Bezpieczeństwo strony WWW

•  Zaleca się szyfrowanie przechowywanych haseł statycznych.
• Do przechowywanych zaszyfrowanych haseł powinny zostać dodane inne metody zabezpieczeń jak PBKDF.
• Należy dokonywać przeglądów logów, dzienników zdarzeń m.in. pod kątem prób uzyskania nieautoryzowanego dostępu, występowania w nich danych uwierzytelniających.
• Logi powinny być zabezpieczone.
• Serwer powinien wymuszać połączenia HTTPS.
• Aplikacja powinna umożliwiać wykorzystanie uwierzytelnienia dwuskładnikowego. np. z wykorzystaniem haseł jednorazowych.
• Hasła powinny zawierać minimum 142 znaków, w tym małe i wielkie litery, cyfry oraz znaki specjalne lub być budowane zgodnie z zasadą pełnych zdań, zgodnie z którą hasła zawierają 4-5 słowa i co najmniej 15 znaków, które układane są w łatwe do zapamiętania, abstrakcyjne, niepowiązane z użytkownikiem zdanie).
• Zaleca się blokowanie kont po kilku nieudanych próbach logowania chroni przed atakami brute-force.
•  Należy zaimplementować mechanizm antyspamowy, np. Captcha.
• Należy stosować mechanizmy zabezpieczeń baz danych aplikacji, takie jak kontrola dostępu do kont administracyjnych, regularne aktualizacje oprogramowania wykorzystywanego do zarządzania bazą danych, odseparowanie serwera bazodanowego od serwera http.
• Należy przeprowadzać regularne aktualizacje serwera http oraz CMS-a.
• Kopie baz danych powinny podlegać takim samym regułom bezpieczeństwa jak bazy danych.
•  Kopie baz danych powinny być szyfrowane.
• Należy systematycznie przeprowadzać przeglądy bezpieczeństwa oraz testy aplikacji pod kątem OWASP TOP 10,  w obszarach takich jak:

• uwierzytelnienie, zarządzanie sesją, autoryzacja,
• błędy w konfiguracji infrastruktury wykorzystywanej przez aplikację,
• możliwość uzyskania nieuprawnionego dostępu do zasobów poza  przyznanymi uprawnieniami (eskalacja uprawnień)
• odporność stosowanie mechanizmów szyfrowania
• odporność na ataki injection.

• Należy przeprowadzać analizę kodu źródłowego pod kątem niebezpiecznych konstrukcji i omyłek programistycznych.
• Należy wykonywać regularne kopie zapasowe baz danych, konfiguracji itd.
• Należy systematycznie przeglądać biuletyny bezpieczeństwa, portale branżowe oraz bazy danych podatności jak  CVE.
• Wykryte luki w konkretnych technologiach powinny być niezwłocznie usuwane.
• Należy zaimplementować WAF (Web application firewall).
• Należy przeprowadzać testy bezpieczeństwa infrastruktury serwera, z którego korzysta strona WWW.
• W umowie z dostawcą hostingu, aplikacji WWW należy zawrzeć zapisy, które gwarantują organizacji bezpieczeństwo informacji przetwarzanych na hostowanych serwerach oraz w udostępnionej aplikacji WWW.
• Strona powinna mieć system raportowania nieuprawnionych zmian na stronie.

Nieautoryzowany dostęp do kont administracyjnych może skutkować przejęciem strony, wyciekiem danych i poważnymi konsekwencjami dla jej właściciela. Dlatego stosowanie silnych haseł i wielopoziomowych zabezpieczeń jest kluczowe w ochronie serwisów internetowych przed cyberatakami.

Brak certyfikatu SSL/TLS

Certyfikat SSL/TLS zapewnia szyfrowane połączenie między użytkownikiem a serwerem, chroniąc przesyłane dane przed przechwyceniem przez osoby trzecie. Strony bez certyfikatu HTTPS są szczególnie narażone na atak typu „Man-in-the-Middle”, w którym cyberprzestępcy mogą podsłuchiwać lub modyfikować przesyłane informacje, w tym loginy, hasła i dane płatnicze.

Dlaczego certyfikat SSL/TLS jest niezbędny?

• Szyfrowanie danych – uniemożliwia hakerom przechwycenie wrażliwych informacji.
• Bezpieczeństwo użytkowników – ochrona loginów, haseł, danych osobowych i finansowych.
• Wiarygodność i reputacja strony – przeglądarki oznaczają strony bez HTTPS jako „Niezabezpieczone”, co może odstraszać użytkowników.
• Lepsze pozycjonowanie w Google – Google premiuje strony z certyfikatem SSL, co wpływa na lepszą widoczność w wynikach wyszukiwania.