Bezpečnosť nie je produkt, ktorý kúpite raz a zabudnete. Je to malá sada návykov aplikovaných konzistentne. Dobrá správa: väčšina podnikových webov a webových aplikácií dokáže pokryť väčšinu reálnych rizík hŕstkou základných postupov.
HTTPS a správa certifikátov
Každá stránka sa musí načítať cez HTTPS. Toto už nie je príjemný doplnok, prehliadače, používatelia a vyhľadávače zaobchádzajú s HTTP ako s pokazeným. Presmerujte HTTP na HTTPS, obnovujte certifikáty automaticky (väčšina hostingov to robí zadarmo) a skontrolujte, že varovania o zmiešanom obsahu sú preč.
Autentifikácia urobená správne
- Používajte dlhé heslá alebo prístupové frázy, nie zložité krátke.
- Zapnite dvojfaktorovú autentifikáciu (2FA) pre čokoľvek, na čom záleží, admin panely, hostingové účty, e-mail, platobné nástroje.
- Používajte v tíme správcu hesiel, nie zdieľanú tabuľku.
- Odstráňte účty, keď ľudia odídu. "Spiace" účty sú bežným vstupným bodom.
Prístup administrátora
Admin URL by nemali byť uhádnuteľné zvonku. Obmedzte počet pokusov o prihlásenie, logujte neúspešné pokusy a zvážte ďalšiu vrstvu (zoznam povolených IP alebo VPN) pre vysoko citlivé panely.
Aktualizácie softvéru
Väčšina verejných zraniteľností je opravená rýchlo po zverejnení; skutočným rizikom je prevádzkovanie softvéru, ktorý nebol aktualizovaný mesiace. Udržujte framework, CMS, pluginy, runtime a knižnice aktuálne. Naplánujte rutinné aktualizácie namiesto toho, aby ste ich robili len po incidente.
Bezpečné spracovanie vstupu používateľa
- Validujte na serveri, nielen v prehliadači, čokoľvek prichádzajúce od klienta sa dá zmeniť.
- Používajte parametrizované dotazy alebo poriadny ORM, aby ste zabránili SQL injekcii.
- Správne escapujte výstup, aby ste zabránili cross-site scriptingu (XSS).
- Obmedzte, ktoré súbory môžu používatelia nahrávať a kam idú.
- Obmedzte počet volaní formulárov a endpointov, ktoré útočníci cielia (prihlásenie, registrácia, kontakt).
Tajomstvá a konfigurácia
- Nezapisujte natvrdo heslá, API kľúče ani tokeny do zdrojového kódu.
- Uchovávajte ich v premenných prostredia alebo správcovi tajomstiev, nie commitnuté do repozitára.
- Rotujte tajomstvá, keď niekto odíde, alebo po akomkoľvek incidente.
Zálohy a obnova
Záloha nie je zálohou, kým nebola obnovená. Pravidelné, automatizované zálohy sú nevyhnutné, ale rovnako aj otestovaný postup na ich obnovenie. Ransomvér a náhodné vymazania sa nakoniec stanú každému.
Monitoring a logy
Nemôžete reagovať na to, čo nevidíte. Minimálne uchovávajte serverové logy, zachytávajte chyby aplikácie a nastavte upozornenia na nezvyčajné nárasty odpovedí 401/403/500. Takto sa o útoku dozviete včas namiesto až po fakte.
Súkromie a súlad s predpismi
- Zbierajte len údaje, ktoré skutočne potrebujete.
- Majte jasné zásady ochrany súkromia a súhlas s cookies, ktoré odrážajú realitu, nie šablónu skopírovanú odinakiaľ.
- Pochopte, ktoré údaje sú regulované (platobné, zdravotné, osobné údaje podľa GDPR) a zaobchádzajte s nimi podľa toho.
Bežné chyby
- Bezpečnostné audity, ktoré sa zastavia pri reporte. Zistenia treba opraviť a overiť, nielen archivovať.
- "Sme príliš malí na to, aby sme boli cieľom". Väčšina útokov je automatizovaná a hľadá akýkoľvek nezáplatovaný systém.
- Vnímanie hesiel ako celého príbehu. 2FA, aktualizácie, zálohy a monitoring majú väčší význam než pravidlá zložitosti hesiel.
- Jedna osoba držiaca všetky kľúče. Kritický prístup by mal mať záložného vlastníka, jasne zdokumentovaného.

