Общее

  • Настройка регулярного бекапирования (раз в день/раз в неделю), бекапирование на отдельный сервер, проверка бекапов раз в месяц.
  • Обновление ПО / CMS / OS / серверов и инфраструктуры, отдельно — версий пакетов внутри приложения, включая фреймворк и связанные пакеты.
  • Логирование действий пользователей и администраторов.
  • Fail2ban (для защиты от ботов и (в меньшей степени, но - DDOS атак).
  • CDN, защита от DDOS и вредоносного трафика.
  • Cерверная защита от DDOS (включить функцию, если доступно на сервере).
  • Настроить уведомления о подозрительной активности (например, zabbix).
  • Двухфакторная авторизация для входа в админку и в важные сервисы, используемые для работы.

Среда разработки безопасность

  • Аутентификация SSH по ключу.
  • Отключить парольный вход для SSH (PasswordAuthentication no).
  • Закрыть неиспользуемые порты через UFW или iptables. Отдельно проверяем, что нет доступа к сервисам извне. Например, к БД.
  • Веб-сервер не должен иметь права на запись во все директории. Разделить права файлов (Только нужные папки (upload/, cache/) должны быть writable). Загружаемые пользователями через интерфейс файлы не должны быть executable (##7 — последняя семёрка).
  • Права на файл: 644, папки — 755, владелец — не root.

Рекомендации

  • Использование надежных паролей, включая всех тестовых пользователей. Опционально: регулярная смена паролей (при использовании корпоративного сервиса хранения паролей можно настроить регулярную ротацию).
  • Каждое заинтересованное лицо, разработчик, тестировщик, администратор, служба заботы и тд - имеет отдельный аккаунт.
  • Хранение паролей в сервисах паролей и шеринг по одноразовой ссылке (такая функция есть в сервисах хранения паролей).
  • Ограниченное использование сторонних сервисов для шаринга скриншотов. Часто они никак не закрывают свои ссылки и их можно подобрать перебором. И на скриншот может попасть секьюрная инфа (пароли), а может и персональная пользователей - не использовать скриншоты сторонних сервисов по шарингу скриншотов, там, где может попасть секьюрная информация.
  • Проверить и навести порядок в пользователях с правами администратора и любыми другими расширенными правами (удалить лишние).
  • Проинформировать команду о том, что вредоносные ссылки могут быть направлены в емейлах и смс под видом ссылок на обновление ПО, сервисов, сервисов доставок и др.подобные. Всегда проверять адрес рассылки (могут быть незначительные изменения в написании, измененный порядок букв и тд) и проверять также на официальных источниках и в официальной поддержке, что обновления действительно требуются.