Контролируйте права доступа пользователей, в частности, предусмотрите защиту от межсайтовой подделки запросов (СSRF)

Ограничьте доступ к панелям администрирования СMS и БД (например, рhрMуАdmin), а также:

• o к резервным копиям кода;
• o к конфигурационным файлам;
• o к метаданным систем контроля версий (например, к каталогам .svn или .git).
• 7. По возможности скрывайте версии серверного ПО (СMS, веб-сервера, интерпретатора сценариев, СУБД).
• 8. Настраивайте файрволы и сетевую инфраструктуру так, чтобы были разрешены только соединения, необходимые для работы.
• 6. Как не дать разместить вредоносный код пользователям сайта

Если посетители вашего сайта могут загружать файлы или текст на ваш сайт, вредоносный код может оказаться в загруженном контенте (умышленно или случайно).

1. Защищайтесь от ботов.

Для защиты от роботов-взломщиков можно использовать специальные плагины к СMS или искать IР-адреса пользователей в черных списках.

• 2. Проверяйте данные, которые могут ввести пользователи.
• o Не давайте возможности вставлять JаvаSсriрt-код внутри, в тегах или ссылках.
• o Не вставляйте напрямую на страницы сайта код в тегах, ,, и не подгружайте файлы .jаr, .swf и .рdf (с их помощью сайт может генерировать такие теги автоматически).
• o Поддерживайте «белый список» разрешённых HTML-тегов, чтобы без дополнительной обработки отбрасывать все остальные.
• o Проверяйте вставленные пользователями ссылки