Har du besøgt siden sikkerpånettet.dk, som er en test lavet af punktum.dk, og testet din hjemmesides sikkerhed, så har du muligvis nogle spørgsmål til, hvordan du opnår en bedre score. Det vil vi i denne guide prøve at hjælpe dig med.
Du skal dog være særlig opmærksom på, at disse indstillinger kan have betydning for, hvordan din side fungerer. Sørg derfor for at vælge de indstillinger, der passer til netop din hjemmeside, og sørg for at teste grundigt, når du har opsat disse indstillinger. Vi anbefaler ikke, at du kopierer vores indstillinger uden at være sikker på, at de også vil fungere for dig.
Flere af indstillingerne kræver ligeledes, at der kan kommunikeres gennem HTTPS. Sørg derfor for, at du har et aktivt SSL certifikat på siden. Det kan du nemt gøre ved at besøge din hjemmeside med https://ditdomaene.dk. Er SSL ikke aktiveret, vil din browser meddele, at siden ikke er sikker at besøge. Du kan også tjekke din SSL indstillinger gennem cPanel under punktet "SSL/TLS status". Sørg ligledes for, at du viderestiller alt http trafik til https. Med Wordpress kan dette nemt gøres med pluginet "Really Simple SSL".
Men lad os kigge nærmere på nogle af punkterne fra testen på sikkerpånettet.dk.
IPv6
Vores navneservere kører som standard med IPv6. Ønsker du at få aktiveret IPv6 på dit webhotel også, skal du kontakte supporten, som manuelt kan aktivere det.
DNSSEC:
Hos nordicway, har du selvfølgelig mulighed for at opsætte DNSSEC på dit domæne. Vi har lavet en separat guide til dette, og den finder du her: Opsæt DNSSEC
X-Frame-Options
Du kan angive dine x-frame options (og de andre punkter nedenfor) i din htaccess fil, som du finder i din public_html mappe. Har du tilføjelsesdomæner, så vil du ligeledes finde en htaccess fil i den tilhørende mappe. X-frame-options fortæller browseren, hvad på din side må placeres i fx en iframe på en anden side. Det kan være, at du ikke ønsker, at andre kan sætte indhold fra din side i en iframe på deres side. Nedenfor ser du et eksempel på, hvordan x-frame-options kan se ud. Sørg for at finde den indstilling, der passer til din side. I dette tilfælde bruger vi "SAMEORIGIN", hvilket betyder, at der må bruges frames på tværs af vores egen side, men ikke på andre sider.
Header append X-Frame-Options: "SAMEORIGIN"
X-Content-Type-Options
Med denne HTTP-header giver du webbrowsere besked om, at de ikke må udføre "MIME-type sniffing" og altid følge "Content-Type" som er defineret af din server. Den eneste værdi denne header kan have er "nosniff". Når du har indsat dette på din side, så vil browseren ignorere scripts og styles, der ikke har defineret en content type. Det kan fx være <script type="text/javascript">. Browseren vil stadig forsøge at scanne koden og se, om den kan afgøre hvilken type det er.
Når det er aktiveret, blokerer en browser anmodninger om 'style' og 'script', når de ikke har en tilsvarende 'Content-Type' (dvs. 'tekst / css' eller en 'JavaScript MIME-type' som 'applikation / javascript').
Header set X-Content-Type-Options nosniff
Referrer-Policy
Dette punkt handler om, hvordan data sender mellem forskellige hjemmesider. Det er primært for at sikre brugerens privatliv, at denne HTTP header tilføjes. Her kan man afgøre, om man fx ikke vil modtage følsomme data fra 3. part, man godt vil modtage dem, men kun over en sikker HTTPS forbindelse, eller om man er villig til at modtage dem over en usikker forbindelse. Vi har valgt at sætte vores til "strict-origin", hvilket betyder, at vi kun modtager det over en sikker HTTPS forbindelse.
Mulige indstillinger:
Ingen følsomme data til tredjepart
- no-referrer
- same-origin
Følsomme data til tredjepart kun via sikre forbindelser (HTTPS)
- strict-origin
- strict-origin-when-cross-origin
Følsomme data til tredjepart muligvis via usikre forbindelser (HTTP) - anbefales ikke
- no-referrer-when-downgrade (browsers' default policy)
- origin-when-cross-origin
- origin
- unsafe-url
Vores indstilling:
Header always set Referrer-Policy "strict-origin"
Content-Security-Policy
Dette forkortes med bogstaverne CSP. CSP beskytter en hjemmeside mod cross-site scripting (XSS). Med vores indstilling beder vi browseren om at behandle alle forespørgsler som om de er lavet over en sikker HTTPS forbindelse. Forsøg på at udnytte HTTP bliver dermed blokeret.
Header add Content-Security-Policy "upgrade-insecure-requests"
HSTS politik
HSTS får browseren til at forbinde via HTTPS, når du besøger en hjemmeside igen. Dette hjælper med at forhindre man-in-the-middle angreb. Hvis en person derfor har besøgt hjemmesiden én gang før, så ændres et evt. HTTP kald til hjemmesiden automatisk til HTTPS uden et redirect. Du kan angive, hvor længe dette skal gælde i max-age og om det skal inkludere eventuelle subdomæner.
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Vi understreger igen, at disse ændringer laves på eget ansvar og skulle der ske fejl eller opstå problemer, er det dit eget ansvar at løse dem.
Viderestilling til https
Bruger du Wordpress kan du installere pluginet "Really Simple SSL", der sørger for at viderestille alle sider til https. Har du derimod kodet din egen hjemmeside, så skal du logge ind på din FTP med fx Filezilla (FTP program, der kan downloades gratis), og redigere i din htaccess fil. Her tilføjer du følgende linjer:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://ditdomaene.dk/$1 [R,L]
Ret ditdomaene.dk til det aktuelle domænenavn.