UZCERTМинимальные рекомендации
Рекомендации для обеспечения минимального уровня защиты веб-сайта
- Регулярное резервное копирование всего содержимого файловой системы, баз данных и журналов событий (лог-файлов).
- Регулярное обновление системы управления контентом до последней стабильной версии CMS (системы управления контентом).
- Использование сложных паролей. Требования к паролю: пароль должен содержать не менее восьми символов, при создании пароля должны быть использованы символы верхнего и нижнего регистра, а также специальные символы.
- Обязательное использование дополнений или плагинов безопасности для предотвращения атак типа XSS-атака или SQL-инъекции.
- Использование и установка дополнений (плагинов, шаблонов или расширений) должна осуществляться только с проверенных источников или официальных веб-сайтов разработчиков.
- Сканирование файловой системы не менее 1 раза в неделю антивирусными программами и с использованием актуальных сигнатур баз данных.
- Предусмотреть использование механизма «CAPTCHA» для защиты веб-сайта от взлома методом перебора паролей при авторизации и ввода данных в любую форму запросов (форма обратной связи, поиск и др.).
- Ограничить возможность входа в административную панель управления веб-сайта после определенного количества неудачных попыток.
- Корректно настроить политику безопасности веб-сайта через файл конфигурации веб-сервера с учетом таких параметров, как:
- ограничить количество IP-адресов, используемых администратором для доступа в административную панель управления веб-сайтом в целях предотвращения доступа к ней с посторонних IP-адресов;
- запретить передачу любых тегов любыми способами, кроме оформления текста (например p b i u) для предотвращения XSS-атак.
- При размещении сайтов в VPS/VDS, где не предусмотрена техническая поддержка со стороны хостинга, владелец веб-сайта должен организовать собственную техническую поддержку в режиме 24/7.