Bezpečnost není produkt, který si jednou koupíte a zapomenete. Je to malá sada návyků uplatňovaných konzistentně. Dobrá zpráva: většina firemních webů a webových aplikací může pokrýt podstatnou část reálných rizik hrstkou základních praktik.
HTTPS a správa certifikátů
Každá stránka se musí načítat přes HTTPS. To už není příjemný bonus, prohlížeče, uživatelé i vyhledávače považují HTTP za rozbité. Přesměrujte HTTP na HTTPS, obnovujte certifikáty automaticky (většina hostingů to dělá zdarma) a zkontrolujte, že varování o smíšeném obsahu zmizela.
Správně provedené ověřování
- Používejte dlouhá hesla nebo přístupové fráze, ne složitá krátká.
- Zapněte dvoufázové ověření (2FA) pro vše, na čem záleží, administrační panely, hostingové účty, e-mail, platební nástroje.
- Používejte v týmu správce hesel, ne sdílenou tabulku.
- Odstraňte účty, když lidé odejdou. "Spící" účty jsou častým vstupním bodem.
Administrační přístup
Administrační URL by neměly být zvenčí uhodnutelné. Omezte počet pokusů o přihlášení, logujte neúspěšné pokusy a u vysoce citlivých panelů zvažte další vrstvu (seznam povolených IP nebo VPN).
Aktualizace softwaru
Většina veřejných zranitelností je opravena rychle po zveřejnění, skutečným rizikem je provozování softwaru, který nebyl aktualizován měsíce. Udržujte framework, CMS, pluginy, runtime a knihovny aktuální. Naplánujte rutinní aktualizace místo toho, abyste je dělali až po incidentu.
Bezpečné zpracování uživatelského vstupu
- Validujte na serveru, nejen v prohlížeči, cokoli přicházejícího od klienta lze upravit.
- Používejte parametrizované dotazy nebo řádný ORM, abyste zabránili SQL injekci.
- Správně escapujte výstup, abyste zabránili cross-site scriptingu (XSS).
- Omezte, jaké soubory mohou uživatelé nahrávat a kam jdou.
- Omezte počet požadavků na formuláře a endpointy, na které útočníci cílí (přihlášení, registrace, kontakt).
Tajné klíče a konfigurace
- Nezadávejte natvrdo hesla, API klíče ani tokeny do zdrojového kódu.
- Uchovávejte je v proměnných prostředí nebo správci tajemství, ne commitnuté v repozitáři.
- Obměňte tajné klíče, když někdo odejde, nebo po jakémkoli incidentu.
Zálohy a obnova
Záloha není zálohou, dokud nebyla obnovena. Pravidelné, automatizované zálohy jsou nezbytné, ale stejně tak je nezbytný otestovaný postup jejich obnovy. Ransomware a náhodná smazání potkají nakonec každého.
Monitoring a logy
Nemůžete reagovat na to, co nevidíte. Minimálně udržujte serverové logy, zachycujte chyby aplikace a nastavte upozornění na neobvyklé skoky odpovědí 401/403/500. Takto se o útoku dozvíte včas, ne až dodatečně.
Soukromí a soulad s předpisy
- Sbírejte jen data, která skutečně potřebujete.
- Mějte jasné zásady ochrany soukromí a souhlas s cookies, které odrážejí realitu, ne šablonu zkopírovanou odjinud.
- Vězte, která data jsou regulovaná (platební, zdravotní, osobní údaje podle GDPR) a zacházejte s nimi podle toho.
Běžné chyby
- Bezpečnostní audity, které končí u reportu. Nálezy je třeba opravit a ověřit, ne jen archivovat.
- "Jsme příliš malí, abychom byli cílem". Většina útoků je automatizovaná a hledá jakýkoli nezáplatovaný systém.
- Braní hesel jako celého příběhu. 2FA, aktualizace, zálohy a monitoring záleží více než pravidla pro složitost hesel.
- Jeden člověk držící všechny klíče. Kritický přístup by měl mít záložního vlastníka, jasně zdokumentovaného.

