- Proiect Dezvoltare web custom
- site web: fujiiryoki.co.uk
- proiectul fujiiryoki.co.uk a fost preluat de Sector web pentru continuarea dezvoltării și rezolvarea unor probleme de securitate. Declanșarea campaniilor Google Ads a us în evidență vulnerabilitatea site-urilor la spam și consum artificial de credite. În urma discuțiilor cu tehnicienii de la Google s-a decis ridicarea nivelului de securitate a websote-ului de la D la A+ (Snyk scanner). De asemenea, pentru formularul de contact ca actiune de confirmare a unei tranzacții pornite prin click pe un anunț de reclamă Google Ads trebuia ridicat nivelul de securitat prin implementarea unor layere de protecție antibot (roboți spammeri) precum Google Recaptcha, Întrebări cu selectarea răspunsului de către o persoană umană, calcularea timpului de completare a formularului (viteze suspect de mari fiind atribuite boților), etc
- Alte detalii pentru partea de dezvoltare custom:
- Pentru ridicarea nivelului de securitate Snyk au fost actualziate bibliotecile JavaScript, versiunile vechi fiind marcate ca vulnerabile pentru anumtie tipuri de atacuri
- Adăugarea headerelor de securitate
- ✓ strict-transport-security
- ✓ x-content-type-options
- ✓ x-frame-options
- ✓ content-security-policy
- ✓ x-xss-protection
- Content Security Policy a fost provocarea cea mai consistentă deoarece ste-ul este servit din cloudflare. Am optat pentru un header de securitate cu directiva nonce-{valoarenonce} unde valoarea nonce-ului este unica pentru fiecare request și criptata. Fiecare script din pagina are ca atribut această valoare a nonce-ului. Acest tip de header permite rularea doar a scripturilor care au acest nonce, astfel ca inserția și rularea unor scripturi fake nu poate fi posibilă.
- Dar problema apare prin servirea site-ului din cloudflare. Ca urmare am setat și construit un worker pe cloudflare care adaugă acest header cu noce unic și criptat specific fiecărei cereri și apoi modifică corpul paginii și adaugă atributul nonce cu acea valoare pentru fiecare tag script din pagină. Și acest lucru pe intreaga rețea Cloudflare.
- Nivelul de la Sucuri este low si nu minimal pentru ca sectiunea de blog care este un WordPress in subdirectorul /blog/ nu are aceste headere de securitate instalate. Au fost eliminate pentru ca in admin ele nu trebuiau aplicate. Si au fost eliminate global. Dar la urmaotarea sesiune de dezvoltare pe fujiiryoki.co.uk, acestea trebuie lasate in front-end.
- Pentru formularul de contact s-a creat un log pentru toate conversiile pentru identificarea manuală a celor fake realizate de oameni sau roboți.
- Platformă custom PHP, MySQL
- Tehnologii web: PHP, MySQL, HTML, CSS, JavaScript, JQuery
- Proiect Dezvoltare web custom
Vezi solutiile de dezvoltare web custom ale Sector web.
Plugin-uri și aplicații WordPress custom
Vezi portofoliul, secțiunea de plugin-uri și aplicații WordPress custom sau contactează-ne direct.