Hoppa till innehållet
Mobilemeny

Blogg | 17 mars 2025

Säkerhet – inte bara en rankingfaktor

En säker webbplats handlar om mer än bara krypterade anslutningar. Men vad krävs egentligen för att skapa en trygg digital miljö? I den här gästbloggen delar Oskar Åkerlund från Consid, en av Sitevision most valuable professional 2024, med sig konkreta tips på hur du bygger en säker webbplats från grunden.

Oskar Åkerlund
Tech Lead and Integration Specialist Consid

Vad innebär det att ha en säker webbplats? Det kan vara flera saker:

  • Hemlig information förblir hemlig.
  • Dina besökare tar inga risker när de besöker webbplatsen.
  • Informationen är tillgänglig när det behövs.
  • Webbplatsen anses trovärdig och får bättre ranking.

I det populära mätverktyget Webperf ges webbplatser högre poäng om de uppvisar god säkerhet och därför kan vi lockas till att putsa på vår CSP och skruva på inställningar för HSTS och annat. Sannolikt lyfter även Google med flera din webbplats om den anses vara säker. Men vad betyder allt detta förutom att du får bättre ranking?

Säkerhet för dina besökare

Besökare kan i värsta fall råka illa ut när de besöker din webbplats. Även om du täppt till alla hål för hackare att bråka med dina besökare genom din webbplats så finns det sätt att lämna
garantier för detta så att besökare och sökmotorer förstår att webbplatsen är trygg. Om du inför en Content Security Policy (CSP) så gör du det tydligt för moderna webbläsare på vilka
sätt den får ladda och använda resurser. På detta sätt omöjliggör du hackarens försök att använda listiga knep med iframes, javascript och annat som kan lura din besökare. Jag
rekommenderar att börja jobba med CSP direkt i nya webbplatser då det kan vara tidskrävande i efterhand att inventera vilka delar på en webbplats som ska tillåtas och vad som kan blockeras.

I Sitevision finns det fler inställningar som ofta kan aktiveras utan bekymmer för att direkt förbättra säkerheten för besökare:

  • Strict-Transport-Security (HSTS) = Kräver att webbplatsen alltid laddas genom
    HTTPS.
  • Referrer-Policy = Skickar inte besökt adress till tredjepart (kan innehålla personliginformation).
  • X-Content-Type-Options = Motverkar ”mime-sniffing” för nedladdade resurser.

Säkerhet för servern

Att skydda servern innebär att begränsa åtkomst till hemlig information men även att se till att din webbplats alltid är åtkomlig för din målgrupp. Till att börja med är det viktigt att vara
försiktig med behörigheterna. Använd federerad inloggning med tvåfaktorsautentisering om möjligt, även för konsulter, då inloggning med vanligt användarnamn och lösenord anses
vara ett svagt skydd – mycket på grund av den mänskliga faktorn.

Om en RestApp byggs för extern åtkomst så bör ett användarkonto skapas för åtkomst endast till appen. Om denne användare ges behörighet till mer än bara appen finns risk att det utnyttjas. I stället kan appen få åtkomst till resurser via en tjänsteanvändare, som i sin tur inte har möjlighet att logga in. Generellt gäller det att ge användare behörighet till det den verkligen behöver, under den tid det behövs (principle of least privilege). Behörigheter bör
även hanteras genom grupper än per individ, för att göra det enklare att städa upp i efterhand.

Protokollet WebDAV kan underlätta i migrering av webbplatser eftersom det tillåter både läsning och skrivning av filer, men undvik att använda ”/webdav” i sökvägar på webbplatsen
då det blir en tydlig måltavla för attacker.

Egenutvecklade WebAppar och RestAppar kan utgöra ett säkerhethetsproblem om de går långsamt och använder mycket resurser av servern. Det är enkelt för attackerare att hitta
sidor som laddar ovanligt långsamt och fokusera DDoS-attacker mot dessa. Därför är det bra att mäta appars prestanda med parametern ?profiling=true även ur ett säkerhetsperpektiv.

Förberedd en kriswebb

Om din webbplats driftas on-prem har du säkert precis som Sitevision Cloud redundans i internetförbindelser och elförsörjning samt diverse säkerhetsrutiner kring det fysiska, men om det värsta skulle hända så vore det bra att ha förberett en kriswebb. Syftet med en sådan webbplats är att ha den viktigaste informationen tillgänglig för din målgrupp i händelse av
kris, även om den primära servermiljön inte är nåbar. I detta läge är det viktigt att miljön för kriswebben finns på en separat geografisk plats, helst inom Sveriges gräns. Sitevision har ett
paketerat erbjudande för detta för både on-prem- och cloudkunder.

Vill du veta mer?

Att se över säkerheten på din webbplats ger dig både en bättre rankingfaktor samt en minskad risk att dina besökare eller din information råkar illa ut. Åtgärderna är ibland triviala
och ibland mer komplexa – och det finns mycket att justera. I den här artikeln har jag fokuserat på några vanliga punkter, men det finns mer: SRI, CORS, CSRF, DKIM… Kontakta gärna mig för att se hur vi kan hjälpa dig med ditt säkerhetsarbete!

Länk

Oskar Åkerlund, Consid
Oskar.akerlund@consid.se

Oskar Åkerlund

Se hur din digitala upplevelse kan se ut

I en kostnadsfri demo visar vi hur Sitevision hjälper dig att skapa precis den digitala upplevelse du behöver med rätt byggstenar redan på plats. Utforska plattformen, prova själv och upptäck hur enkelt det kan vara att skapa något kraftfullt.

Boka demo

Prenumerera på vårt nyhetsbrev

Du får information om nya funktioner i Sitevision, vad som händer hos oss och en hel massa tips. Syftet? Att göra ditt arbete smartare, smidigare och roligare.

Prenumerera

Certifikat ISO/IEC 27001:2022

Certifikat ISO/IEC 27001:2022

Den här webbplatsen använder cookies. Mums

Vi använder cookies (kakor) på vår webbplats för att upplevelsen ska bli så bra som möjligt.

Läs mer i vår cookiepolicy