sie in manuell und automatisch kategorisiert werden.
Wenn sich der Inhalt Ihrer Website nicht sehr häufig ändert, kann eine manuelle Backup-Strategie angemessen sein – Sie müssen nur daran denken, jedes Mal, wenn Sie eine Änderung am Inhalt vornehmen, ein neues Backup zu erstellen. Wenn Sie ein Control Panel zur Verwaltung Ihres Hosting-Kontos haben, ist es sehr wahrscheinlich, dass Sie in diesem Control Panel eine Option zum Erstellen von Backups finden. Wenn nicht, können Sie jederzeit einen FTP-Client verwenden, um alle Website-Inhalte auf ein lokales Gerät herunterzuladen, wo Sie sie sicher aufbewahren und bei Bedarf wiederherstellen können.
Natürlich ist die automatische Sicherungsoption vorzuziehen, wenn Sie Ihre Website-Verwaltungsaufgaben auf ein Minimum beschränken möchten. Automatische Backups werden jedoch normalerweise von Hosting-Providern als Premium-Funktionen angeboten, was die Gesamtkosten für die Sicherung Ihrer Website erhöht.
Sie können die Verwendung von Cloud-Objektspeicher für die Sicherung in Erwägung ziehen.
Verwenden Sie einen zuverlässigen Hosting-Anbieter
Ein zuverlässiger Webhosting-Service ist notwendig, um einen reibungslosen und schnellen Betrieb Ihrer Website zu gewährleisten, aber auch um sicherzustellen, dass sie nicht gehackt wird. Die meisten Webhosting-Bewertungen zeigen Ihnen Zahlen und Vergleiche zu Geschwindigkeit, Betriebszeit und Kundensupport, aber wenn Sie die Website-Sicherheit in Betracht ziehen, gibt es einige Aspekte, die sorgfältig beachtet werden sollten und nach denen Sie Ihren Anbieter fragen sollten, bevor Sie seinen Dienst beauftragen:
- Software-Sicherheit: Informieren Sie sich, wie Software-Updates gehandhabt werden; zum Beispiel, wenn die gesamte Software automatisch aktualisiert wird oder wenn jedes Update einem Testprozess unterzogen wird, bevor es bereitgestellt wird.
- DDoS-Schutz: Falls diese Art von Schutz im Hosting-Service enthalten ist, fragen Sie nach Details zur Implementierung, um zu überprüfen, ob sie Ihren Website-Anforderungen entspricht.
- SSL-Verfügbarkeit und -Unterstützung: Da die Zertifikate in den meisten Fällen vom Hosting-Provider verwaltet werden, sollten Sie prüfen, welche Art von Zertifikat er anbietet und wie die Zertifikatserneuerungsrichtlinie lautet.
- Sichern und Wiederherstellen: Viele Hosting-Anbieter bieten einen automatisierten Sicherungsdienst an, was gut ist, weil Sie das Erstellen, Speichern und Aktualisieren von Sicherungen praktisch vergessen können. Berücksichtigen Sie jedoch die Kosten eines solchen Dienstes und wägen Sie sie gegen den Aufwand ab, der erforderlich ist, um Ihre Inhalte selbst zu sichern.
- Malware-Schutz: Ein zuverlässiger Hosting-Anbieter sollte seine Server vor Malware schützen, indem er regelmäßige Malware-Scans durchführt und die Dateiintegrität überwacht. Im Fall von Shared Hosting ist es wünschenswert, dass der Hosting-Provider die Kontoisolierung nutzt, um zu verhindern, dass sich Malware-Infektionen zwischen benachbarten Websites ausbreiten.
- Firewall-Schutz: Ein Hosting-Anbieter kann das Sicherheitsniveau der von ihm gehosteten Websites erhöhen, indem er eine Firewall einsetzt, die feindlichen Datenverkehr fernhält.
Sehen Sie sich die zuverlässige Hosting-Plattform für statische Websites an.
Setzen Sie eine Richtlinie für starke Kennwörter durch
Da eine statische Site weder über eine Datenbank noch über ein verwaltetes Inhaltssystem verfügt, müssen weniger Benutzernamen und Kennwörter verwaltet werden. Aber Sie müssen immer noch eine Passwortrichtlinie für die Hosting- oder FTP-Konten durchsetzen, die Sie zum Aktualisieren des statischen Inhalts verwenden.
Zu den bewährten Verfahren für Passwörter gehören unter anderem:
- Ändern Sie sie regelmäßig
- Festlegen einer Mindestpasswortlänge.
- Verwendung von Kombinationen aus Groß-/Kleinbuchstaben zusammen mit Sonderzeichen und Zahlen
- Vermeiden Sie es, sie per E-Mail oder Textnachrichten zu kommunizieren.
Außerdem muss das Standardkennwort für Administratorkonten von Anfang an geändert werden – dies ist ein häufiger Fehler, den Hacker leicht ausnutzen können. Haben Sie keine Angst, Ihr Passwort zu verlieren; Verwenden Sie einen Passwort-Manager, um sie sicher zu verwalten.
Lassen Sie uns statisch werden
Vor einigen Jahren waren dynamische Inhalte der Weg der Wahl: Alles konnte einfach geändert und aktualisiert werden, was eine komplette Neugestaltung der Website innerhalb von Sekunden ermöglichte. Aber dann wurde Geschwindigkeit zur obersten Priorität, und statische Inhalte wurden plötzlich wieder cool.
In diesem Sinne sollten alle Website-Sicherheitspraktiken neu bewertet werden – es gibt sicherlich weniger Aspekte zu berücksichtigen, aber Sie sollten sich dabei nicht ganz entspannen. Diese Liste mit Best Practices wird Ihnen sicherlich dabei helfen, Ihre eigene Checkliste zu erstellen, um Ihre statische Website sicher und gesund zu halten.